Antecipar ameaças, planejar e estruturar processos dentro da organização são alguns dos desafios dos Chief Information Security Officer (CISO) – executivos que são constantemente avaliados, por meio de indicadores, pela efetividade de suas tomadas de decisão em relação à segurança holística das empresas que representam. Mas, e se observarmos os indicadores de maneira reversa?

Isso mesmo, a proposta é avaliar a maturidade de segurança da empresa como um todo e não o CISO. Como? Na grande maioria, os Documentos de Avaliação (“assessment”), que resultam em uma análise de risco, apresentando riscos por prioridade, impacto e plano de ação, são submetidos para aprovação – total ou parcial – do Board (tomadores de decisão) da empresa. Normalmente, o indicador de efetividade do CISO é que dos 10 itens do Documento de Avaliação aprovados pela empresa, 100% sejam implementados.

Vejamos o indicador reverso:

– Dos 100 itens apresentados pelo CISO, a empresa só aprovou 10, ou seja, 10%;
– E, dos itens apresentados no documento de avaliação, 50 eram de alto impacto e só foram aprovados 5, ou seja, 5%.

Temos um paradigma: o indicador reverso está no quanto a empresa aprovou dos itens que o CISO sugeriu no documento de avaliação. Ou seja, seria o funil de iniciativas do CISO versus a aprovação da empresa.

Assim como os indicadores de efetividade dos CISO’s são divulgados para toda a organização, o indicador reverso também deve ser. Dessa forma, seria possível modificar o foco de evasão na segurança da empresa, de forma a apresentar com transparência as propostas dos CISO’s.

Segurança da Informação é um tema de negócio e gestão de risco empresarial, por esse motivo, o assessment apresentado deve ser avaliado com cautela pelo Board e os argumentos de alto impacto não devem ser considerados padrões, ou seja, um conjunto de ideias atribuídas ao CISO. Esse que, constantemente, se concentra em localizar os riscos que podem infringir os sistemas da empresa.

Portanto, conhecemos o valor do assessment exibido pelo CISO e a importância em avaliá-lo da melhor forma possível. Considerar os indicadores reversos, além de modelar a estratégia de segurança, é assegurar que o trabalho de segurança está sendo encarado e executado em conjunto.

*Por Fernando Oliveira

EnglishPortugueseSpanish