CISO's, vamos inverter o jogo?

Antecipar ameaças, planejar e estruturar processos dentro da organização são alguns dos desafios dos Chief Information Security Officer (CISO) – executivos que são constantemente avaliados, por meio de indicadores, pela efetividade de suas tomadas de decisão em relação à segurança holística das empresas que representam. Mas, e se observarmos os indicadores de maneira reversa?

Isso mesmo, a proposta é avaliar a maturidade de segurança da empresa como um todo e não o CISO. Como? Na grande maioria, os Documentos de Avaliação ("assessment"), que resultam em uma análise de risco, apresentando riscos por prioridade, impacto e plano de ação, são submetidos para aprovação - total ou parcial - do Board (tomadores de decisão) da empresa. Normalmente, o indicador de efetividade do CISO é que dos 10 itens do Documento de Avaliação aprovados pela empresa, 100% sejam implementados.

Vejamos o indicador reverso: - Dos 100 itens apresentados pelo CISO, a empresa só aprovou 10, ou seja, 10%;

- E, dos itens apresentados no documento de avaliação, 50 eram de alto impacto e só foram aprovados 5, ou seja, 5%.

Temos um paradigma: o indicador reverso está no quanto a empresa aprovou dos itens que o CISO sugeriu no documento de avaliação. Ou seja, seria o funil de iniciativas do CISO versus a aprovação da empresa.

Assim como os indicadores de efetividade dos CISO’s são divulgados para toda a organização, o indicador reverso também deve ser. Dessa forma, seria possível modificar o foco de evasão na segurança da empresa, de forma a apresentar com transparência as propostas dos CISO’s.

Segurança da Informação é um tema de negócio e gestão de risco empresarial, por esse motivo, o assessment apresentado deve ser avaliado com cautela pelo Board e os argumentos de alto impacto não devem ser considerados padrões, ou seja, um conjunto de ideias atribuídas ao CISO. Esse que, constantemente, se concentra em localizar os riscos que podem infringir os sistemas da empresa.

Portanto, conhecemos o valor do assessment exibido pelo CISO e a importância em avaliá-lo da melhor forma possível. Considerar os indicadores reversos, além de modelar a estratégia de segurança, é assegurar que o trabalho de segurança está sendo encarado e executado em conjunto.

. Por: Fernando Oliveira, Fundador e Diretor Executivo da SEC4YOU, empresa brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos. | SEC4YOU, fundada em 2009, a SEC4YOU é uma empresa 100% brasileira de segurança da informação focada em serviços e soluções de Gestão de Identidades, Application Security / DevSecOps, LGPD e Cybersecurity atendendo Segurança em Transformação Digital para os mais diferentes segmentos. A Paixão pelo que faz e o Compromisso com resultados é o que faz da SEC4YOU uma das principais empresas do ramo no país. | www.sec4you.com.br

Enviar Imprimir