Traduzido do Inglês para o Português - www.onlinedoctranslator.

com

Gartner para líderes de TI

O CISO
Guia para o seu
Primeiros 100 dias
Por William Candrick, Sam Olyaei, Tom Scholtz
O guia do CISO para seus primeiros 100 dias
Publicado em 24 de maio de 2021 - ID G00747118 - 20 min de leitura

Por analista(s): William Candrick, Sam Olyaei, Tom Scholtz

Iniciativas: Líderes de Segurança e Gestão de Riscos

Seus primeiros 100 dias na função de diretor de segurança da informação

(ou equivalente) determinam seu sucesso como líder de segurança e
gerenciamento de riscos. O Gartner fornece orientação e suporte para
ajudar os novos CISOs a maximizar seu sucesso durante esta fase crucial de
transição.

Visão geral
Principais conclusões

■ Os diretores de segurança da informação (CISOs) bem-sucedidos são principalmente

líderes, gerentes e comunicadores – e não tecnólogos.

■ O sucesso de um CISO depende de duas conquistas importantes: (1) estabelecer uma

marca pessoal de credibilidade e liderança e (2) estabelecer as bases para um programa
de segurança defensável.

■ Os novos CISOs enfrentam dificuldades quando não conseguem compreender as expectativas da liderança ou não

conseguem comunicar eficazmente como a segurança apoia os resultados dos negócios.

Recomendações
Para líderes de segurança e gerenciamento de riscos em seus primeiros 100 dias na função de CISO:

■ Fortaleça o relacionamento do programa de segurança cibernética com a empresa, vinculando suas

prioridades de liderança aos resultados e objetivos do negócio.

■ Defina uma estratégia de segurança antes de mergulhar em detalhes técnicos e decisões

tecnológicas.

■ Maximize suas chances de sucesso identificando de duas a cinco prioridades que você pode
realizar nos primeiros 100 dias.

■ Reserve tempo extra para incidentes de segurança imprevisíveis antes que eles ocorram inevitavelmente,

para evitar atrasar iniciativas estratégicas.

| G00747118 Página 1 de 18
■ Conquiste o apoio da equipe de segurança compartilhando uma visão estratégica, mostrando como a equipe se

enquadra nessa visão e evitando criticar publicamente os antecessores.

Introdução
Seus primeiros 100 dias na função de CISO representam uma oportunidade para definir sua função e relacionamentos

profissionais. Este curto período de “lua de mel” normalmente fornece margem de manobra para desenvolver uma

estratégia, fazer conexões com executivos, garantir o apoio da liderança, estabelecer confiança com sua nova equipe e

sinalizar seu estilo de liderança. Esta oportunidade é especialmente valiosa se a empresa precisar de uma grande revisão

na governança de riscos cibernéticos ou de uma maturidade significativamente melhor do programa de segurança.

Esta pesquisa examina como os principais CISOs aproveitam ao máximo os primeiros 100 dias.
Dividimos este período em seis fases: preparar, avaliar, planejar, agir, medir e comunicar (Figura 1).

Figura 1: Roteiro dos primeiros 100 dias do CISO

Fases e metas dos primeiros 100 dias de um CISO: clique nos links para ir para as seções

| G00747118 Página 2 de 18
 Estágio Meta

Preparar Planeje sua função antes do primeiro dia.

Avaliar Entenda a maturidade atual da segurança.

Plano Crie um roteiro para os primeiros 100 dias.

Agir Implemente melhorias visíveis de maturidade.

Medir Forneça evidências do progresso da segurança.

O plano dos primeiros 100 dias

Em resumo, uma agenda bem-sucedida para os primeiros 100 dias deve:

■ Estabeleça sua credibilidade como CISO e eleve a marca e a imagem internas da empresa
de segurança.

■ Estabeleça a maturidade atual do programa de segurança (consulte Pontuação de TI para segurança e

gerenciamento de riscos).

■ Concentre-se num subconjunto de iniciativas estratégicas que são selecionadas e priorizadas por uma

metodologia defensável (por exemplo, avaliação de maturidade, avaliação de risco).

■ Preencha a lacuna entre a excelência operacional de segurança e o valor comercial (por exemplo,

prioridades do Csuite).

■ Defina metas realistas, mensuráveis e com prazo determinado — e estabeleça métricas para acompanhar o

progresso.

O restante desta nota de pesquisa fornece orientações práticas para atingir esses
objetivos.

Fase de preparação (antes do dia 1)

De volta ao topo

| G00747118 Página 3 de 18
Prepare-se para sua nova função antes do primeiro dia de trabalho. Um pouco de planejamento inicial prepara o

terreno para um início bem-sucedido e estabelece os relacionamentos necessários ao longo de sua gestão como

CISO.

Resultados-alvo para a fase de preparação

Almeje os seguintes resultados ao se preparar para a função de CISO:

■ Aentendimento comumde sua função e as expectativas de sua equipe, das partes interessadas
seniores e da equipe de liderança.

■ Aplano básico de engajamentopara conhecer as partes interessadas da liderança e a equipe de segurança.

Esta fase se concentra em ouvir e aprender – não na tomada de decisões. Evite fazer
anúncios ou decisões abrangentes nas primeiras semanas na função de CISO.

Ações para a Fase de Preparação

Execute as seguintes ações antes de começar seu primeiro dia:

Avalie o tipo de CISO que sua empresa exige:As empresas têm requisitos diferentes com base na
cultura, indústria, desafios políticos e outros fatores. Alguns exigirão um CISO com orientação
operacional, enquanto outros exigirão um CISO mais focado nos negócios. A Gartner recomenda que
os líderes de segurança e gestão de riscos consultem o Índice de Eficácia do CISO e trabalhem no
desenvolvimento de perfis com base nas necessidades da sua empresa.

Entenda a estrutura da sua empresa:Solicite organogramas e documentos operacionais (por

exemplo, mapas de processos) para compreender a estrutura de segurança, de TI e da empresa
como um todo. Certifique-se de compreender a governança atual e a função operacional da
segurança na empresa.

Identifique as principais partes interessadas:Crie uma lista de stakeholders de liderança com quem
você trabalhará. Esta lista pode incluir (mas não está limitada a) CEO, CFO, CIO, conselheiro geral,
chefe de RH, diretor de privacidade (CPO) e diretor de risco (CRO).

Estabeleça novas conexões:Envolva as partes interessadas da liderança e a equipe de segurança, de

preferência antes do seu primeiro dia na função. As táticas de engajamento incluem notas de agradecimento

após entrevistas e conexões no LinkedIn (com notas personalizadas).

| G00747118 Página 4 de 18
Agende reuniões iniciais:Trabalhe com seu assistente administrativo (ou um contato amigável dentro da
empresa) para marcar sua rodada inicial de reuniões. Planeje uma reunião geral da equipe de segurança
no primeiro dia e uma série de encontros e cumprimentos na semana 1 com as principais partes
interessadas em toda a empresa. As primeiras semanas são uma oportunidade para fazer apresentações
e se estabelecer na empresa.

Comunicações na fase de preparação

Antes do Dia 1, seu foco deve ser principalmente aprender sobre a empresa e preparar mensagens
para as partes interessadas e sua equipe. O sucesso nas primeiras semanas dependerá de uma
comunicação eficaz - não da tomada de decisões.

Concentre-se no seguinte antes do Dia 1 e nas primeiras semanas na função:

Entenda as prioridades do seu C-suite:CISOs eficazes entendem que são executivos corporativos – e
não apenas gerentes operacionais ou especialistas em assuntos técnicos. Alcançar todo o seu
potencial como CISO requer a compreensão dos negócios da sua empresa e das prioridades que são
mais lembradas pelo C-suite e pelo conselho. Considere as seguintes fontes de informação antes do
seu primeiro dia:

■ Aprenda a declaração de missão da sua empresa na página “Sobre nós”.

■ Entenda as prioridades e preocupações da liderança lendo registros financeiros públicos recentes (por

exemplo, relatórios 10-Q ou 10-K para empresas norte-americanas de capital aberto).

■ Leia e assista comunicações e entrevistas recentes de liderança (e considere

seguir contas de mídia social de liderança).

■ Identifique quaisquer prioridades concorrentes dentro do C-suite e prepare-se para navegar pela segurança

através dessas complexidades de liderança.

Apresente-se:Crie uma breve biografia que cubra sua experiência pessoal, sua trajetória profissional
e suas ideias iniciais sobre como ingressar na empresa. Use esta biografia em apresentações e
encontros para que todos entendam quem você é e de onde você vem. Evite anunciar decisões
ousadas e perturbadoras nessas apresentações iniciais. Em vez disso, seu objetivo principal é ser
bem recebido por seus colegas e equipe.

| G00747118 Página 5 de 18
Use a narrativa:Contar histórias é uma forma eficaz de mudar perspectivas e obter aceitação. Por exemplo,
um novo CISO pode contar uma história que ilustra como o papel da segurança é ajudar a empresa a
avançar de forma rápida e segura – e não abrandar as coisas, a fim de reduzir todos os riscos ao nível mais
baixo possível. Fornecer um exemplo ilustrativo de experiências anteriores ou eventos noticiosos ajuda as
partes interessadas a compreender como a segurança e, por extensão, o CISO, é um recurso e não um
obstáculo.

Crie guias de discussão:Prepare perguntas e pontos de discussão antes da rodada inicial de

reuniões de encontro e saudação. Por exemplo, considere o seguinte:

■ Discussões das partes interessadas:Para essas reuniões, concentre-se nas percepções das partes

interessadas sobre segurança e na função do CISO. Reunir essas informações no início dos primeiros 100

dias ajudará você a planejar mudanças nos próximos meses, incluindo a mudança de perspectivas de

liderança e (re)definição da função do CISO. As perguntas a serem feitas incluem:

■ Quais são suas prioridades de negócios mais urgentes?

■ Qual é a sua percepção atual da função de segurança?

■ Quais são seus maiores problemas ao trabalhar com segurança?

■ O que está indo bem trabalhando com segurança?

■ Discussões da equipe:Prepare perguntas que diagnostiquem (1) o estado atual da governança e das
operações de segurança e (2) as percepções da equipe e do ambiente de trabalho. As perguntas a
serem feitas incluem:

■ Onde você concentra a maior parte do seu tempo?

■ O que tornaria seu trabalho mais fácil?

■ O que é mais desafiador em sua função?

■ Como posso apoiar melhor você e sua equipe?

■ Quais você acha que deveriam ser as principais prioridades da segurança?

■ O que você vê como os principais objetivos da empresa?

Recursos para a fase de preparação

Revise os seguintes recursos do Gartner para começar.

| G00747118 Página 6 de 18
Pesquisa e ferramentas do Gartner

O Roteiro para a Eficácia do CISO — Adapte sua abordagem de liderança com base nas melhores práticas
comprovadas provenientes dos principais CISOs.

Desenvolva as habilidades do CISO contemporâneo – Identifique e desenvolva habilidades para se

tornar um CISO completo e capaz.

Eficácia do CISO: um relatório sobre os comportamentos e mentalidades que impactam a eficácia do

CISO — Identifique os comportamentos e mentalidades que mais se correlacionam com a eficácia do
CISO.

Fase de Avaliação (Semanas 1-4)

De volta ao topo

Avalie a maturidade e o desempenho atuais da segurança. Uma avaliação de segurança de qualidade revela

lacunas que informarão o planeamento estratégico. Os CISOs bem-sucedidos baseiam-se em avaliações

objetivas, e não no instinto, para que a tomada de decisões seja defensável e repetível.

Resultados-alvo para a fase de avaliação

Almeje os seguintes resultados ao avaliar o programa de segurança:

■ Ummentor executivoque fornece insights sobre a cultura da empresa.

■ Uma compreensão dorecursos disponíveis para você -incluindo financiamento, número de

funcionários e tecnologia.

■ Alista de falhas de segurançasurgiram por meio de avaliações formais de maturidade, conversas

em equipe e envolvimento das partes interessadas.

■ Uma lista priorizada detrês a cinco prioridades estratégicasque abordam lacunas de segurança e se

alinham aos resultados de negócios.

Ações para a Fase de Avaliação

Execute as seguintes ações em seu primeiro mês na função:

| G00747118 Página 7 de 18
Procure um mentor executivo:Um de seus ativos mais valiosos será um mentor de nível sênior. Procure um
líder que tenha conhecimento do funcionamento interno da equipe executiva sênior. Não é necessário
conhecimento da área de segurança; na verdade, seu mentor irá atendê-lo melhor se tiver pouco
conhecimento de segurança, para que você obtenha uma noção realista e objetiva de como suas propostas e
liderança são recebidas.

Estabeleça as funções e responsabilidades da segurança:Sua primeira prioridade na função de CISO é esclarecer

e definir as funções e responsabilidades da segurança. Converse com seu gerente para definir o escopo

completo da função de segurança e de sua função. Considere esclarecer a propriedade em áreas como:

■ Segurança física

■ Continuidade de negócios e recuperação de desastres (BC/DR)

■ Privacidade

■ Conformidade

■ Risco de TI

■ Governança de risco

■ Operações de segurança

Para áreas fora da responsabilidade da segurança, certifique-se de desenvolver relações de trabalho com

gerentes e líderes pares (por exemplo, chefe de ERM, diretor de privacidade, conselheiro geral).

Faça um inventário de suas fontes de informação:Faça rapidamente um inventário das fontes de informação

necessárias para gerenciar a função de segurança. Por exemplo, localize quaisquer políticas, organogramas,

planos estratégicos, projetos atuais, roteiros tecnológicos e métricas existentes. Use essas fontes de informação

para informar sua compreensão do estado atual e dos planos imediatos da segurança.

Realize avaliações de maturidade:Crie um ambiente seguro para que a equipe de segurança avalie com
franqueza a maturidade da segurança. Estas avaliações revelam lacunas que informam a definição de
estratégias voltadas para o futuro – e não culpas retrospectivas. Como um novo CISO, você deve realizar
pelo menos as seguintes avaliações básicas e considerar adicionar outras, se possível.

Avaliações básicas para os primeiros 100 dias:

| G00747118 Página 8 de 18
■ Avaliação de maturidade funcional:Avalie a capacidade da segurança e a maturidade do

processo. Considere a pontuação de TI do Gartner para gerenciamento de segurança e riscos.

■ Avaliação de maturidade de controles:Avalie a maturidade da implementação dos controles de segurança.

Considere o serviço de benchmarking de maturidade de controles do Gartner.

■ Avaliação de risco:Avalie os riscos de informação associados a aplicativos e infraestrutura em toda

a empresa. As avaliações de risco devem ser priorizadas para as áreas de maior risco, e as
informações coletadas em quaisquer registros de risco existentes podem ajudar a avaliar a postura
de risco da sua empresa.

Avaliações adicionais:

■ Constatações de auditoria

■ Avaliações de vulnerabilidade

■ Avaliações de ameaças

■ Avaliações de talentos

■ Descobertas regulatórias

■ Testes de penetração

■ Testes de phishing

Identifique suas principais prioridades estratégicas:A realização de avaliações revelará lacunas existentes
em todo o programa de segurança. Use essas lacunas para identificar de três a cinco prioridades
estratégicas a serem abordadas nos primeiros 100 dias. Estas prioridades devem abordar desafios
fundamentais e causar uma impressão positiva na equipa de segurança e na liderança superior.

Considere prioridades que:

■ Atenda aos requisitos fundamentais para um programa de segurança bem-sucedido

■ Vincule claramente aos resultados de negócios

■ Fornecer uma base para a melhoria da maturidade plurianual

■ Estabeleça sua credibilidade como um CISO e diretor eficaz da empresa

| G00747118 Página 9 de 18
Comunicações na Fase de Avaliação

Avaliar o estado atual da segurança pode ser um processo desafiador. Por exemplo, alguns funcionários de

segurança podem minimizar as lacunas porque se sentem na defensiva ou preferem apresentar as coisas da

melhor maneira possível. Por outro lado, outro pessoal de segurança pode exagerar as lacunas, a fim de obter

investimento e apoio para as suas prioridades restritas. Lembre-se, estas são tendências humanas normais e

podem ser combatidas através da criação de um ambiente de comunicação aberta, segura e transparente.

Concentre-se nas seguintes oportunidades de comunicação:

■ Conheça os líderes da equipe:Faça reuniões individuais com os líderes da equipe de segurança. Avalie as

suas opiniões sobre o estado actual do programa de segurança e deixe claro que cada líder desempenha

um papel fundamental na definição de uma estratégia de segurança executiva nas próximas semanas,

meses e anos.

■ Entreviste as partes interessadas:Entreviste as partes interessadas e reúna suas percepções sobre a

função de segurança. As partes interessadas a serem visadas incluem consultor jurídico, diretor de

privacidade, CIO, executivo-chefe de auditoria e chefe de RH.

■ Identifique influenciadores:Ao se reunir com líderes de toda a empresa, anote os influenciadores

seniores que podem promover prioridades de segurança, dar-lhe um mandato pessoal e ajudá-lo a
se preparar para a comunicação em nível sênior e de diretoria.

Recursos para a fase de avaliação

Revise os seguintes recursos do Gartner para começar.

Pesquisa e ferramentas do Gartner

Pontuação de TI para gerenciamento de segurança e riscos — Avalie a maturidade dos processos e

recursos da sua função de segurança.

Serviço de benchmarking de maturidade de controles — compare a maturidade de seus controles

técnicos com pares semelhantes.

Fase de planejamento (semanas 3 a 6)

De volta ao topo

A fase de planejamento sintetiza as informações de suas avaliações em um plano de ação. Seu

planejamento inicial define o roteiro para os primeiros 100 dias e orienta o sucesso da segurança
durante o primeiro ano na função.

| G00747118 Página 10 de 18
Resultados-alvo para a fase de planejamento

Almeje os seguintes resultados ao conduzir o planejamento:

■ Aplano estratégico documentadoque prioriza duas a três iniciativas de segurança para os

primeiros 100 dias e um roteiro flexível para o primeiro ano.

■ Umorçamento operacionalque garanta recursos suficientes para alcançar as prioridades. Se faltarem

recursos, então o plano estratégico deve ser ajustado em conformidade para que seja exequível.

Ações para a Fase de Plano

Execute as seguintes ações ao conduzir o planejamento:

Selecione algumas prioridades principais:Examine suas principais prioridades e selecione duas ou três nas quais

focar nos próximos três meses. Use os seguintes critérios para filtrar essas prioridades principais:

■ A iniciativa pode ser alcançada em três meses?

■ Você terá o apoio executivo, os recursos e o orçamento necessários?

■ A iniciativa está ligada à redução do risco cibernético?

■ O risco de falha é relativamente baixo?

Ao selecionar prioridades, ajude os líderes empresariais a compreender como as prioridades de segurança

apoiam os resultados empresariais. Fazer esta ligação antecipadamente maximiza o crédito que você e a função

de segurança recebem por alcançarem as prioridades estratégicas.

Projete ou refine sua função de segurança:Estruture a função de segurança com base no seu mandato,
prioridades e cultura da empresa. Infelizmente, não existe uma abordagem única para o design da
organização de segurança; em vez disso, você deve projetar a função de forma que as funções e
responsabilidades sejam claras, os gerentes sejam capacitados e responsáveis e as conexões com pares
externos à segurança (por exemplo, TI, privacidade, jurídico) sejam claras.

Planeje seu orçamento operacional:Seu nível de controle sobre o orçamento de segurança dependerá de
quando você ingressou na empresa (início, meio ou final do ano fiscal) e do processo orçamentário atual.
Embora alguns aspectos do orçamento possam não ser flexíveis durante os primeiros 100 dias, deve
garantir que o seu orçamento operacional pode apoiar as suas prioridades estratégicas. Você pode
considerar a realocação de recursos para apoiar prioridades.

| G00747118 Página 11 de 18
Comunicações na fase de planejamento

Documente um plano estratégico de segurança:Seu plano estratégico dos primeiros 100 dias deve consistir em

três partes:

1. A visão do programa (“onde queremos estar”).

2. Resultados das suas avaliações de maturidade (“onde estamos atualmente”).

3. Uma análise de lacunas e prioridades estratégicas (“como chegaremos lá”).

Crie uma visão do programa de segurança:Os programas de segurança da informação exigem uma declaração

de visão clara e concisa. Esta declaração estabelece o mandato e os objetivos de alto nível da segurança e deve

ser partilhada com a sua equipa, gestão e partes interessadas relevantes.

Recursos para a fase de planejamento

Revise os seguintes recursos do Gartner para começar.

Pesquisa e ferramentas do Gartner

Guia Ignition para Planejamento Estratégico para Segurança da Informação — Crie um plano estratégico

usando nossa orientação passo a passo.

Melhores práticas de planejamento de estratégia de segurança — Desenvolva um plano estratégico acionável que

estabeleça

credibilidade e gera apoio.

Priorização do portfólio de segurança: adicionando rigor às decisões de investimento em segurança —

Projete uma metodologia repetível e defensável para priorizar projetos de segurança interna.

Kit de ferramentas: Estratégia de segurança da informação em uma página — Desconstruída — Crie um documento

estratégico de uma página que ressoe com a liderança do alto escalão.

Fase de Ato (Semanas 5 a 12)

De volta ao topo

| G00747118 Página 12 de 18
A fase de ação oferece melhorias na capacidade de segurança. As ações nos primeiros 100 dias
devem se concentrar em realizações tangíveis e visíveis que estabeleçam credibilidade pessoal e
promovam a posição da segurança na empresa. O sucesso inicial garante mais adesão, o que
apoia mais sucesso – criando assim um ciclo de melhoria e conquista para você e sua equipe.

Resultados-alvo para a fase de ação

Almeje os seguintes resultados ao agir:

■ Uma série dereuniões agendadascom gerentes de segurança, funcionários e equipes.

■ Umproprietário do projeto atribuídopara cada uma das principais prioridades de segurança.

■ Aorçamento de segurançaque garanta recursos suficientes para suas prioridades estratégicas.

■ Uma lista deresultados tangíveis e mensuráveis do projetoque demonstrem progresso em relação aos

seus objetivos estratégicos.

Ações para a Fase de Ação

Tome as seguintes ações ao implementar seu plano:

Refine funções e responsabilidades:Primeiro, certifique-se de que todos os gestores de segurança tenham funções

e responsabilidades bem definidas. Deixe claro pelo que cada gestor de segurança é responsável e como o seu

desempenho será avaliado. Em segundo lugar, garantir que todo o pessoal de segurança de nível hierárquico

tenha descrições de cargos e responsabilidades claras que reflitam claramente o trabalho que cada funcionário

realmente realiza. Tenha em mente que as descrições de funções e as métricas de gestão de desempenho muitas

vezes diferem da realidade de como o trabalho realmente é realizado – uma lacuna que deve ser corrigida sob sua

nova liderança.

Lembre-se de que os gerentes de segurança podem ajudar a desenvolver funções e responsabilidades para si e

para suas equipes. Como CISO, você deve supervisionar esse trabalho, mas não sinta que deve concluir todas as

tarefas de gerenciamento sozinho.

Atribuir propriedade do projeto:Cada uma das suas prioridades estratégicas deve ter um dono de projeto
formal. Estabeleça um plano, expectativas e resultados claros para cada projeto e esclareça-os com os
respectivos proprietários do projeto. Uma forma de minimizar o risco de fracasso do projeto é estabelecer
múltiplos objetivos do projeto e evitar projetos que tenham resultados binários (sucesso ou fracasso).

| G00747118 Página 13 de 18
Suporte seguro de liderança:Use seu plano estratégico e visão de segurança para envolver a liderança e obter

adesão para suas principais prioridades. O apoio da liderança dá a você e à sua equipe um mandato que pode

ser usado para garantir financiamento, influenciar as partes interessadas e motivar a equipe de segurança.

Estabeleça processos e fóruns de governança de segurança:Comece a trabalhar para construir uma governança

eficaz do risco da informação em toda a empresa. Isto implica direitos de tomada de decisão sobre riscos,

responsabilização pelo risco e as responsabilidades das partes interessadas em toda a empresa pelo risco de

informação. Um dos seus maiores desafios como novo CISO provavelmente será incutir a propriedade adequada

dos riscos e a tomada de decisões.

Implemente quaisquer alterações orçamentárias necessárias:Se necessário, implemente alterações orçamentais

para apoiar as suas prioridades estratégicas iniciais. A sua principal prioridade agora é garantir financiamento e

recursos suficientes durante os próximos três a seis meses. Agora é um bom momento para começar a planejar o

orçamento do próximo ano fiscal. Como novo CISO, você pode ter considerável boa vontade e margem de

manobra para realocar financiamento ou até mesmo garantir recursos adicionais. Lembre-se de que seu

orçamento inicial provavelmente servirá como referência de comparação nos anos futuros, portanto, estruture seu

orçamento para apoiar um roteiro plurianual.

Comunicações na Fase de Ação

Socialize seu plano estratégico e visão:Apresente seu plano estratégico e visão à liderança e às
partes interessadas em toda a empresa. À medida que você socializa seu plano, adapte sua
mensagem ao seu público, vinculando seu plano às prioridades das partes interessadas. Mostre a
conexão entre a segurança da informação e as prioridades e objetivos dos líderes de toda a
empresa.

Agende check-ins da equipe e do gerente:A gestão de pessoas é um aspecto importante da função do

CISO. Como primeiro passo no gerenciamento de sua equipe, crie reuniões recorrentes com toda a
equipe de segurança. Em particular, considere o seguinte:

■ Realize check-ins semanais individuais com cada gerente de segurança. Use essas reuniões para planejar e

acompanhar projetos. As reuniões de gerentes também são uma oportunidade de treinamento,

especialmente no que diz respeito a incutir consciência empresarial e contexto nas operações de

segurança do dia a dia.

■ Estabeleça reuniões individuais mensais ou trimestrais com a equipe de segurança. Você pode
agendá-los continuamente para se reunir com vários membros da equipe todas as semanas. Essas
reuniões são uma oportunidade para se comunicar diretamente com a equipe, coletar informações e
avaliar o moral.

| G00747118 Página 14 de 18
■ Agende reuniões gerais mensais. Como CISO, você pode fazer anúncios importantes, reconhecer os

melhores desempenhos e fornecer atualizações importantes para toda a equipe. Como oportunidade de

desenvolvimento, você pode selecionar gestores e membros da equipe para apresentarem nessas reuniões.

■ Incentive reuniões de equipe permanentes. Os gerentes de segurança devem considerar reuniões diárias

permanentes com suas respectivas equipes. Estas reuniões curtas (por exemplo, menos de 30 minutos)

definem a agenda do dia, proporcionam uma oportunidade para perguntas e respostas e facilitam a

colaboração. As reuniões diárias permanentes são especialmente importantes com equipes virtuais, pois

substituem as conversas “mais frias” que ocorrem entre equipes presenciais.

Recursos para a Fase de Ação

Revise os seguintes recursos do Gartner para começar.

Pesquisa e ferramentas do Gartner

Centro de suporte para apresentações de segurança da informação — Use modelos “download and go”

para fortalecer sua mensagem para a liderança e as partes interessadas em toda a empresa.

Use ferramentas e modelos relevantes para amadurecer seus processos:

■ =Guia Ignition para desenvolver um plano de resposta a incidentes de segurança

■ Guia Ignition para projetar e lançar um programa Security Champion

■ Guia Ignition para Planejamento Estratégico para Segurança da Informação

■ Guia Ignition para criar um painel de integridade funcional para segurança da informação

■ Guia Ignition para construir um programa de testes de crises cibernéticas

Fase de Medição (Semanas 11-14)

De volta ao topo

A fase de medição fornece evidências do seu impacto na segurança e na empresa. Medição e

comunicação são marcas registradas de um CISO bem-sucedido, e você deve dedicar um
esforço significativo a esse esforço durante todo o seu mandato.

Resultados Alvos para a Fase de Medição

Almeje os seguintes resultados ao medir o desempenho:

| G00747118 Página 15 de 18
■ Aconjunto definido de métricas operacionaispara monitorar o desempenho e o progresso em

iniciativas de segurança.

■ Evidência de progresso iniciala ser relatado às partes interessadas e à equipe de liderança.

■ Umcadência estabelecida de reuniões e relatóriospara diversas partes interessadas, incluindo o

CIO, o comitê de direção de risco, o C-suite e o conselho.

Ações para a Fase de Medição

Defina um portfólio de métricas de segurança:Crie um pequeno portfólio de KPIs operacionais e, em seguida,

adapte essas métricas operacionais em métricas relevantes para os negócios que tenham repercussão na

liderança e no conselho. As melhores métricas relevantes para os negócios incluem o contexto de negócios e

o resumo dos detalhes técnicos.

Desenvolva um processo de relatório executivo:Estabeleça a frequência e os públicos dos relatórios, como

os comitês de direção, briefings de alto escalão e relatórios do conselho (conselho completo e comitê de
risco). Depois que as expectativas de relatório forem definidas, dedique algum tempo para entender as
expectativas e prioridades de cada público. Em seguida, crie métricas e relatórios relevantes para cada
público e estabeleça processos e responsabilidades para a equipe de segurança manter e atualizar esses
painéis regularmente.

Comunicações na Fase de Medição

Monitorar o progresso do programa e do projeto:Acompanhe o progresso da segurança e os ganhos de

maturidade do programa. Relate o progresso à liderança e use esse impulso para apresentar argumentos

comerciais para financiamento e apoio contínuos (ou aumentados), conforme necessário. Treine gerentes de

segurança e líderes de projeto para articular a segurança em termos relevantes para os negócios. Sua equipe de

liderança deve ser capaz de explicar sucintamente como as prioridades de segurança mapeiam e apoiam os

objetivos de negócios da empresa.

Destaque as primeiras vitórias e desafios:Mantenha o ímpeto comunicando vitórias e identificando

soluções para enfrentar os desafios à medida que surgirem. Tenha em mente que a maioria das
iniciativas de segurança tem múltiplos objetivos (alguns menores, outros maiores) — e mesmo que
alguns objetivos sejam adiados ou perdidos, outros poderão ser alcançados.

Recursos para a Fase de Medição

Revise os seguintes recursos do Gartner para começar.

| G00747118 Página 16 de 18
Pesquisa e ferramentas do Gartner

Por que você deve desenvolver um Balanced Scorecard para gerenciamento de segurança e riscos —
Implemente um Balanced Scorecard para comunicar à liderança métricas relevantes para os negócios.

Kit de ferramentas: desenvolvendo um Balanced Scorecard para segurança — Use esta ferramenta de download e uso para

criar rapidamente um Balanced Scorecard de segurança.

Cinco características exigidas das métricas de segurança — Projete métricas que satisfaçam as melhores

práticas.

Ferramenta: Um painel simples de gerenciamento de CSF do NIST — Desenvolva um painel de gerenciamento de

segurança que reflita os padrões do setor (por exemplo, a estrutura de segurança cibernética do NIST) e ressoe

com os líderes seniores de toda a empresa.

Histórico de revisão de documentos

Os primeiros 100 dias do diretor de segurança da informação - 27 de junho de 2014

Os primeiros 100 dias cruciais do novo CISO - 17 de fevereiro de 2011

Kit de ferramentas: os primeiros 100 dias cruciais do novo CISO - 2 de fevereiro de 2007

Recomendado pelos Autores

Alguns documentos podem não estar disponíveis como parte da sua assinatura atual do Gartner.

O roteiro para a eficácia do CISO

Melhores práticas de planejamento de estratégia de segurança

Pontuação de TI para segurança e gerenciamento de riscos

Cinco perguntas do conselho que os líderes de segurança e risco devem estar preparados para responder

| G00747118 Página 17 de 18
© 2021 Gartner, Inc. e/ou suas afiliadas. Todos os direitos reservados. Gartner é uma marca registrada da Gartner, Inc. e
de suas afiliadas. Esta publicação não pode ser reproduzida ou distribuída de qualquer forma sem a permissão prévia por
escrito do Gartner. Consiste nas opiniões da organização de pesquisa Gartner, que não devem ser interpretadas como
declarações de fatos. Embora as informações contidas nesta publicação tenham sido obtidas de fontes consideradas
confiáveis, o Gartner se isenta de todas as garantias quanto à exatidão, integridade ou adequação de tais informações.
Embora a pesquisa da Gartner possa abordar questões jurídicas e financeiras, a Gartner não fornece aconselhamento
jurídico ou de investimento e a sua pesquisa não deve ser interpretada ou utilizada como tal. Seu acesso e uso desta
publicação são regidos por Política de uso do Gartner. A Gartner orgulha-se da sua reputação de independência e
objectividade. Sua pesquisa é produzida de forma independente por sua organização de pesquisa, sem contribuição ou
influência de terceiros. Para mais informações, consulte "Princípios Orientadores sobre Independência e Objetividade."

Estágio Meta

Preparar Planeje sua função antes do primeiro dia.

Avaliar Entenda a maturidade atual da segurança.

Plano Crie um roteiro para os primeiros 100 dias.

Agir Implemente melhorias visíveis de maturidade.

Medir Forneça evidências do progresso da segurança.

| G00747118 Página 18 de 18
Insight acionável e objetivo
Certifique-se de que sua função de segurança cibernética esteja posicionada para o sucesso.
Explore estes recursos e ferramentas complementares adicionais para líderes de segurança
e risco:

Infográfico e-book
Proteja os ativos de sua empresa com um 3 itens essenciais em seu incidente
roteiro para o amadurecimento do de segurança cibernética
programa de segurança da informação Resposta
Certifique-se de que sua segurança se Crie hoje mesmo um plano de resposta de
adapte às ameaças atuais e novas. segurança cibernética para sua organização.

Baixar infográfico Baixe Agora

Pesquisar Seminário on-line

Prevê 2022: Segurança de A visão de liderança do Gartner

Sistemas Ciberfísicos – para 2022: segurança e
Infraestrutura Crítica em Foco gerenciamento de riscos
Prepare sua empresa para um futuro Planeje para 2022 e fique à frente dos
seguro. desafios em evolução.

Baixe Agora Assistir sob demanda

Já é cliente?
Tenha acesso a ainda mais recursos no portal do seu cliente.Conecte-se

© 2022 Gartner, Inc. e/ou suas afiliadas. Todos os direitos reservados. CM_GTS_1735408
Conecte-se conosco
Obtenha insights práticos e objetivos para cumprir suas prioridades de missão crítica. Nossa

orientação e ferramentas especializadas permitem decisões mais rápidas e inteligentes e um

desempenho mais forte. Entre em contato conosco para se tornar um cliente:

NÓS:1 855 811 7593

Internacional:+44 (0) 3330 607 044

Torne-se um cliente

Saiba mais sobre o Gartner para líderes de TI

gartner.com/en/information-technology

Fique conectado com os insights mais recentes

Participe de uma conferência do Gartner

Ver conferências

© 2022 Gartner, Inc. e/ou suas afiliadas. Todos os direitos reservados. CM_GTS_1735408