Escolar Documentos
Profissional Documentos
Cultura Documentos
com
O CISO
Guia para o seu
Primeiros 100 dias
Por William Candrick, Sam Olyaei, Tom Scholtz
O guia do CISO para seus primeiros 100 dias
Publicado em 24 de maio de 2021 - ID G00747118 - 20 min de leitura
Visão geral
Principais conclusões
■ Os novos CISOs enfrentam dificuldades quando não conseguem compreender as expectativas da liderança ou não
Recomendações
Para líderes de segurança e gerenciamento de riscos em seus primeiros 100 dias na função de CISO:
■ Maximize suas chances de sucesso identificando de duas a cinco prioridades que você pode
realizar nos primeiros 100 dias.
■ Reserve tempo extra para incidentes de segurança imprevisíveis antes que eles ocorram inevitavelmente,
| G00747118 Página 1 de 18
■ Conquiste o apoio da equipe de segurança compartilhando uma visão estratégica, mostrando como a equipe se
Introdução
Seus primeiros 100 dias na função de CISO representam uma oportunidade para definir sua função e relacionamentos
profissionais. Este curto período de “lua de mel” normalmente fornece margem de manobra para desenvolver uma
estratégia, fazer conexões com executivos, garantir o apoio da liderança, estabelecer confiança com sua nova equipe e
sinalizar seu estilo de liderança. Esta oportunidade é especialmente valiosa se a empresa precisar de uma grande revisão
Esta pesquisa examina como os principais CISOs aproveitam ao máximo os primeiros 100 dias.
Dividimos este período em seis fases: preparar, avaliar, planejar, agir, medir e comunicar (Figura 1).
Fases e metas dos primeiros 100 dias de um CISO: clique nos links para ir para as seções
| G00747118 Página 2 de 18
Estágio Meta
■ Estabeleça sua credibilidade como CISO e eleve a marca e a imagem internas da empresa
de segurança.
gerenciamento de riscos).
■ Concentre-se num subconjunto de iniciativas estratégicas que são selecionadas e priorizadas por uma
■ Preencha a lacuna entre a excelência operacional de segurança e o valor comercial (por exemplo,
prioridades do Csuite).
■ Defina metas realistas, mensuráveis e com prazo determinado — e estabeleça métricas para acompanhar o
progresso.
O restante desta nota de pesquisa fornece orientações práticas para atingir esses
objetivos.
De volta ao topo
| G00747118 Página 3 de 18
Prepare-se para sua nova função antes do primeiro dia de trabalho. Um pouco de planejamento inicial prepara o
terreno para um início bem-sucedido e estabelece os relacionamentos necessários ao longo de sua gestão como
CISO.
■ Aentendimento comumde sua função e as expectativas de sua equipe, das partes interessadas
seniores e da equipe de liderança.
Esta fase se concentra em ouvir e aprender – não na tomada de decisões. Evite fazer
anúncios ou decisões abrangentes nas primeiras semanas na função de CISO.
Avalie o tipo de CISO que sua empresa exige:As empresas têm requisitos diferentes com base na
cultura, indústria, desafios políticos e outros fatores. Alguns exigirão um CISO com orientação
operacional, enquanto outros exigirão um CISO mais focado nos negócios. A Gartner recomenda que
os líderes de segurança e gestão de riscos consultem o Índice de Eficácia do CISO e trabalhem no
desenvolvimento de perfis com base nas necessidades da sua empresa.
Identifique as principais partes interessadas:Crie uma lista de stakeholders de liderança com quem
você trabalhará. Esta lista pode incluir (mas não está limitada a) CEO, CFO, CIO, conselheiro geral,
chefe de RH, diretor de privacidade (CPO) e diretor de risco (CRO).
preferência antes do seu primeiro dia na função. As táticas de engajamento incluem notas de agradecimento
| G00747118 Página 4 de 18
Agende reuniões iniciais:Trabalhe com seu assistente administrativo (ou um contato amigável dentro da
empresa) para marcar sua rodada inicial de reuniões. Planeje uma reunião geral da equipe de segurança
no primeiro dia e uma série de encontros e cumprimentos na semana 1 com as principais partes
interessadas em toda a empresa. As primeiras semanas são uma oportunidade para fazer apresentações
e se estabelecer na empresa.
Antes do Dia 1, seu foco deve ser principalmente aprender sobre a empresa e preparar mensagens
para as partes interessadas e sua equipe. O sucesso nas primeiras semanas dependerá de uma
comunicação eficaz - não da tomada de decisões.
Entenda as prioridades do seu C-suite:CISOs eficazes entendem que são executivos corporativos – e
não apenas gerentes operacionais ou especialistas em assuntos técnicos. Alcançar todo o seu
potencial como CISO requer a compreensão dos negócios da sua empresa e das prioridades que são
mais lembradas pelo C-suite e pelo conselho. Considere as seguintes fontes de informação antes do
seu primeiro dia:
■ Entenda as prioridades e preocupações da liderança lendo registros financeiros públicos recentes (por
■ Identifique quaisquer prioridades concorrentes dentro do C-suite e prepare-se para navegar pela segurança
Apresente-se:Crie uma breve biografia que cubra sua experiência pessoal, sua trajetória profissional
e suas ideias iniciais sobre como ingressar na empresa. Use esta biografia em apresentações e
encontros para que todos entendam quem você é e de onde você vem. Evite anunciar decisões
ousadas e perturbadoras nessas apresentações iniciais. Em vez disso, seu objetivo principal é ser
bem recebido por seus colegas e equipe.
| G00747118 Página 5 de 18
Use a narrativa:Contar histórias é uma forma eficaz de mudar perspectivas e obter aceitação. Por exemplo,
um novo CISO pode contar uma história que ilustra como o papel da segurança é ajudar a empresa a
avançar de forma rápida e segura – e não abrandar as coisas, a fim de reduzir todos os riscos ao nível mais
baixo possível. Fornecer um exemplo ilustrativo de experiências anteriores ou eventos noticiosos ajuda as
partes interessadas a compreender como a segurança e, por extensão, o CISO, é um recurso e não um
obstáculo.
■ Discussões das partes interessadas:Para essas reuniões, concentre-se nas percepções das partes
interessadas sobre segurança e na função do CISO. Reunir essas informações no início dos primeiros 100
dias ajudará você a planejar mudanças nos próximos meses, incluindo a mudança de perspectivas de
■ Discussões da equipe:Prepare perguntas que diagnostiquem (1) o estado atual da governança e das
operações de segurança e (2) as percepções da equipe e do ambiente de trabalho. As perguntas a
serem feitas incluem:
| G00747118 Página 6 de 18
Pesquisa e ferramentas do Gartner
O Roteiro para a Eficácia do CISO — Adapte sua abordagem de liderança com base nas melhores práticas
comprovadas provenientes dos principais CISOs.
De volta ao topo
Avalie a maturidade e o desempenho atuais da segurança. Uma avaliação de segurança de qualidade revela
objetivas, e não no instinto, para que a tomada de decisões seja defensável e repetível.
■ Uma lista priorizada detrês a cinco prioridades estratégicasque abordam lacunas de segurança e se
| G00747118 Página 7 de 18
Procure um mentor executivo:Um de seus ativos mais valiosos será um mentor de nível sênior. Procure um
líder que tenha conhecimento do funcionamento interno da equipe executiva sênior. Não é necessário
conhecimento da área de segurança; na verdade, seu mentor irá atendê-lo melhor se tiver pouco
conhecimento de segurança, para que você obtenha uma noção realista e objetiva de como suas propostas e
liderança são recebidas.
e definir as funções e responsabilidades da segurança. Converse com seu gerente para definir o escopo
completo da função de segurança e de sua função. Considere esclarecer a propriedade em áreas como:
■ Segurança física
■ Privacidade
■ Conformidade
■ Risco de TI
■ Governança de risco
■ Operações de segurança
Para áreas fora da responsabilidade da segurança, certifique-se de desenvolver relações de trabalho com
gerentes e líderes pares (por exemplo, chefe de ERM, diretor de privacidade, conselheiro geral).
Faça um inventário de suas fontes de informação:Faça rapidamente um inventário das fontes de informação
necessárias para gerenciar a função de segurança. Por exemplo, localize quaisquer políticas, organogramas,
planos estratégicos, projetos atuais, roteiros tecnológicos e métricas existentes. Use essas fontes de informação
para informar sua compreensão do estado atual e dos planos imediatos da segurança.
Realize avaliações de maturidade:Crie um ambiente seguro para que a equipe de segurança avalie com
franqueza a maturidade da segurança. Estas avaliações revelam lacunas que informam a definição de
estratégias voltadas para o futuro – e não culpas retrospectivas. Como um novo CISO, você deve realizar
pelo menos as seguintes avaliações básicas e considerar adicionar outras, se possível.
| G00747118 Página 8 de 18
■ Avaliação de maturidade funcional:Avalie a capacidade da segurança e a maturidade do
Avaliações adicionais:
■ Constatações de auditoria
■ Avaliações de vulnerabilidade
■ Avaliações de ameaças
■ Avaliações de talentos
■ Descobertas regulatórias
■ Testes de penetração
■ Testes de phishing
Identifique suas principais prioridades estratégicas:A realização de avaliações revelará lacunas existentes
em todo o programa de segurança. Use essas lacunas para identificar de três a cinco prioridades
estratégicas a serem abordadas nos primeiros 100 dias. Estas prioridades devem abordar desafios
fundamentais e causar uma impressão positiva na equipa de segurança e na liderança superior.
| G00747118 Página 9 de 18
Comunicações na Fase de Avaliação
Avaliar o estado atual da segurança pode ser um processo desafiador. Por exemplo, alguns funcionários de
segurança podem minimizar as lacunas porque se sentem na defensiva ou preferem apresentar as coisas da
melhor maneira possível. Por outro lado, outro pessoal de segurança pode exagerar as lacunas, a fim de obter
investimento e apoio para as suas prioridades restritas. Lembre-se, estas são tendências humanas normais e
podem ser combatidas através da criação de um ambiente de comunicação aberta, segura e transparente.
■ Conheça os líderes da equipe:Faça reuniões individuais com os líderes da equipe de segurança. Avalie as
suas opiniões sobre o estado actual do programa de segurança e deixe claro que cada líder desempenha
um papel fundamental na definição de uma estratégia de segurança executiva nas próximas semanas,
meses e anos.
função de segurança. As partes interessadas a serem visadas incluem consultor jurídico, diretor de
De volta ao topo
| G00747118 Página 10 de 18
Resultados-alvo para a fase de planejamento
Selecione algumas prioridades principais:Examine suas principais prioridades e selecione duas ou três nas quais
focar nos próximos três meses. Use os seguintes critérios para filtrar essas prioridades principais:
apoiam os resultados empresariais. Fazer esta ligação antecipadamente maximiza o crédito que você e a função
Projete ou refine sua função de segurança:Estruture a função de segurança com base no seu mandato,
prioridades e cultura da empresa. Infelizmente, não existe uma abordagem única para o design da
organização de segurança; em vez disso, você deve projetar a função de forma que as funções e
responsabilidades sejam claras, os gerentes sejam capacitados e responsáveis e as conexões com pares
externos à segurança (por exemplo, TI, privacidade, jurídico) sejam claras.
Planeje seu orçamento operacional:Seu nível de controle sobre o orçamento de segurança dependerá de
quando você ingressou na empresa (início, meio ou final do ano fiscal) e do processo orçamentário atual.
Embora alguns aspectos do orçamento possam não ser flexíveis durante os primeiros 100 dias, deve
garantir que o seu orçamento operacional pode apoiar as suas prioridades estratégicas. Você pode
considerar a realocação de recursos para apoiar prioridades.
| G00747118 Página 11 de 18
Comunicações na fase de planejamento
Documente um plano estratégico de segurança:Seu plano estratégico dos primeiros 100 dias deve consistir em
três partes:
Crie uma visão do programa de segurança:Os programas de segurança da informação exigem uma declaração
de visão clara e concisa. Esta declaração estabelece o mandato e os objetivos de alto nível da segurança e deve
Guia Ignition para Planejamento Estratégico para Segurança da Informação — Crie um plano estratégico
Melhores práticas de planejamento de estratégia de segurança — Desenvolva um plano estratégico acionável que
estabeleça
Kit de ferramentas: Estratégia de segurança da informação em uma página — Desconstruída — Crie um documento
De volta ao topo
| G00747118 Página 12 de 18
A fase de ação oferece melhorias na capacidade de segurança. As ações nos primeiros 100 dias
devem se concentrar em realizações tangíveis e visíveis que estabeleçam credibilidade pessoal e
promovam a posição da segurança na empresa. O sucesso inicial garante mais adesão, o que
apoia mais sucesso – criando assim um ciclo de melhoria e conquista para você e sua equipe.
■ Uma lista deresultados tangíveis e mensuráveis do projetoque demonstrem progresso em relação aos
Refine funções e responsabilidades:Primeiro, certifique-se de que todos os gestores de segurança tenham funções
e responsabilidades bem definidas. Deixe claro pelo que cada gestor de segurança é responsável e como o seu
desempenho será avaliado. Em segundo lugar, garantir que todo o pessoal de segurança de nível hierárquico
tenha descrições de cargos e responsabilidades claras que reflitam claramente o trabalho que cada funcionário
realmente realiza. Tenha em mente que as descrições de funções e as métricas de gestão de desempenho muitas
vezes diferem da realidade de como o trabalho realmente é realizado – uma lacuna que deve ser corrigida sob sua
nova liderança.
Lembre-se de que os gerentes de segurança podem ajudar a desenvolver funções e responsabilidades para si e
para suas equipes. Como CISO, você deve supervisionar esse trabalho, mas não sinta que deve concluir todas as
Atribuir propriedade do projeto:Cada uma das suas prioridades estratégicas deve ter um dono de projeto
formal. Estabeleça um plano, expectativas e resultados claros para cada projeto e esclareça-os com os
respectivos proprietários do projeto. Uma forma de minimizar o risco de fracasso do projeto é estabelecer
múltiplos objetivos do projeto e evitar projetos que tenham resultados binários (sucesso ou fracasso).
| G00747118 Página 13 de 18
Suporte seguro de liderança:Use seu plano estratégico e visão de segurança para envolver a liderança e obter
adesão para suas principais prioridades. O apoio da liderança dá a você e à sua equipe um mandato que pode
ser usado para garantir financiamento, influenciar as partes interessadas e motivar a equipe de segurança.
Estabeleça processos e fóruns de governança de segurança:Comece a trabalhar para construir uma governança
eficaz do risco da informação em toda a empresa. Isto implica direitos de tomada de decisão sobre riscos,
responsabilização pelo risco e as responsabilidades das partes interessadas em toda a empresa pelo risco de
informação. Um dos seus maiores desafios como novo CISO provavelmente será incutir a propriedade adequada
para apoiar as suas prioridades estratégicas iniciais. A sua principal prioridade agora é garantir financiamento e
recursos suficientes durante os próximos três a seis meses. Agora é um bom momento para começar a planejar o
orçamento do próximo ano fiscal. Como novo CISO, você pode ter considerável boa vontade e margem de
manobra para realocar financiamento ou até mesmo garantir recursos adicionais. Lembre-se de que seu
orçamento inicial provavelmente servirá como referência de comparação nos anos futuros, portanto, estruture seu
Socialize seu plano estratégico e visão:Apresente seu plano estratégico e visão à liderança e às
partes interessadas em toda a empresa. À medida que você socializa seu plano, adapte sua
mensagem ao seu público, vinculando seu plano às prioridades das partes interessadas. Mostre a
conexão entre a segurança da informação e as prioridades e objetivos dos líderes de toda a
empresa.
■ Realize check-ins semanais individuais com cada gerente de segurança. Use essas reuniões para planejar e
especialmente no que diz respeito a incutir consciência empresarial e contexto nas operações de
■ Estabeleça reuniões individuais mensais ou trimestrais com a equipe de segurança. Você pode
agendá-los continuamente para se reunir com vários membros da equipe todas as semanas. Essas
reuniões são uma oportunidade para se comunicar diretamente com a equipe, coletar informações e
avaliar o moral.
| G00747118 Página 14 de 18
■ Agende reuniões gerais mensais. Como CISO, você pode fazer anúncios importantes, reconhecer os
melhores desempenhos e fornecer atualizações importantes para toda a equipe. Como oportunidade de
desenvolvimento, você pode selecionar gestores e membros da equipe para apresentarem nessas reuniões.
■ Incentive reuniões de equipe permanentes. Os gerentes de segurança devem considerar reuniões diárias
permanentes com suas respectivas equipes. Estas reuniões curtas (por exemplo, menos de 30 minutos)
definem a agenda do dia, proporcionam uma oportunidade para perguntas e respostas e facilitam a
colaboração. As reuniões diárias permanentes são especialmente importantes com equipes virtuais, pois
Centro de suporte para apresentações de segurança da informação — Use modelos “download and go”
para fortalecer sua mensagem para a liderança e as partes interessadas em toda a empresa.
■ Guia Ignition para criar um painel de integridade funcional para segurança da informação
De volta ao topo
| G00747118 Página 15 de 18
■ Aconjunto definido de métricas operacionaispara monitorar o desempenho e o progresso em
iniciativas de segurança.
adapte essas métricas operacionais em métricas relevantes para os negócios que tenham repercussão na
liderança e no conselho. As melhores métricas relevantes para os negócios incluem o contexto de negócios e
maturidade do programa. Relate o progresso à liderança e use esse impulso para apresentar argumentos
comerciais para financiamento e apoio contínuos (ou aumentados), conforme necessário. Treine gerentes de
segurança e líderes de projeto para articular a segurança em termos relevantes para os negócios. Sua equipe de
liderança deve ser capaz de explicar sucintamente como as prioridades de segurança mapeiam e apoiam os
| G00747118 Página 16 de 18
Pesquisa e ferramentas do Gartner
Por que você deve desenvolver um Balanced Scorecard para gerenciamento de segurança e riscos —
Implemente um Balanced Scorecard para comunicar à liderança métricas relevantes para os negócios.
Kit de ferramentas: desenvolvendo um Balanced Scorecard para segurança — Use esta ferramenta de download e uso para
Cinco características exigidas das métricas de segurança — Projete métricas que satisfaçam as melhores
práticas.
segurança que reflita os padrões do setor (por exemplo, a estrutura de segurança cibernética do NIST) e ressoe
Kit de ferramentas: os primeiros 100 dias cruciais do novo CISO - 2 de fevereiro de 2007
Cinco perguntas do conselho que os líderes de segurança e risco devem estar preparados para responder
| G00747118 Página 17 de 18
© 2021 Gartner, Inc. e/ou suas afiliadas. Todos os direitos reservados. Gartner é uma marca registrada da Gartner, Inc. e
de suas afiliadas. Esta publicação não pode ser reproduzida ou distribuída de qualquer forma sem a permissão prévia por
escrito do Gartner. Consiste nas opiniões da organização de pesquisa Gartner, que não devem ser interpretadas como
declarações de fatos. Embora as informações contidas nesta publicação tenham sido obtidas de fontes consideradas
confiáveis, o Gartner se isenta de todas as garantias quanto à exatidão, integridade ou adequação de tais informações.
Embora a pesquisa da Gartner possa abordar questões jurídicas e financeiras, a Gartner não fornece aconselhamento
jurídico ou de investimento e a sua pesquisa não deve ser interpretada ou utilizada como tal. Seu acesso e uso desta
publicação são regidos por Política de uso do Gartner. A Gartner orgulha-se da sua reputação de independência e
objectividade. Sua pesquisa é produzida de forma independente por sua organização de pesquisa, sem contribuição ou
influência de terceiros. Para mais informações, consulte "Princípios Orientadores sobre Independência e Objetividade."
Estágio Meta
| G00747118 Página 18 de 18
Insight acionável e objetivo
Certifique-se de que sua função de segurança cibernética esteja posicionada para o sucesso.
Explore estes recursos e ferramentas complementares adicionais para líderes de segurança
e risco:
Infográfico e-book
Proteja os ativos de sua empresa com um 3 itens essenciais em seu incidente
roteiro para o amadurecimento do de segurança cibernética
programa de segurança da informação Resposta
Certifique-se de que sua segurança se Crie hoje mesmo um plano de resposta de
adapte às ameaças atuais e novas. segurança cibernética para sua organização.
Já é cliente?
Tenha acesso a ainda mais recursos no portal do seu cliente.Conecte-se
© 2022 Gartner, Inc. e/ou suas afiliadas. Todos os direitos reservados. CM_GTS_1735408
Conecte-se conosco
Obtenha insights práticos e objetivos para cumprir suas prioridades de missão crítica. Nossa
Torne-se um cliente
Ver conferências
© 2022 Gartner, Inc. e/ou suas afiliadas. Todos os direitos reservados. CM_GTS_1735408