Os 100 primeiros dias como o novo diretor de segurança da informação

1.º de setembro de 2016

Colaboradora: Susan Moore

Use a lista de verificação do Gartner para novos diretores de segurança da informação como uma diretriz para o sucesso no cargo.

Os 100 primeiros dias como diretor de segurança da informação (chief information security officer, CISO) são uma oportunidade para ganhar credibilidade e exaltar a reputação interna da segurança da organização.

É nesta fase breve de “lua de mel” que se torna possível definir o cargo, desenvolver uma estratégia, construir relacionamentos profissionais, garantir o suporte da liderança, estabelecer a confiança com sua nova equipe e sinalizar seu estilo de liderança.

“Aqueles que assumirem o cargo com um plano estratégico sólido para seus 100 primeiros dias provavelmente terão sucesso,” diz William Candrick, diretor analista, Gartner. “Isso é fato principalmente se a empresa precisar de uma importante reformulação na governança do risco cibernético ou melhorar consideravelmente a maturidade de seu programa de segurança.”

Baixar e-book: 2021 Top Priorities for Security and Risk Management Leaders

O cargo de diretor de segurança da informação é cada vez mais essencial e quase sempre uma contratação onerosa para as organizações, o que significa que você precisa provar seu valor rapidamente.

Um diretor de segurança da informação de sucesso é, sobretudo, líder, gestor e comunicador, não tecnólogo. O sucesso inicial depende da sua capacidade de:

  1. Estabelecer uma marca pessoal de credibilidade e liderança
  2. Fundamentar a base para um programa defensivo de segurança.

O Gartner detalha os 100 primeiros dias do diretor de segurança da informação em cinco fases, cada uma com resultados para metas, ações e ideias cruciais a se considerar.

Diretriz de cinco fases para ajudar o novo diretor de segurança da informação em seus 100 primeiros dias no cargo.

Preparação (antes do primeiro dia)

Não espere até o primeiro dia no cargo para começar. Antes de começar, procure entender sua empresa e identificar as principais partes interessadas. Conecte-se via LinkedIn e prepare uma biografia sucinta, perguntas e pontos de discussão antes da rodada inicial de apresentações.

Esta fase tem como foco ouvir e aprender, sem envolver a tomada de decisões. Evite tomar decisões ou fazer anúncios indiscriminados nas primeiras semanas no cargo de diretor de segurança da informação.

O objetivo é desenvolver um senso comum do seu cargo e do conjunto de expectativas das partes interessadas, além de um plano básico de interação para conhecer a liderança e os funcionários.

Avaliação (1.ª a 4.ª semana)

Depois, será necessário entender a maturidade e o desempenho atuais da função de segurança. Avalie o que funciona ou não e pense em qual será sua prioridade nos três a seis primeiros meses.

Procure um mentor executivo que possa fornecer insights sobre a cultura da empresa. Confira quais recursos estão disponíveis, incluindo financiamento, funcionários e tecnologia. Em seguida, use as avaliações formais de maturidade, conversas de equipe e interação com as partes interessadas para elucidar as lacunas no programa de segurança. Crie uma lista com três a cinco prioridades estratégicas para abordar essas lacunas.

Planejamento (3.ª a 6.ª semana)

Transforme o que aprendeu em um plano de ação. Compartilhe sua visão do programa de segurança com a equipe, os gestores de linha e as partes interessadas do negócio. Esta é a sua chance de aprimorar e projetar uma segurança nova para a organização.

Quando essa fase for concluída, é necessário que haja:

  1. Um plano estratégico de segurança documentado que priorize duas ou três iniciativas para seus 100 primeiros dias e uma diretriz informal para o primeiro ano.
  2. Um orçamento de segurança que garanta recursos suficientes para tratar prioridades. Se houver poucos recursos, o plano estratégico deve ser devidamente ajustado para tornar-se viável.

Ação (5.ª a 12.ª semana)

Esta é a sua primeira oportunidade de entregar resultados perceptíveis.

As ações nos 100 primeiros dias devem se concentrar em realizações tangíveis que proporcionem credibilidade pessoal e melhorem a segurança da empresa. O sucesso inicial garante mais adesão, o que abre caminho para mais sucesso, criando assim um ciclo de aprimoramento e realizações para você e sua equipe.

Aferição (11.ª a 14.ª semana)

Comece apresentando indícios de seu impacto. Defina um portfólio de métricas de segurança e desenvolva um processo de elaboração de relatórios executivos para que os outros saibam o que esperar de você.

Dê destaque às vitórias e aos desafios iniciais à medida que surgirem. Aferição e comunicação são marcas de um diretor de segurança da informação bem-sucedido, e é preciso dedicar-se com afinco a elas durante sua permanência no cargo.

Este artigo foi atualizado a partir do original de setembro de 2016 para refletir novos eventos, condições e pesquisas.

Respostas a incidentes de cibersegurança: 3 itens essenciais

Precisa de um plano de resposta a incidentes de cibersegurança? Confira o manual da Gartner para líderes de segurança reduzirem os impactos operacionais.

Leia agora

Explore o conteúdo detalhado e mantenha-se informado e atualizado

Prioridades que os CIOs devem abordar em 2025

Leia agora

Os principais desafios dos CIOS para 2024-2025

Leia agora

As principais tendências de segurança cibernética para 2024

Leia agora

A IA generativa é ideal para você? Saiba mais

Leia agora

As 3 previsões práticas e ousadas para o futuro da IA generativa

Leia agora

Diretor de IA: sua empresa precisa de um líder de IA?

Leia agora

Drive stronger performance on your mission-critical priorities.