O papel do CISO evoluiu significativamente nos últimos anos. Atualmente, os CISOs são membros fundamentais das equipas executivas, ajudando a definir estratégias, traduzir questões tecnológicas para diferentes stakeholders e gerir orçamentos. Isto exige mais do que apenas conhecimentos técnicos e de cibersegurança — requer competências sólidas em gestão orçamental, comunicação e liderança.

Além disso, os CISOs operam em condições muito distintas consoante a organização. Em algumas empresas, podem estar apenas a configurar um firewall, enquanto noutras podem liderar equipas de mais de 100 pessoas. Os orçamentos, domínios, tamanhos das equipas e recursos variam amplamente, tornando difícil definir uma métrica universal para avaliar o desempenho de um CISO.

O artigo de Daniel Lohrmann, publicado em 2018, iniciou um debate importante sobre como avaliar o papel do CISO nesta função mais ampla. Baseando-me na minha experiência como CISO e mentor de outros líderes de segurança e risco, adaptei ligeiramente as ideias de Lohrmann. Neste artigo, analiso cinco grupos essenciais com os quais os CISOs devem construir relações, apresentando-os por ordem de importância.

A Ferramenta de Avaliação do CISO de Lohrmann

No seu artigo, Lohrmann sugeriu que a eficácia de um CISO pode ser avaliada com base nas relações que estabelece com cinco grupos de stakeholders. Estas relações refletem fatores como confiança, respeito, resultados de projetos, competências de comunicação e a capacidade geral de envolver diferentes grupos dentro da organização. Além disso, evidenciam a capacidade do CISO de liderar e inspirar excelência nos outros.

Os cinco grupos são:

• Equipa interna de segurança: Relações com a equipa de segurança interna, incluindo colaboradores que reportam diretamente ao CISO.
• Pares organizacionais internos: Relações com profissionais de negócio e tecnologia ao mesmo nível dentro da organização, incluindo clientes internos.
• Gestão: Relações com a chefia direta e outros executivos seniores, incluindo os seus pares e superiores.
• Fornecedores: Eficiência na gestão de contratos, aquisição de serviços externos, interação com fornecedores de tecnologia e avaliação de novas soluções.
• Clientes externos: Relações com clientes organizacionais mais amplos, incluindo utilizadores dos produtos e serviços da empresa.

Método de Avaliação

Lohrmann sugere uma abordagem simples: avaliar se o CISO tem uma relação “boa” (ou idealmente “muito boa” ou “excelente”) com cada um dos grupos. A principal questão a responder é: este grupo respeita e confia no CISO como seu conselheiro de segurança?

A pontuação segue esta lógica:

• Apenas um grupo confia no CISO → A sua permanência na função está em risco, a menos que tenha forte apoio da chefia.
• Dois grupos demonstram confiança e respeito → O CISO é minimamente competente, mas apenas mediano.
• Três grupos confiam no CISO → O CISO está a desempenhar bem, mas pode melhorar.
• Quatro grupos confiam e respeitam o CISO → Indica um desempenho acima da média.
• Todos os cinco grupos demonstram respeito e confiança → O CISO é um líder excecional e terá apoio mesmo nos momentos mais difíceis.

Como se tornar um CISO de cinco estrelas: um guia passo a passo

Utilizo a ferramenta de avaliação de Lohrmann há vários anos — primeiro, para medir a minha própria eficácia e, mais tarde, como mentor e supervisor de outros CISOs. Com o tempo, ajustei ligeiramente a abordagem, adicionando detalhes e alterando algumas prioridades.

Tal como Lohrmann, avalio cinco áreas principais, ordenadas da mais importante para a menos importante. Para cada área, utilizo um sistema de classificação por estrelas, variando de uma a cinco. Como o papel do CISO exige concentração em várias tarefas complexas, estabeleci um princípio: não permito que os meus mentorados avancem para a próxima área até obterem pelo menos três estrelas na atual. Em algumas áreas, existem componentes essenciais que devem ser abordados antes de alcançar uma pontuação elevada ou avançar para a fase seguinte.

1. Relações com a equipa interna de segurança

Esta deve ser a prioridade número um. O CISO toma decisões sobre questões técnicas complexas, lidera a transformação cultural da empresa, gere salários da equipa, resolve conflitos e lida com diversas preocupações dos colaboradores. Se a equipa respeitar o CISO e valorizar a sua opinião, este pode avaliar-se positivamente nesta área. A confiança mútua é essencial e deve ser estabelecida antes de tudo o resto.

Uma competência crítica nesta área é a capacidade de delegação. Um CISO que falha em delegar eficazmente torna-se um gargalo e não pode obter uma avaliação elevada nesta categoria. Delegar tarefas complexas não só reduz a sobrecarga do CISO, como também fortalece a equipa.

2. Relações com pares organizacionais internos

Esta área abrange a colaboração com outras equipas e os respetivos gestores dentro da empresa. No meu caso, trabalho regularmente com:

• Conselho de Segurança da Informação
• Departamento de TI
• Equipa de Compliance
• Equipa de Recursos Humanos
• Equipa Jurídica
• Departamento de Contabilidade
• Equipa de Relações Públicas

As primeiras cinco equipas são fundamentais, pois interagem regularmente com o CISO em diversas questões. Já as relações com as restantes equipas são úteis, mas não essenciais.

3. Programas e projetos de segurança

Este aspeto não é abordado no artigo de Lohrmann, mas considero-o crucial. O CISO é contratado para liderar e apoiar projetos estratégicos, como:

• Implementação da abordagem Zero Trust
• Migração para infraestrutura cloud ou híbrida
• Configuração e implementação de EDR (Endpoint Detection and Response) e MDM (Mobile Device Management)
• Melhoria do programa de gestão de vulnerabilidades e patches
• Programas de consciencialização em segurança
• Reforço da segurança de aplicações

Por exemplo, a abordagem Zero Trust tornou-se indispensável após a pandemia de COVID-19, devido ao aumento do trabalho remoto. Em 2022, provou ser vital para garantir a resiliência das empresas na Ucrânia durante a invasão russa.

4. Relações com a gestão

Esta categoria inclui:

• Relação com o gestor direto
• Conselho de Administração/Fundadores
• Controlo sobre o orçamento de segurança

O CISO deve ter autoridade sobre o orçamento da segurança da informação, pois sem controlo sobre os recursos, a sua capacidade de atuação será limitada.

5. Relações com fornecedores

Esta categoria inclui a gestão de fornecedores, contratos e avaliações de segurança de terceiros. Embora seja importante, ocupa uma posição secundária na avaliação do CISO.

Como implementar este método

Ao integrar um novo CISO, deve começar-se pela avaliação das relações com a equipa interna de segurança. A progressão ocorre gradualmente, garantindo que o CISO obtém pelo menos três estrelas em cada categoria antes de avançar para a seguinte. O mesmo método pode ser utilizado para avaliar CISOs já estabelecidos, garantindo um desenvolvimento contínuo e estruturado.

Este modelo não só fornece uma estrutura clara para medir o desempenho do CISO, como também promove uma abordagem equilibrada e estratégica para a liderança em segurança da informação.