Capa do Ebook gratuito LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

LGPD e Segurança da Informação: controles técnicos e organizacionais que sustentam conformidade

Novo curso

16 páginas
Todos os cursos > Informática ( TI ) > Segurança da informação ::

Métricas, indicadores e melhoria contínua dos controles de privacidade e segurança

Capítulo 16

Tempo estimado de leitura: 13 minutos

+ Exercício

Por que medir controles de privacidade e segurança

Controles de privacidade e segurança não “existem” apenas porque foram documentados ou implantados: eles precisam demonstrar desempenho ao longo do tempo. Métricas e indicadores transformam atividades (treinamentos, revisões, testes, aprovações, análises) em evidências quantificáveis para responder perguntas práticas: o risco está diminuindo? os processos estão mais previsíveis? estamos detectando problemas cedo? estamos corrigindo as causas? Em LGPD, isso é especialmente relevante porque a organização precisa demonstrar diligência e capacidade de governança, e não apenas intenção.

Medir também evita dois extremos comuns: (1) excesso de controles sem foco, que consomem recursos e geram “teatro de conformidade”; (2) controles pontuais, que funcionam em auditorias, mas falham no dia a dia. Um bom sistema de métricas cria um ciclo de melhoria contínua: definir objetivos, medir, analisar, agir e padronizar.

Conceitos essenciais: métrica, indicador, KPI e KRI

Métrica

Métrica é uma medida bruta, geralmente numérica, que descreve um aspecto do processo ou do controle. Exemplos: “número de solicitações de titulares recebidas no mês”, “quantidade de sistemas com revisão de acesso vencida”, “tempo médio para aplicar correção crítica”. Métricas são matéria-prima; sozinhas, nem sempre indicam se o resultado é bom ou ruim.

Indicador

Indicador é uma métrica contextualizada para apoiar decisão. Normalmente envolve comparação com meta, tendência, baseline ou limiar. Exemplo: “percentual de revisões de acesso concluídas no prazo (meta 95%)” ou “taxa de reincidência de incidentes por causa raiz”. Indicadores devem orientar ação: quando pioram, você sabe o que investigar e quem acionar.

KPI (Key Performance Indicator)

KPI mede desempenho em relação a objetivos. Em privacidade e segurança, KPIs costumam refletir eficiência e qualidade do processo: cumprimento de prazos, cobertura de controles, tempo de resposta, redução de backlog, efetividade de treinamentos. Um KPI útil é aquele que o time consegue influenciar diretamente com ações.

Continue em nosso aplicativo

Você poderá ouvir o audiobook com a tela desligada, ganhar gratuitamente o certificado deste curso e ainda ter acesso a outros 5.000 cursos online gratuitos.

ou continue lendo abaixo...
Download App

Baixar o aplicativo

KRI (Key Risk Indicator)

KRI mede exposição a risco. Ele não mede “performance” do time, mas sinais de que o risco está aumentando. Exemplos: crescimento de acessos privilegiados sem justificativa, aumento de exceções a políticas, elevação de falhas recorrentes em testes, aumento de dados sensíveis em repositórios não aprovados. KRIs são valiosos para antecipar problemas antes que virem incidentes.

Leading vs. lagging indicators

Indicadores “leading” (antecedentes) ajudam a prever resultados futuros: por exemplo, “percentual de mudanças com avaliação de risco realizada antes da implantação”. Indicadores “lagging” (posteriores) mostram o que já aconteceu: “número de incidentes com dados pessoais no trimestre”. Um programa maduro combina ambos: leading para prevenção e lagging para validar se a prevenção está funcionando.

Princípios para escolher boas métricas

  • Relevância para decisão: se o número não muda nenhuma ação, ele é ruído.
  • Definição inequívoca: cada métrica precisa de fórmula, fonte, periodicidade e responsável.
  • Comparabilidade: use baseline, metas e tendências; evite números absolutos sem contexto (por exemplo, “10 incidentes” sem considerar volume de operações).
  • Resistência a manipulação: métricas fáceis de “maquiar” incentivam comportamento errado (ex.: medir apenas quantidade de treinamentos concluídos, sem avaliar retenção de conhecimento).
  • Custo de medição proporcional: não crie indicadores que exigem coleta manual complexa e constante.
  • Equilíbrio entre cobertura e foco: poucos indicadores bem escolhidos são melhores do que dezenas que ninguém acompanha.

Modelo prático de construção do painel (passo a passo)

Passo 1: Defina objetivos e perguntas de gestão

Comece com objetivos claros, ligados a riscos e obrigações operacionais. Em vez de “melhorar privacidade”, formule perguntas: “Estamos reduzindo atrasos no atendimento a solicitações?” “Estamos diminuindo reincidência de falhas?” “Os controles estão sendo executados no prazo?”

Exemplo de objetivos:

  • Reduzir exposição a acesso indevido por falhas de processo.
  • Aumentar previsibilidade e qualidade de mudanças que impactam dados pessoais.
  • Diminuir tempo de detecção e correção de desvios de controle.

Passo 2: Mapeie processos e pontos de controle mensuráveis

Liste os processos que sustentam privacidade e segurança (por exemplo: gestão de mudanças com impacto em dados, revisões periódicas, tratamento de solicitações, gestão de riscos, auditorias internas, gestão de exceções). Para cada processo, identifique “eventos” que deixam rastros: abertura/fechamento de tickets, aprovações, evidências anexadas, logs de execução, relatórios de testes.

O objetivo é garantir que a medição seja baseada em evidências operacionais, não em percepções.

Passo 3: Defina métricas com fórmula, fonte e dono

Para cada métrica, documente:

  • Nome: curto e descritivo.
  • Definição: o que entra e o que não entra.
  • Fórmula: como calcular.
  • Fonte: sistema de tickets, inventário, relatórios, planilha controlada etc.
  • Periodicidade: semanal, mensal, trimestral.
  • Responsável: quem coleta e quem responde por ações.
  • Meta/limiar: alvo e níveis de alerta (verde/amarelo/vermelho).

Exemplo de definição formal:

Indicador: % de controles executados no prazo (mensal)  Definição: controles recorrentes previstos no calendário do mês, excluindo controles suspensos por decisão formal registrada  Fórmula: (controles concluídos até a data / controles previstos) * 100  Fonte: calendário de controles + evidências em repositório  Meta: 95% (amarelo 90-94%, vermelho <90%)  Responsável: GRC / donos de controle

Passo 4: Estabeleça baseline e metas realistas

Se você ainda não tem histórico, faça 1 a 3 ciclos de medição para obter baseline. Metas muito agressivas no início incentivam “fechar ticket” sem resolver causa. Prefira metas graduais e vinculadas a capacidade do time.

Uma prática útil é definir metas em dois níveis:

  • Meta operacional: o que o time consegue cumprir com recursos atuais.
  • Meta de maturidade: onde a organização quer chegar em 6–12 meses, com melhorias planejadas.

Passo 5: Crie um painel com camadas (executivo e operacional)

Um único painel para todos costuma falhar. Crie camadas:

  • Executivo: 6 a 12 indicadores, focados em risco, tendência e impacto.
  • Operacional: indicadores detalhados por processo, com capacidade de “drill-down” (por área, sistema, time, causa).

Evite painéis que só mostram “quantidade”. Inclua tendência (últimos 6–12 períodos) e distribuição (por criticidade, por unidade, por tipo de dado).

Passo 6: Defina rituais de revisão e gatilhos de ação

Métrica sem rotina vira relatório esquecido. Defina:

  • Reunião semanal/quinzenal: revisão operacional de desvios e backlog.
  • Reunião mensal: análise de tendências, causas raiz e priorização.
  • Revisão trimestral: reavaliação de metas, KRIs e efetividade de controles.

Inclua gatilhos objetivos, por exemplo: “se o indicador ficar vermelho por 2 ciclos, abrir plano de ação com dono e prazo” ou “se KRI ultrapassar limiar, escalar para comitê”.

Indicadores recomendados (com exemplos práticos)

1) Cobertura e execução de controles

  • % de controles recorrentes executados no prazo: mede disciplina operacional. Use por família de controle (ex.: revisões, testes, validações).
  • Backlog de controles vencidos (quantidade e idade): não basta saber que há atraso; a idade do atraso mostra risco acumulado.
  • % de evidências aceitas sem retrabalho: mede qualidade de execução (e não apenas “marcar como feito”).

Exemplo prático: se “% de evidências aceitas” cai, a causa pode ser instrução ruim, checklist incompleto ou falta de padronização. A ação pode ser criar modelos de evidência e critérios de aceite.

2) Qualidade de mudanças e prevenção de regressões

  • % de mudanças com checklist de privacidade e segurança preenchido corretamente: indicador leading.
  • Taxa de mudanças revertidas por falha de controle: indicador lagging, útil para mostrar custo de não conformidade.
  • Defeitos recorrentes por tipo (configuração, processo, validação): direciona melhoria de processo.

Exemplo prático: aumento de reversões após mudanças pode indicar que o checklist está superficial. Ajuste: incluir critérios mínimos, revisão por pares e amostragem de auditoria em mudanças de maior risco.

3) Gestão de riscos e exceções

  • Número de exceções ativas a políticas (por criticidade e idade): exceção antiga vira “novo normal”.
  • % de exceções com plano de mitigação e data de expiração: mede governança.
  • Tempo médio para reavaliar exceções: evita que decisões fiquem desatualizadas.

Exemplo prático: se há muitas exceções sem expiração, crie regra: exceção expira em 90 dias por padrão; renovação exige justificativa e evidência de mitigação.

4) Detecção e correção de desvios

  • MTTD (tempo médio para detectar desvio relevante): quanto menor, melhor capacidade de reação.
  • MTTR (tempo médio para corrigir desvio relevante): mede eficiência de correção.
  • % de correções dentro do SLA por criticidade: separa “rápido no trivial” de “rápido no crítico”.
  • Taxa de reincidência (mesma causa em até X dias): mede se a correção foi superficial.

Exemplo prático: MTTR bom com reincidência alta sugere “correção de sintoma”. A ação é exigir análise de causa raiz para desvios críticos e registrar contramedidas permanentes.

5) Cultura e capacitação (medir além de presença)

  • % de pessoas em funções críticas com capacitação atualizada: segmentar por função reduz generalidades.
  • Resultado de avaliações curtas pós-treinamento (média e dispersão): mede retenção.
  • Taxa de erros operacionais relacionados a procedimentos: indicador indireto de entendimento e clareza de processo.

Exemplo prático: se a presença no treinamento é alta, mas a avaliação é baixa, ajuste o formato: conteúdos menores, exemplos do dia a dia e exercícios baseados em casos reais internos (sem expor dados pessoais).

6) Atendimento e operação de privacidade (sem repetir processos já detalhados)

Mesmo sem entrar no passo a passo de atendimento, é útil medir a operação:

  • Volume por tipo de demanda: ajuda a identificar gargalos e necessidade de automação.
  • % de demandas concluídas no prazo interno: mede previsibilidade.
  • Taxa de retrabalho por informação incompleta: indica falha de formulário, triagem ou comunicação.

Exemplo prático: retrabalho alto pode ser resolvido com melhoria de formulário de entrada, campos obrigatórios e exemplos de preenchimento.

Como evitar armadilhas comuns

Vanity metrics

São números “bonitos” que não refletem risco nem qualidade. Exemplo: “quantidade de políticas publicadas”. Melhor: “% de processos críticos com procedimento atualizado e testado” ou “% de auditorias internas sem não conformidades repetidas”.

Indicadores que incentivam comportamento errado

Se você mede apenas “tempo para fechar ticket”, o time pode fechar sem resolver. Combine velocidade com qualidade: “tempo para fechar” + “reabertura em até 30 dias” + “satisfação do solicitante interno” (quando aplicável).

Falta de segmentação

Um indicador agregado pode esconder problemas. Exemplo: “95% no prazo” pode ocultar que um sistema crítico está sempre atrasado. Sempre que possível, permita recorte por criticidade, unidade, tipo de dado, processo e causa.

Coleta manual e inconsistente

Quando a coleta depende de planilhas sem controle, a confiança cai. Padronize fontes e automatize o máximo possível. Se a automação não for viável, crie um procedimento de coleta com amostragem e validação.

Melhoria contínua aplicada a controles (PDCA e análise de causa)

PDCA adaptado para privacidade e segurança

  • Plan (Planejar): definir metas, indicadores, limiares e planos de ação para riscos prioritários.
  • Do (Executar): operar controles, registrar evidências e coletar dados.
  • Check (Verificar): analisar tendências, desvios, reincidência e efetividade.
  • Act (Agir): corrigir causas, atualizar procedimentos, treinar, automatizar, e ajustar controles.

O diferencial é tratar controles como processos vivos. Se um controle gera muitos falsos positivos, é sinal de ajuste necessário; se não detecta nada por meses, pode estar mal calibrado ou medindo o que não importa.

Passo a passo para tratar um indicador em “vermelho”

  1. Confirmar o dado: verifique se houve mudança de fonte, erro de extração, duplicidade ou definição ambígua.

  2. Delimitar o impacto: quais áreas, sistemas, tipos de dado e períodos foram afetados? Qual a criticidade?

  3. Identificar causa imediata: falta de capacidade, falha de processo, dependência externa, ferramenta indisponível, mudança organizacional.

  4. Aplicar análise de causa raiz: use 5 Porquês ou Ishikawa para evitar “culpar pessoas”.

  5. Definir contramedidas: ações corretivas (curto prazo) e preventivas (médio prazo), com dono e prazo.

  6. Validar efetividade: defina como saber se funcionou (ex.: queda de reincidência, redução de backlog, melhora sustentada por 3 ciclos).

  7. Padronizar e treinar: atualizar procedimento, checklist, critérios de aceite e capacitar envolvidos.

  8. Revisar o indicador: se o indicador não ajudou a agir, ajuste definição, segmentação ou limiar.

Exemplo aplicado: backlog de revisões periódicas vencidas

Sintoma: backlog vencido cresce por três meses, com itens antigos.

Análise: segmentação mostra concentração em duas áreas e em sistemas com alta rotatividade de pessoas. Causa raiz: ausência de janela fixa no calendário e dependência de aprovações manuais.

Contramedidas:

  • Definir janela mensal fixa e lembretes automáticos.
  • Criar regra de escalonamento após X dias.
  • Padronizar lista de evidências aceitas e reduzir retrabalho.
  • Adicionar indicador de “idade do backlog” e não apenas quantidade.

Validação: após dois ciclos, queda de 40% no backlog e redução de itens com mais de 60 dias.

Estrutura de governança das métricas: quem decide o quê

Para que métricas gerem ação, é importante separar papéis:

  • Dono do indicador: garante definição, qualidade do dado e publicação no prazo.
  • Dono do processo: responde por planos de ação quando o indicador aponta desvio.
  • Comitê/gestão: resolve conflitos de prioridade, aprova investimentos e remove impedimentos.

Uma regra prática: se um indicador não tem dono e não tem “playbook” de resposta, ele vira apenas um gráfico.

Como documentar indicadores para auditoria e rastreabilidade

Sem repetir temas de evidências e auditoria já tratados, foque na documentação específica de métricas:

  • Dicionário de métricas: catálogo com definições, fórmulas, fontes, periodicidade e responsáveis.
  • Controle de versões: quando a definição muda, registre a data e o motivo; mantenha comparabilidade (ex.: recalcular histórico ou marcar quebra de série).
  • Trilha de decisões: registre ações tomadas a partir de indicadores críticos (o que foi decidido, por quem, quando, e qual evidência sustenta).
  • Critérios de amostragem: quando houver validação por amostra, documente método e tamanho.

Indicadores de maturidade do programa (visão evolutiva)

Além de medir operação, é útil medir maturidade para orientar investimentos. Exemplos:

  • % de processos críticos com indicadores definidos e revisados trimestralmente: mede institucionalização.
  • % de indicadores com automação de coleta: mede eficiência e confiabilidade.
  • % de planos de ação concluídos no prazo e com validação de efetividade: mede capacidade de melhoria contínua real.
  • Redução de reincidência em não conformidades internas: mede aprendizado organizacional.

Esses indicadores não substituem KPIs e KRIs operacionais; eles mostram se o sistema de gestão está se fortalecendo.

Agora responda o exercício sobre o conteúdo:

Qual alternativa descreve corretamente a diferença entre KPI e KRI em um programa de privacidade e segurança?

Você acertou! Parabéns, agora siga para a próxima página

Você errou! Tente novamente.

KPI foca desempenho frente a objetivos (prazo, cobertura, eficiencia). KRI foca sinais de aumento de risco (excecoes, acessos injustificados), permitindo agir antes de incidentes.

Próximo capitúlo

Arrow Right Icon
Aprenda Segurança da informação

AprendaSegurança da informação

Proteja todo conteúdo importante, descubra como utilizar a segurança da informação a seu favor e para que serve. Cursa.app separou um curso grátis pra você

 Aprenda Informática ( TI )

AprendaInformática ( TI )

Cursos online gratuitos de Informática, TI e programação com certificação gratuita. Oferecemos cursos de Excel, programação e muito mais. Aproveite agora!
Baixe o app para ganhar Certificação grátis e ouvir os cursos em background, mesmo com a tela desligada.
QR Code - Baixar Cursa - Cursos Online

Baixe nosso aplicativo pelo QR Code ou pelos links abaixo:.

Disponível no Google Play Disponível no App Store