0
0
Quando Michael Gregg ingressou no Estado de Dakota do Norte como líder de segurança, ele trouxe consigo um conceito que gostava de usar para manter seu programa de segurança nos trilhos: identificar objetivos e resultados-chave (OKRs) e acompanhar o progresso em relação a eles.
Ele diz que eles trabalharam para ele no passado e acreditava que a introdução de seu uso no programa de segurança do estado poderia ser igualmente útil.
“Foi uma boa maneira de a equipe de segurança manter o foco. Isso ajuda a dar prioridades a mim e às equipes, dá alinhamento entre as equipes e obtemos o rastreamento e a responsabilidade ”, diz Gregg, que foi nomeado CISO do estado no final de 2021 depois de trabalhar no cargo como interino e antes disso como diretor de operações cibernéticas do estado.
É assim que ele faz os OKRs funcionarem.
Cada uma de suas cinco equipes (a equipe de governança, risco e conformidade; análise e resposta; defesa ativa; engenharia e infraestrutura de segurança) identifica de três a cinco objetivos a cada ano. Eles elaboram esses objetivos com base na visão estratégica da organização.
Criar objetivos, diz Gregg, “nos obriga a dizer: ‘Podemos concordar quais três, quatro ou cinco coisas são mais importantes para nós fazermos?’”
Cada equipe então lista de três a cinco itens acionáveis para atingir cada objetivo identificado; esses são os principais resultados.
“Eu trabalho com cada líder de equipe. Eles conhecem nossos objetivos para o ano e eu os deixo apresentar os principais resultados do trimestre. Nós revisamos em grupo e depois disso, e depois de tudo alinhado, voltamos para uma reunião onde cada equipe fala sobre os OKRs para que todos tenham visibilidade”, diz.
As equipes se reúnem a cada duas semanas para avaliar seu progresso nos resultados-chave, usando indicadores-chave de desempenho (KPIs) e indicadores-chave de metas (KGIs) para medir seu trabalho para alcançar os resultados-chave que apoiam o alcance do objetivo geral.
Gregg compartilha um exemplo direto para ilustrar como essas peças se juntam:
Se a visão estratégica do estado é fortalecer ainda mais a segurança, um objetivo para apoiar essa missão pode ser lançar uma nova ferramenta para monitoramento de rede e endpoint em toda a organização estadual dentro de um ano.
Isso então se torna um objetivo para as equipes que estarão envolvidas no trabalho, com os principais resultados trimestrais das equipes refletindo a quantidade de trabalho que precisam realizar a cada três meses para atingir esse objetivo em um ano.
As equipes usarão KPIs e KPGs para medir o progresso em direção a esses resultados-chave, com métricas relatadas a cada duas semanas.
“Então, se estou procurando 100% no final do ano, preciso de 50% em meio ano, os principais resultados são o quanto estou alcançando em um trimestre para permanecer no caminho certo e os KPIs são o quão bem estou indo ”, explica Gregg.
Embora esses exemplos possam fazer com que os OKRs pareçam apenas uma maneira de dividir e agendar o trabalho, Gregg diz que seu uso realmente oferece grandes benefícios administrativos e executivos.
“O que eu gosto nos OKRs é o seguinte: os OKRs me ajudam a vincular a visão e a missão, que é definida pela equipe do governador, ao nosso plano de ação, a como chegaremos lá”, diz ele. “E os OKRs me ajudam a alinhar a cultura e os recursos a esse plano de ação.”
Em outras palavras, ele diz, os OKRs o ajudam a definir o caminho, permanecer no curso e manter o ritmo desejado. Portanto, as equipes são menos propensas a perseguir projetos que não são prioritários. Eles podem ser atraídos para um trabalho urgente ou tentados a pular para uma nova proposta, mas os OKRs os guiam de volta às prioridades estabelecidas.
O uso de OKRs também “une as equipes. Eles podem ver como seu trabalho afeta o trabalho de outras equipes”, diz Gregg. Ele explica que estabelecer OKRs vinculados a uma visão estratégica ajuda a garantir que as equipes necessárias contribuam quando, onde e quanto são necessárias para manter as iniciativas nos trilhos. Em um mundo onde o cronograma e o sucesso de uma equipe geralmente dependem de outras equipes fazendo sua parte no prazo, os OKRs ajudam a garantir que cada equipe esteja fazendo o que deve e fazendo o trabalho quando deveria.
A opinião da segurança do Google sobre os OKRs
Os gerentes usam OKRs há décadas, desde que Andy Grove introduziu a estrutura de definição de metas na Intel na década de 1970.
Outros líderes empresariais adotaram essa construção ao longo dos anos, com John Doerr, do Google, frequentemente creditado por tornar os OKRs populares.
O Google usa OKRs hoje em toda a organização. Isso inclui a Equipe de ação de segurança cibernética do Google (GCAT) no Google Cloud, onde Merrill Miller é chefe de operações comerciais.
Miller diz que há uma boa razão para essa difusão dos OKRs.
“Eles permitem que você conheça suas prioridades junto com sua missão geral e fornecem as metas mais específicas para alcançar a visão – e como. Eles ajudam a colocar uma lente prática na estratégia, visão e priorização do terreno”, diz ela. “O objetivo fala de uma missão inspiradora; os principais resultados são resultados mensuráveis”.
O uso de OKRs por Miller é semelhante à forma como Gregg aproveita essa estrutura.
Miller diz que o Google tem um processo de planejamento anual durante o qual os líderes descrevem os objetivos que desejam alcançar no próximo ano e detalham os principais resultados que precisam alcançar para atingir esses objetivos. Miller diz que sua equipe de segurança usa métricas para medir seu progresso para alcançar os principais resultados e, em última análise, os objetivos.
Ela oferece um exemplo do mundo real:
Os líderes do Google articularam que a missão do GCAT é ser uma equipe de consultoria de segurança de primeira linha.
“Mas essa é uma missão bastante ampla. Então, como podemos entender isso e torná-lo acionável?” pergunta Miller. “Uma maneira de fazer isso é por meio do ‘O’ – os objetivos – e acompanhar os principais resultados.”
Assim, Miller e sua equipe desenvolvem vários objetivos que mapeiam a visão da organização e suas prioridades abrangentes.
E, como é prática padrão ao desenvolver e usar OKRs, a GCAT criou vários resultados-chave para cada objetivo.
Portanto, diz Miller, um objetivo é “garantir que a equipe de ação de segurança cibernética do Google atinja seus objetivos de ser a principal equipe consultiva de segurança do mundo”, com um resultado importante para isso: “aumentar o envolvimento do cliente em X% por meio do pod da equipe de ação de segurança cibernética do Google modelo de engajamento”.
Miller diz que esse exemplo também ilustra os benefícios dos OKRs: eles fornecem uma imagem clara das prioridades, o que pode manter as equipes de segurança focadas nessas prioridades, em vez de se espalharem trabalhando em muitas iniciativas e desviando recursos para projetos menos urgentes.
“Você pode ficar muito disperso e assumir muitas coisas e pode assumir o escopo, mas tendo OKRs, quando escrevo projetos e o que precisa ser feito, posso priorizar com base no que precisa ser entregue. E isso me permite comunicar efetivamente com a liderança, membros da equipe e partes interessadas por que estamos tomando as decisões que estamos tomando e como estamos apoiando os objetivos”, diz Miller.
Ela acrescenta: “OKRs constantemente permitem que você aponte para as prioridades e se apoie”.
Miller diz que eles também ajudaram ela e sua equipe a dizer “não” às iniciativas.
“Tenho uma lista de todos os projetos, incluindo os atuais e futuros; eles são mapeados para OKRs. Portanto, se algo novo entrar na lista e não for mapeado para o OKR, pode não ser priorizado ou pode significar que precisamos conversar sobre a criação de um novo OKR. É uma boa verificação do intestino”, explica ela.
Caso em questão: Miller e sua equipe recentemente adiaram a atualização do conteúdo do catálogo de serviços da GCAT porque não fazia parte de seus OKRs este ano. “Essa [nova] versão acontecerá no futuro, mas temos outras coisas para priorizar primeiro”, diz Miller.
Fazendo os OKRs funcionarem
O interesse em OKRs está crescendo, diz Paul Proctor, vice-presidente e analista distinto da empresa de consultoria e pesquisa tecnológica Gartner.
No entanto, ele e outros especialistas em gerenciamento moderaram seu entusiasmo, observando que os OKRs podem ser uma metodologia eficaz de definição de metas para equipes de segurança, mas o valor é limitado se for apenas para isso que eles são usados.
Proctor diz que OKRs são sobre perguntar
- O que estou tentando realizar? Esse é o objetivo.
- Como vou realizá-lo? Essa é a lista dos principais resultados.
- E como vou medir? Isso determina as métricas a serem usadas.
“O objetivo de um OKR é medir o progresso em direção a uma estratégia”, explica Proctor. Portanto, os CISOs – ou qualquer executivo ou gerente – precisam entender sua estratégia para criar os objetivos e os principais resultados.
“É aqui que as pessoas lutam porque nada nos OKRs lhe diz sua estratégia. Não há uma lista definitiva de OKRs porque depende da sua estratégia, e a maioria das pessoas não tem uma estratégia”, acrescenta. “OKRs é o progresso para alcançar uma estratégia. Eles são parte integrante do desenvolvimento e execução de sua estratégia e, se você não os vê dessa maneira, não está realmente usando OKRs.”
Além disso, Proctor diz que os OKRs são valiosos quando as equipes realmente medem seu trabalho com base em resultados-chave e para atingir seus objetivos, acrescentando que descobriu por meio de sua experiência que “as pessoas são terríveis em métricas”.
Em vez disso, Proctor diz que os líderes empresariais perguntam: “Quais OKRs devo medir em segurança?” ou rotular quaisquer métricas que eles tenham como OKRs.
“OKRs são uma construção muito específica projetada para apoiar um objetivo muito específico, mas infelizmente muitas pessoas estão definindo métricas e chamando-as de OKRs”, diz ele.
Ainda assim, Proctor diz que vê valor nos OKRs e concorda com as declarações feitas por Gregg e Miller sobre seus benefícios – quando as organizações pensam e usam os OKRs da maneira correta, eles de fato ajudam as equipes a alcançar objetivos que foram considerados importantes.
“Os OKRs certamente podem ser uma maneira eficaz de articular os objetivos da função CISO”, diz Andrew Retrum, diretor administrativo da Prática de Segurança e Privacidade da empresa de consultoria de gestão Protiviti. “Mas acho que os OKRs mais significativos são aqueles que se relacionam com o resto da organização; em segurança, quando eles os vinculam ao risco que você está gerenciando e quando as métricas usadas são quantificáveis.”
Gregg também reconhece que acertar os objetivos é a chave para obter benefícios dos OKRs.
Ele diz que as equipes muitas vezes lutam, principalmente quando usam a estrutura OKR pela primeira vez, limitando o número de objetivos que desejam ter. “Você não terá sucesso se estiver tentando fazer tantas coisas”, acrescenta.
Ele também concorda que o acompanhamento é importante para o sucesso; listar objetivos e resultados-chave não é suficiente. Ele diz que é essencial medir o progresso, avaliar essas métricas e até ajustar e ajustar os OKRs, se necessário. Fazer isso, acrescenta ele, é uma mudança de cultura – algo que leva tempo e investimento para ser acertado.
FONTE: CSO ONLINE