CEO, CIO ou CFO: a quem seu CISO deve se reportar?
À medida que nos aprofundamos em um futuro digitalmente dependente, a crescente preocupação com violações de dados e outras ameaças cibernéticas levou à ascensão do Chief Information Security Officer (CISO) .
Esta posição é essencial em quase todas as empresas que dependem de informações digitais. Eles são responsáveis por desenvolver e implementar estratégias para fortalecer as defesas da organização contra ataques cibernéticos.
No entanto, embora muitas organizações não questionem o valor de um CISO, deve haver mais debate sobre a quem essa importante função se reporta. Em alguns casos, o CISO pode se reportar diretamente ao CEO. Em outros, eles podem se reportar ao CIO ou a outro membro da equipe executiva sênior. Mas existe uma prática recomendada quando se trata dessa decisão?
Este artigo explorará as vantagens e desvantagens de diferentes estruturas de subordinação e fornecerá alguns pontos a serem considerados ao estruturar a relação de subordinação CISO de sua organização.
Estruturas de relatórios comuns para CISOs modernos
Para a maioria das organizações modernas, a função de um CISO é complexa e multifacetada. Eles não são apenas responsáveis pela implementação de protocolos de segurança de melhores práticas, mas também devem ser capazes de comunicar efetivamente essas estratégias à equipe executiva e ao Conselho de Administração. Como tal, muitas organizações descobriram que a melhor estrutura de relatórios para seu CISO permite que eles tenham uma linha direta de comunicação com o C-suite.
Reporte direto ao CEO
Um dos aspectos mais importantes do trabalho de um CISO é manter um bom relacionamento de trabalho com o CEO. Afinal, o CEO é responsável pela segurança de uma organização e é o tomador de decisão final em todas as questões relacionadas à segurança. Ao se reportar diretamente ao CEO, um CISO pode garantir que a segurança dos dados continue sendo uma prioridade.
Quais são os prós?
Existem vários benefícios em ter um relatório CISO diretamente ao CEO. Em primeiro lugar, com o CISO reportando-se diretamente ao CEO, não há risco de relegar a segurança de dados para uma prioridade menor.
Ao trabalhar diretamente com um CEO, os CISOs impactam diretamente a estratégia organizacional. Por estar envolvido na tomada de decisões estratégicas, um CISO pode ajudar a garantir que as considerações de segurança de dados sejam consideradas ao tomar decisões sobre novas iniciativas ou investimentos. Os CISOs que se reportam diretamente aos CEOs impactam significativamente o orçamento e a alocação de recursos em todos os departamentos.
Quais são os contras?
Uma possível desvantagem de ter CISOs subordinados ao CEO é que isso pode criar tensão entre o CISO e o CIO se eles não estiverem trabalhando de forma colaborativa. Em alguns casos, o CIO pode se sentir microgerenciado ou como se sua autoridade estivesse sendo prejudicada.
Outra consideração é que os CEOs geralmente estão menos envolvidos com as operações do dia a dia do que os CIOs. Isso significa que eles podem ter menos tempo para se reunir com CISOs ou fornecer orientações sobre decisões estratégicas. Isso, por sua vez, pode dificultar que os CISOs tenham suas ideias ouvidas e postas em prática em tempo hábil.
Reporte direto ao CIO
Em muitas organizações, o CIO supervisiona todas as iniciativas de tecnologia da informação, incluindo segurança de dados. Dessa forma, faz sentido que o CISO se reporte diretamente ao CIO nesses casos.
Quais são os prós?
Há várias vantagens em ter o CISO se reportando diretamente ao CIO. Primeiro, essa estrutura de relatórios cria uma cadeia de comando transparente para todos os assuntos de segurança da informação. Ao navegar pela infraestrutura em constante mudança e pelas prioridades organizacionais, essa linha clara de comunicação pode manter todos na mesma página.
Desenvolver um relacionamento sólido com o CIO é outro benefício dessa estrutura de reporte. Ao trabalhar de perto, o CISO pode aproveitar a experiência de processos e sistemas de TI do CIO. Isso pode ser extremamente útil ao desenvolver e implementar novos protocolos de segurança de dados ou tecnologias avançadas de segurança.
Quais são os contras?
Em alguns casos, essa estrutura de relatórios pode fazer com que o CISO seja isolado do resto da organização. Às vezes, isso pode dificultar a adesão do CISO a outros departamentos em iniciativas de segurança de dados.
Outra consideração é que o CIO pode não ter a mesma experiência ou especialização em segurança de dados que o CISO. Às vezes, isso pode criar tensão entre as duas funções e pode ser contraproducente para o desenvolvimento de uma estratégia eficaz de segurança de dados.
Reporte direto ao CFO
Embora nem sempre seja o caso, algumas organizações têm um CFO responsável pela segurança dos dados. Nesses casos, é mais provável que a segurança seja vista como uma questão financeira, afetando a forma como as iniciativas de segurança de dados são priorizadas e alocadas. No entanto, também existem alguns benefícios nessa estrutura de relatórios.
Quais são os prós?
Ao se reportar ao CFO, os CISOs entendem melhor os riscos financeiros de uma organização e podem adaptar as estratégias de segurança de acordo. Além disso, esse arranjo pode ajudar a promover uma melhor comunicação entre as equipes de finanças e segurança.
Outro benefício de ter os CISOs subordinados ao CFO é que isso pode ajudar a reduzir os custos associados às medidas de segurança cibernética. Isso ocorre porque o CFO normalmente se concentra na redução de despesas e na maximização dos lucros. Como resultado, é provável que ofereçam mais suporte a soluções de segurança econômicas que podem não exigir um investimento significativo.
Quais são os contras?
Há também algumas desvantagens em ter os CISOs subordinados ao CFO. Um problema é que os CISOs podem precisar de mais autoridade dentro da organização se reportarem ao CFO em vez do CEO ou CIO. Além disso, esse arranjo pode levar a tensões entre as equipes de finanças e segurança se elas precisarem concordar sobre questões específicas.
Reportar-se ao CFO pode fazer com que o CISO pareça mais um centro de custos do que um facilitador de negócios. Se o CFO não tiver experiência em segurança da informação, ele pode não ser capaz de fornecer supervisão adequada. Nesse caso, o CISO pode precisar se reportar a alguém com mais conhecimento sobre questões de segurança.
O futuro dos CISOs nas organizações modernas
A função do CISO está evoluindo à medida que as organizações se tornam mais conscientes da importância da segurança dos dados. No passado, muitos CISOs se concentravam principalmente na conformidade e no gerenciamento de riscos. No entanto, espera-se que os CISOs de hoje sejam líderes de pensamento estratégico que possam ajudar suas organizações a navegar no cenário em constante mudança das ameaças à segurança cibernética.
Como tal, está se tornando cada vez mais comum que os CISOs se reportem a executivos de alto nível, como o CEO ou o CIO. Isso permite que os CISOs se sentem à mesa ao tomar decisões sobre estratégia organizacional e tolerância a riscos.
Olhando para o futuro, o papel dos CISOs continuará a evoluir à medida que as organizações se tornarem mais dependentes da tecnologia. À medida que as ameaças se tornam mais sofisticadas e os ataques cibernéticos se tornam mais comuns, os CISOs precisam adaptar suas estratégias de acordo. Eles também precisarão trabalhar em estreita colaboração com outros departamentos de suas organizações para garantir que todos estejam na mesma página quando se trata de segurança de dados.
Independentemente de como a função do CISO mude no futuro, uma coisa é certa: a segurança dos dados continuará sendo uma prioridade para organizações de todos os tamanhos, e essa função se tornou um item básico no local de trabalho moderno.
