Esta posição é essencial em quase todas as empresas que dependem de informações digitais. Eles são responsáveis por desenvolver e implementar estratégias para fortalecer as defesas da organização contra ataques cibernéticos.
No entanto, embora muitas organizações não questionem o valor de um CISO, deve haver mais debate sobre a quem essa importante função se reporta. Em alguns casos, o CISO pode se reportar diretamente ao CEO. Em outros, eles podem se reportar ao CIO ou a outro membro da equipe executiva sênior. Mas existe uma prática recomendada quando se trata dessa decisão?
Este artigo explorará as vantagens e desvantagens de diferentes estruturas de subordinação e fornecerá alguns pontos a serem considerados ao estruturar a relação de subordinação CISO de sua organização.
Para a maioria das organizações modernas, a função de um CISO é complexa e multifacetada. Eles não são apenas responsáveis pela implementação de protocolos de segurança de melhores práticas, mas também devem ser capazes de comunicar efetivamente essas estratégias à equipe executiva e ao Conselho de Administração. Como tal, muitas organizações descobriram que a melhor estrutura de relatórios para seu CISO permite que eles tenham uma linha direta de comunicação com o C-suite.
Um dos aspectos mais importantes do trabalho de um CISO é manter um bom relacionamento de trabalho com o CEO. Afinal, o CEO é responsável pela segurança de uma organização e é o tomador de decisão final em todas as questões relacionadas à segurança. Ao se reportar diretamente ao CEO, um CISO pode garantir que a segurança dos dados continue sendo uma prioridade.
Existem vários benefícios em ter um relatório CISO diretamente ao CEO. Em primeiro lugar, com o CISO reportando-se diretamente ao CEO, não há risco de relegar a segurança de dados para uma prioridade menor.
Ao trabalhar diretamente com um CEO, os CISOs impactam diretamente a estratégia organizacional. Por estar envolvido na tomada de decisões estratégicas, um CISO pode ajudar a garantir que as considerações de segurança de dados sejam consideradas ao tomar decisões sobre novas iniciativas ou investimentos. Os CISOs que se reportam diretamente aos CEOs impactam significativamente o orçamento e a alocação de recursos em todos os departamentos.
Uma possível desvantagem de ter CISOs subordinados ao CEO é que isso pode criar tensão entre o CISO e o CIO se eles não estiverem trabalhando de forma colaborativa. Em alguns casos, o CIO pode se sentir microgerenciado ou como se sua autoridade estivesse sendo prejudicada.
Outra consideração é que os CEOs geralmente estão menos envolvidos com as operações do dia a dia do que os CIOs. Isso significa que eles podem ter menos tempo para se reunir com CISOs ou fornecer orientações sobre decisões estratégicas. Isso, por sua vez, pode dificultar que os CISOs tenham suas ideias ouvidas e postas em prática em tempo hábil.
Em muitas organizações, o CIO supervisiona todas as iniciativas de tecnologia da informação, incluindo segurança de dados. Dessa forma, faz sentido que o CISO se reporte diretamente ao CIO nesses casos.
Há várias vantagens em ter o CISO se reportando diretamente ao CIO. Primeiro, essa estrutura de relatórios cria uma cadeia de comando transparente para todos os assuntos de segurança da informação. Ao navegar pela infraestrutura em constante mudança e pelas prioridades organizacionais, essa linha clara de comunicação pode manter todos na mesma página.
Desenvolver um relacionamento sólido com o CIO é outro benefício dessa estrutura de reporte. Ao trabalhar de perto, o CISO pode aproveitar a experiência de processos e sistemas de TI do CIO. Isso pode ser extremamente útil ao desenvolver e implementar novos protocolos de segurança de dados ou tecnologias avançadas de segurança.
Em alguns casos, essa estrutura de relatórios pode fazer com que o CISO seja isolado do resto da organização. Às vezes, isso pode dificultar a adesão do CISO a outros departamentos em iniciativas de segurança de dados.
Outra consideração é que o CIO pode não ter a mesma experiência ou especialização em segurança de dados que o CISO. Às vezes, isso pode criar tensão entre as duas funções e pode ser contraproducente para o desenvolvimento de uma estratégia eficaz de segurança de dados.
Embora nem sempre seja o caso, algumas organizações têm um CFO responsável pela segurança dos dados. Nesses casos, é mais provável que a segurança seja vista como uma questão financeira, afetando a forma como as iniciativas de segurança de dados são priorizadas e alocadas. No entanto, também existem alguns benefícios nessa estrutura de relatórios.
Ao se reportar ao CFO, os CISOs entendem melhor os riscos financeiros de uma organização e podem adaptar as estratégias de segurança de acordo. Além disso, esse arranjo pode ajudar a promover uma melhor comunicação entre as equipes de finanças e segurança.
Outro benefício de ter os CISOs subordinados ao CFO é que isso pode ajudar a reduzir os custos associados às medidas de segurança cibernética. Isso ocorre porque o CFO normalmente se concentra na redução de despesas e na maximização dos lucros. Como resultado, é provável que ofereçam mais suporte a soluções de segurança econômicas que podem não exigir um investimento significativo.
Há também algumas desvantagens em ter os CISOs subordinados ao CFO. Um problema é que os CISOs podem precisar de mais autoridade dentro da organização se reportarem ao CFO em vez do CEO ou CIO. Além disso, esse arranjo pode levar a tensões entre as equipes de finanças e segurança se elas precisarem concordar sobre questões específicas.
Reportar-se ao CFO pode fazer com que o CISO pareça mais um centro de custos do que um facilitador de negócios. Se o CFO não tiver experiência em segurança da informação, ele pode não ser capaz de fornecer supervisão adequada. Nesse caso, o CISO pode precisar se reportar a alguém com mais conhecimento sobre questões de segurança.
A função do CISO está evoluindo à medida que as organizações se tornam mais conscientes da importância da segurança dos dados. No passado, muitos CISOs se concentravam principalmente na conformidade e no gerenciamento de riscos. No entanto, espera-se que os CISOs de hoje sejam líderes de pensamento estratégico que possam ajudar suas organizações a navegar no cenário em constante mudança das ameaças à segurança cibernética.
Como tal, está se tornando cada vez mais comum que os CISOs se reportem a executivos de alto nível, como o CEO ou o CIO. Isso permite que os CISOs se sentem à mesa ao tomar decisões sobre estratégia organizacional e tolerância a riscos.
Olhando para o futuro, o papel dos CISOs continuará a evoluir à medida que as organizações se tornarem mais dependentes da tecnologia. À medida que as ameaças se tornam mais sofisticadas e os ataques cibernéticos se tornam mais comuns, os CISOs precisam adaptar suas estratégias de acordo. Eles também precisarão trabalhar em estreita colaboração com outros departamentos de suas organizações para garantir que todos estejam na mesma página quando se trata de segurança de dados.
Independentemente de como a função do CISO mude no futuro, uma coisa é certa: a segurança dos dados continuará sendo uma prioridade para organizações de todos os tamanhos, e essa função se tornou um item básico no local de trabalho moderno.
Falha permite que invasores manipulem o agente de um usuário por meio de um problema…
Um exploit de dia zero, dirigido aos firewalls FortiGate da Fortinet, foi descoberto à venda…
A família SHELBY mostra um exemplo preocupante de malware moderno com design modular, sofisticado e…
Hackers estão explorando o diretório mu-plugins do WordPress para injetar códigos maliciosos que não aparecem…
O Google implementou uma nova funcionalidade de "Detecção de Golpes" com inteligência artificial no aplicativo…
O grupo APT28, ligado à Rússia, está utilizando técnicas avançadas de ofuscação em seus ataques…