Analysis
Com a crescente relevância das questões de cibersegurança e compliance para os negócios, a posição do Chief Information Security Officer na organização é cada vez mais tema de debate, com muitos profissionais a defenderem a aproximação à gestão de topo
22/01/2020
A posição hierárquica do CISO é de momento o assunto mais discutido entre os profissionais de segurança, e o debate não mostra sinais de amainar tão cedo. Isso porque ainda não há uma resposta padrão ou clara – mesmo consultar apenas os próprios CISOs gera uma grande variedade de opiniões. "Historicamente, os CISOs eram diretores de segurança da informação e, naturalmente, reportavam diretamente ao CIO", explica Andrew Howard, CEO da Kudelski Security. "Como aumentaram as responsabilidades, a necessidade de prestar contas a outros cargos é inevitável.” Como observou Howard, no momento em que o papel do CISO se tornou parte da estrutura executiva nas grandes empresas, muitos CISOs foram considerados uma extensão do IT e passaram a ser subordinados diretos do CIO. Mas, à medida que o cargo evolui, evoluiu também a visibilidade e a importância do CISO para a gestão de topo. Como resultado, muitos CISOs estão atualmente a prestar contas diretamente à gestão de topo, incluindo ao CEO. “Em toda a nossa base de clientes, verificamos que os CISOs estão a reportar a uma variedade de executivos, do CEO ao CIO, ao Diretor de Risco, ao Conselho administrativo e até mesmo ao Comité de Auditoria. A resposta certa, na realidade, depende da dinâmica da empresa”, refere Howard. As conclusões do relatório “2018 Global State of Information Security Survey” da PWC mostram que 40% dos CISOs reportam diretamente ao CEO, em contraste com os 24% que reportam ao CIO e 27% que reportam diretamente ao conselho administrativo. No entanto, a estrutura hierárquica varia grandemente consoante o setor e o tamanho da empresa. Por exemplo, um recente relatório da Carbon Black descobriu que 62% dos CISOs de instituições financeiras ainda são subordinados do CIO. Outra investigação, da IDG, revela que os executivos de segurança têm maior probabilidade de prestar contas diretamente ao CEO em empresas com uma receita anual inferior a 100 milhões de dólares. Em empresas maiores, a maioria ainda trabalha com o CIO. Muitos defendem que os dias em que fazia sentido um CISO estar subordinado ao CIO chegaram ao fim, porque as suas responsabilidades evoluíram muito para lá do IT – e há inclusive quem acredite que a estrutura de relatório CISO-CIO pode vir mesmo a introduzir um conflito de interesses. “Se tivermos em consideração a tríade CIA (confidencialidade, integridade e disponibilidade), a relação entre CISO e CIO pode gerar conflitos de interesse. Os CIOs priorizarão a disponibilidade, enquanto os CISOs estão focados em confidencialidade e integridade”, explica Rick Holland, CISO da Digital Shadows. “Estes potenciais conflitos de interesse podem complicar as linhas de comunicação do CIO-CISO". Existem inclusivamente várias investigações que corroboram esta postura: um relatório da PWC, por exemplo, constata que as perdas financeiras são 46% superiores nas organizações em que o CISO é subordinado do CIO. “A estrutura CISO-CIO é problemática porque coloca os CISOs em posição de discutir sobre o orçamento com colegas que têm responsabilidades operacionais de IT, mas não têm obrigações de segurança”, explica Richard Bird, CCIO da Ping Identity e ex-CISO da Mettler-Toledo. “Basicamente, a empresa fica presa num dilema entre questões operacionais e de segurança, uma discussão que ninguém ganha. Por este motivo, nas organizações mais seguras e eficazes o CISO é diretamente subordinado ao CEO, com uma linha direta de responsabilidade para o comité de risco do conselho administrativo”. "Questões críticas de segurança com um impacto significante – ou mesmo desastroso – no negócio devem ser trabalhadas na gestão de topo, não influenciadas pelo CIO", conclui Morey Haber, CTO e CISO da BeyondTrust.
As necessidades da empresa têm prioridadeSeja qual for a decisão final, as diferenças entre setores e as necessidades específicas da empresa devem sempre ser tidas em consideração ao projetar uma estrutura hierárquica. “Acho que não importa, desde que o papel do CISO seja bem definido e compreendido pelos membros da organização, e que a autoridade para o cargo esteja em conformidade com a sua responsabilidade", refere Mike Gentile, presidente e CEO da CISOSHARE. “Muitas organizações passam horas sem fim a tentar determinar onde é que um CISO deve ser posicionado na hierarquia, mas depois esquecem-se completamente de estabelecer um aspecto crítico: os elementos de poder e definição são tudo o que realmente importa.” Hoje em dia, a essência do cargo de CISO é trabalhar com todos os principais stakeholders internos para garantir a salvaguarda da segurança em toda a organização. "Um CISO precisa de trabalhar em conjunto com várias unidades de negócios, e muito mais", disse Paul Gagliardi, CISO do SecurityScorecard. "Independentemente de a quem é que essa pessoa está subordinada, estas relações dentro da empresa e a capacidade de entender diferentes perspectivas e necessidades vão determinar o sucesso do CISO". |