O CISO (Chief Information Security Officer) é um executivo de nível sênior responsável por desenvolver e implementar um programa de Cybersecurity, o que inclui procedimentos e políticas desenhadas para proteger as comunicações da empresa, sistemas e ativos tanto contra ameaças externas quanto de ameaças internas. O CISO também pode trabalhar em conjunto com o CIO (Chief Information Officer) para a busca de soluções de cybersecurity e serviços de gestão, além de gerenciar situações de recuperação de incidentes e desenvolver planos de continuidade de negócios.

O CISO também pode acabar recebendo denominações como Chief Security Architect, Gestor de Segurança, Corporate Security Office ou Information Security Manager, isso vai depender da estrutura da empresa e o modo como os cargos são nomeados. Ao passo em que o CISO também é responsável pela Segurança da Informação como um todo na empresa, ele também pode receber o título de CSO (Chief Security Officer).

 

O Papel e Responsabilidades do CISO

Ao invés de apenas esperar por um incidente de segurança ou vazamento de dados, o CISO é responsável por antecipar as ameaças e trabalhar ativamente para prevenir a ocorrência de incidentes. O CISO deve trabalhar com outros executivos de diferentes departamentos para garantir que a segurança dos sistemas está sendo bem executada, reduzindo riscos operacionais em face dos ataques cibernéticos.

Outras tarefas do CISO podem incluir a condução de treinamentos de conscientização sobre o cybersecurity nos colaboradores desenvolvendo práticas seguras de comunicação, identificar as métricas de segurança e os objetivos, selecionar e comprar as soluções de segurança corporativas, garantir o compliance com as regulações necessárias para a vertical e aplicar a aderência às práticas de segurança estabelecidas.

Além disso o CISO também deve garantir a privacidade dos dados corporativos, gerenciar a equipe de CSIRT e conduzir testes de penetração e análises forenses de incidentes ocorridos.

 

Qualificações e Certificações de um CISO

De forma geral, o CISO é um profissional que é capaz de efetivamente liderar e gerenciar colaboradores e que possui um forte entendimento de Cybersecurity e TI, mas que também possui a capacidade de comunicar os conceitos complicados de Cybersecurity para colaboradores técnicos e não-técnicos. Os CISOs devem possuir experiência com gerenciamento de risco e auditoria.

Muitas empresas também se certificam de que seu CISO possua educação formal avançada em negócios, ciência da computação ou engenharia, e que possua extensa experiência profissional em TI e Cybersecurity. Em geral os CISO possuem certificações relevantes como CISA e CISM expedidas pela ISACA, assim como CISSP, oferecida pela (ISC)2.