A Segurança da informação é uma área que vêm recebendo destaque dentro das empresas apenas há pouco tempo. Parte dessa atenção recente está relacionada aos ataques cada vez mais desastrosos, em 2014 foram inúmeros: Target, Sony, UPS e outros. Essa importância recém adquirida revela a existência de um problema – a organização da TI e, consequentemente da segurança, ainda não está muito clara em muitos ambientes.

Muitos especialistas da área acreditam que, quando o CISO precisa se reportar ao CIO, existe um déficit na segurança, inevitavelmente as funções requeridas por um CISO perdem em eficiência, e a segurança fica em segundo plano. Outros especialistas por sua vez, argumentam que não existe nenhuma comprovação empírica de que esse tipo de organização da equipe traga algum malefício para a segurança.

A questão é que, na verdade, existe sim uma pesquisa que demonstra como a submissão do CISO ao CIO traz problemas para a segurança. O estudo global de segurança da informação de 2014, realizado pela Pricewaterhouse Coopers (PwC), traz algumas informações muito relevantes que jogam luz sobre a questão:

  • Em pesquisa com mais de 9000 organizações de todo o mundo, foi descoberto que, aquelas em que o CISO precisa se reportar ao CIO sofrem 14% mais problemas relacionados a incidentes de segurança do que as empresas em que o CISO possui autonomia.
  • Quando o CISO se reporta ao CIO, as perdas financeiras são 46% mais altas do que quando o CISO possui autonomia.

Para Rovercy de Oliveira, consultor de segurança da Real Protect, é imprescindível que o CISO tenha autonomia e se reporte diretamente para os executivos:

– Quando a segurança se mistura a conflitos de operacionais de TI, na maioria das vezes, sua função desanda. Isso ocorre devido ao conflito de interesses natural entre operação e Segurança da Informação.

É claro que as organizações não são iguais entre si, e, que um modelo pode não funcionar em todos os lugares. Contudo, é absolutamente possível dizer que o profissional de segurança deve se reportar diretamente para os executivos. Isso aumenta sua autonomia, o que o torna capaz de implementar mais políticas de segurança e trabalhar para que a infraestrutura seja pensada de acordo com a segurança. Não ter o CISO se reportando para o CIO também diminui o conflito de interesses. É claro que eles precisam trabalhar junto, tanto para apoiar o negócio, quanto para diminuir os riscos relacionados à segurança, e isso é feito melhor quando ambos possuem igualdade de voz.

que_debe_saber_un_gerente_para_2badministrar_con_exito_una_empresa