A importância do posicionamento do CSO na cadeia de comando da empresa continua a crescer, acompanhando o crescimento da Segurança da Informação no mundo corporativo. Algumas correntes acreditam que o CSO deve deixar de se reportar ao CIO, pois haveria um conflito de interesses. Então, como deve ser essa cadeia de comando? Faria mais sentido se o CSO tivesse que se reportar diretamente para o CEO?

A Hierarquia dentro da TI

A hierarquia e o posicionamento do CSO na cadeia de comando da empresa é uma discussão que ocorre há muitos anos e parte de uma clara ruptura e existência de problemas de prioridade entre o CSO, o CIO e outras áreas com a Infraestrutura. O board historicamente deixa a segurança da informação sob a aba do CIO, principalmente por esse ser um setor que também é tecnológico e caminha junto da TI.

O papel do CSO evoluiu de um engenheiro de segurança, para um gerente de segurança da informação, posteriormente um diretor até um Chieff Security Officer, posicionado entre os outros c-level da empresa. Um relatório de 2015 elaborado pela Georgia Tech Governance of Cybersecurity revelou que em 40% das empresas o CSO reporta diretamente para o CIO. A mesma pesquisa realizada em outros anos mostrou que a diferença ao longo dos anos nessa porcentagem é mínima.

Objetivo do CSO: proteger o negócio

O primeiro objetivo do CSO não é proteger a tecnologia, é proteger o negócio. Se estar hierarquicamente abaixo do CIO diminui a capacidade do CSO de atingir esse objetivo, isso marginaliza o CSO e cria um grande desserviço para a empresa.

As chaves para tornar o papel do CSO um sucesso são independência, posicionamento e liberdade para apresentar a real situação. O CSO precisa ser independente de influência ou pressão de outros setores, ter o poder para implementar as medidas de segurança necessárias e a liberdade para incorporar na empresa uma cultura de segurança da informação.

CSO e CIO, existe um conflito de interesses?

Se existe ou não um conflito de interesses quando o CSO se reporta ao CIO é algo que depende da pessoa do CIO. Se o CIO permite que o CSO mantenha sua independência e poder para implementar o programa de segurança da informação, então a hierarquia não é um problema. Por outro lado, se o CSO se reporta para um executivo c-level que não seja o CIO, a não ser que o executivo entenda algo de segurança, ofereça orçamento e apoio para o programa de segurança, a estrutura hierárquica será pior do que com o CIO.

Idealmente, o CSO deve se reportar a um executivo, que não o CIO, que tenha apreciação pela segurança da informação e possa apoiar as iniciativas com o board. Esse executivo pode ser o CEO, um membro do board executivo ou um Chief Risk Officer. Em alguns casos, o próprio CSO pode se tornar um membro do board.

Considerações finais

Contudo, por décadas o CSO e a equipe de segurança reportaram para o CIO e por diversas vezes essa situação criou tensão e conflitos de interesse, contudo as tecnologias e os processos se mantiveram. A segurança da informação por sua vez foi cumprida, ainda que não de forma totalmente eficiente, mas oferecendo proteção para a empresa.

Outra consideração para a estrutura hierárquica na qual o CSO se reportar ao CIO é a seguinte: o CIO dá as condições necessárias para que o CSO tenha sucesso com o programa de segurança, dando independência e o orçamento necessário. Essa situação pode mudar drasticamente se a pessoa que ocupa o cargo de CIO mudar. O segredo para essa situação é ter consciência da diferença entre cada executivo e ser flexível o bastante para continuar aplicando o programa e obtendo o sucesso esperado.