O recente apontamento de Brad Maiorino, ex-CISO da GM, para o recém criado cargo de CISO na Target, foi recebido pelo mercado como um indício de novos tempos para a Segurança da Informação. Com essa contratação, a Target demonstra que está disposta a encarar de forma séria a segurança após o vazamento massivo de dados ocorrido no começo do ano. Contudo, uma informação importante foi divulgada, o CISO terá que se reportar diretamente ao CIO. Isso reascendeu o debate sobre qual a forma mais efetiva de se estabelecer a infraestrutura da equipe de TI, e, qual seria a melhor alternativa em termos de segurança.

Muitos especialistas da área acreditam que, quando o CISO precisa se reportar ao CIO, existe um déficit na segurança, inevitavelmente as funções requeridas por um CISO perdem em eficiência, e a segurança fica em segundo plano. Outros especialistas por sua vez, argumentam que não existe nenhuma comprovação empírica de que esse tipo de organização da equipe traga algum malefício para a segurança.

A questão é que, na verdade, existe sim uma pesquisa que demonstra como a submissão do CISO ao CIO traz problemas para a segurança. O estudo global de segurança da informação de 2014, realizado pela Pricewaterhouse Coopers (PwC), traz algumas informações muito relevantes que jogam luz sobre a questão:

  • Em pesquisa com mais de 9000 organizações de todo o mundo, foi descoberto que, aquelas em que o CISO precisa se reportar ao CIO sofrem 14% mais problemas relacionados a incidentes de segurança do que as empresas em que o CISO possui autonomia.
  • Quando o CISO se reporta ao CIO, as perdas financeiras são 46% mais altas do que quando o CISO possui autonomia.

Para Rovercy de Oliveira, consultor de segurança da Real Protect, é imprescindível que o CISO tenha autonomia e se reporte diretamente para os executivos:

– Quando a segurança se mistura a conflitos de C level da área de tecnologia, na maioria das vezes, sua função desanda. Isso ocorre devido ao conflito de interesses entre as diversas áreas, o que acaba gerando falta de alinhamento, e, consequentemente, falta de apoio “top-level”. O que realmente falta na segurança atual é enxergar que ela deve estar em uma estrutura top-down. Uma figura de segurança, teria um C ao lado dos C’s da tecnologia. No caso da Target, se existisse uma posição de comando para segurança, a probabilidade do problema ter atingido a proporção que alcançou seria consideravelmente menor.

É claro que as organizações não são iguais entre si, e, que um modelo pode não funcionar em todos os lugares. Contudo, é absolutamente possível dizer que o profissional de segurança deve se reportar diretamente para os executivos. Isso aumenta sua autonomia, o que o torna capaz de implementar mais políticas de segurança e trabalhar para que a infraestrutura seja pensada de acordo com a segurança. Não ter o CISO se reportando para o CIO também diminui o conflito de interesses. É claro que eles precisam trabalhar junto, tanto para apoiar o negócio, quanto para diminuir os riscos relacionados à segurança, e isso é feito melhor quando ambos possuem igualdade de voz.

CISO