CISO (Chief Information Security Officer)

CISO (Chief Information Security Officer) é o executivo de nível sênior de uma organização responsável por estabelecer e manter a visão, a estratégia e o programa da empresa para garantir que os ativos e as tecnologias de informação sejam adequadamente protegidos. O CISO orienta a equipe na identificação, desenvolvimento, implementação e manutenção de processos em toda a empresa para reduzir os riscos de tecnologia da informação e informação (TI). Eles respondem a incidentes, estabelecem padrões e controles apropriados, gerenciam tecnologias de segurança e orientam o estabelecimento e a implementação de políticas e procedimentos. O CISO também é geralmente responsável pela conformidade relacionada à informação (por exemplo, supervisiona a implementação para obter a certificação ISO / IEC 27001 para uma entidade, ou parte dela).

Sabemos que no Brasil, o CISO, neste contexto, é uma realidade para poucas empresas, a maioria possui a função de segurança distribuída entre os analistas de TI ou mesmo possuem alguns poucos analistas de segurança, reportando ao gestor de TI, mas que não possuem ainda a representatividade e responsabilidade de um CISO, no entanto este artigo oferece uma visão geral da função, como incentivo e informação para aqueles que querem se preparar e almejar a posição ou, até mesmo, fornecer informações um pouco maiores para aqueles que estão pleiteando a criação da função em sua empresa, dentro de um processo de maturidade e boas práticas para proteção da informação e dos ativos da empresa.

O CISO também pode trabalhar em conjunto com o diretor de tecnologia da informações para obter produtos e serviços de segurança cibernética e gerenciar planos de recuperação de desastres e continuidade de negócios.

Normalmente, a influência do CISO atinge toda a organização. As responsabilidades podem incluir, mas não se limitam a:

Equipe de resposta a emergências de computador / equipe de resposta a incidentes de segurança de computadores
Cibersegurança
Recuperação de desastres e gerenciamento de continuidade de negócios
Gerenciamento de identidade e acesso
Privacidade da informação
Conformidade regulatória de informações (por exemplo, PCI DSS, HIPAA, lei de Privacidade e Marco Civil; regulamentações do Banco Central e outros órgãos reguladores)
Gestão de risco de informação
Segurança da informação e controle de proteção
Centro de Operações de Segurança da Informação (ISOC)
Controles de tecnologia da informação para sistemas e outros
Investigações de TI, análise forense digital, eDiscovery
Arquitetura de segurança

O diretor de segurança de informações também pode ser chamado de arquiteto chefe de segurança, gerente de segurança, diretor de segurança corporativa ou gerente de segurança da informação, dependendo da estrutura da empresa e dos títulos existentes. Embora o CISO também seja responsável pela segurança corporativa geral da empresa, que inclui seus funcionários e instalações, ele pode simplesmente ser chamado de diretor de segurança (CSO).

Papel e responsabilidades do CISO

Em vez de esperar por uma violação de dados ou incidente de segurança, o CISO é encarregado de antecipar novas ameaças e trabalhar ativamente para impedir que elas ocorram. O CISO deve trabalhar com outros executivos de diferentes departamentos para garantir que os sistemas de segurança estejam funcionando sem problemas para reduzir os riscos operacionais da organização diante de um ataque de segurança.

Os deveres do chefe de segurança da informação podem incluir a realização de treinamentos de conscientização de segurança dos funcionários, desenvolvimento de práticas seguras de negócios e comunicação, identificação de objetivos e métricas de segurança, escolha e compra de produtos de segurança de fornecedores, garantindo que a empresa esteja em conformidade com as regras aplicáveis aos órgãos relevantes. e impondo a adesão às práticas de segurança.

Baseado na ISO27001, teoricamente o CISO é responsável pelos 14 domínio que a ISO define, mas isto depende do tamanho da empresa, como a empresa está organizada nas funções técnicas relacionadas e da posição hierárquica do CISO na estrutura. Assim podemos dizer que basicamente o CISO é responsável por definir políticas e garantir a implementação e eficácia dos seguintes domínios técnicos:

Política de Segurança
Organizando a Segurança da Informação
Segurança em Recursos Humanos
Gestão de Ativos
Controle de Acessos
Criptografia
Segurança Física e do Ambiente
Segurança nas Operações
Segurança nas Comunicações
Aquisição, Desenvolvimento e Manutenção de Sistemas
Relacionamento na Cadeia de Suprimentos
Gestão de Incidentes de Segurança da Informação
Gestão da Continuidade
Conformidade

Outros deveres e responsabilidades que os CISOs desempenham incluem assegurar que a privacidade dos dados da empresa seja segura, gerenciar a equipe de resposta a incidentes de segurança de computadores e realizar investigações forenses digitais e de descoberta eletrônica.

Qualificações e certificações da CISO

Um CISO é normalmente um indivíduo que é capaz de liderar e gerenciar com eficiência funcionários e que tem um forte entendimento de tecnologia da informação e segurança, mas que também pode comunicar conceitos complicados de segurança a funcionários técnicos e não técnicos. Os CISOs devem ter experiência com gerenciamento de riscos e auditoria.

Nos dias atuais o CISO, antes de tudo, é um Administrador de Risco de Segurança da Informação. Todos sabemos que a Segurança 100% não existe e próxima dela é muito caro, por isto o CISO deve ter a capacidade de avaliar o risco inerente ao cenário e a realidade da empresa, a fim de propor e implementar o nível adequado de proteção requerido baseado no impacto e probabilidade de ocorrência de um evento.

Muitas empresas exigem que os CISOs tenham graus avançados em negócios, ciência da computação ou engenharia, e que tenham ampla experiência profissional em tecnologia da informação. Os CISOs também possuem certificações relevantes, como o CISSP – Certified Information Systems Security Professional emitido pelo ISC(2), Certified Information Systems Auditor e o Certified Information Security Manager, emitidos pela ISACA.

Outro ponto importante é a questão ética. o Ciso deve ser referência e atuar eticamente em relação à confidencialidade das informações, deve ser discreto sobre os fatos tratados, deve ser mais ouvinte do que narrador, ponderado, confiável, crítico e fiel a seus princípios de honestidade e integridade de conduta.

Reporte hierarquico

Devido ao seu papel estratégico é importante que o CISO tenha um reporte hierárquico adequado, condizente com suas responsabilidades e, claro, que atenda à a cultura da empresa. Entre os modelos que já vi implementado o CISO pode reportar-se a : Presidência, Diretor de TI, Diretor Financeiro, Diretor de Recursos Humanos, Diretor de Risco ou Diretor de Fraudes.

Todos os modelos apresentam seus prós e contras, por exemplo, quando o CISO reporta-se ao Diretor de TI alguns segmentos, como o financeiro, apontam conflitos de interesse nos controles que são necessários a implementação e a sua monitoração, com os objetivos de TI de implementações rápidas e de manter a operação ativa, sem interrupção longas. Reportar-se o Diretor de Fraudes, pode causar uma mudança radical na forma de tratar com o usuário final, chegando até mesmo a tratá-lo como bandido e forçando ações que podem impactar diretamente o negócio pela falta de entendimento do operacional tecnológico e o real risco operacional de uma tarefa que pode ficar pronta no dia seguinte e não hoje. Reportar-se ao Diretor de RH pode causar um problema conflituoso para o CISO quando ele precisa aumentar seu quadro de funcionários para atender novas demandas.

Em fim, não existe uma resposta adequada, a melhor estrutura é aquela que sua empresa possa adotar com o menor conflito e com o maior apoio estratégico possível. Claro que isto dependerá da cultura da empresa e da pessoa que ocupa a posição a qual o CISO irá se reportar, quanto mais adaptável e consciente da importância da função de segurança da informação, melhor!

Por Kleber Melo
Sócio Diretor da MindSec Segurança e Tecnologia da Informação

Veja também: