Diante dos recentes casos de violações de dados, o mercado passou a questionar para quem os CISOs devem reportar os acontecimentos. Alguns consultores do mercado relatam que os CISOs devem reportar ao CEOs para evitar conflitos de interesses que poderiam prejudicar a segurança cibernética. “Todo mundo tem de estar ciente da segurança”, disse ao The Wall Street Journal o CIO da empresa do setor financeiro LPL Financial Holdings, Victor Fetter.
Em 2014, a rede varejista Target, depois da invasão de hackers que roubaram milhares de informações dos clientes, decidiu que o CISO da empresa, Brad Maiorino, deveria reportar-se ao CIO, Bob DeRodes. Esse posicionamento foi criticado por especialistas em segurança, que acreditaram que o CISO deveria reportar para o CEO para fornecer uma visão mais clara da postura de segurança cibernética da companhia.
Na visão de Suren Gupta, CIO da Allstate Corp, seguradora de carros, é vital que CIOs e CISOs tenham um relacionamento próximo. “O CISO deve reportar ao CIO”, acredita Gupta. Na Allstate, Gupta diz que inclui seu diretor de segurança em reuniões de diretoria quando os membros solicitam informações adicionais sobre o cenário de ameaças cibernéticas.
Mas nem todos concordam. A preocupação de o CISO responder para o CIO é que as medidas de segurança cibernética podem impactar em atividades de geração de receita, avalia Avivah Litan, analista de segurança cibernética do Gartner. “A função de segurança precisa estar no nível do CEO para dar à organização a verificação, o equilíbrio, e a integridade de que a organização precisa”, justifica.
Para alguns executivos, a questão é menos sobre quem responde para quem e sim que os dois profissionais trabalhem juntos. A estreita colaboração entre CIO e CISO é uma boa maneira de apresentar posturas de segurança abrangentes para o board, opina Robert Logan, CIO da empresa de defesa Leidos Holdings.
