O que os CIOs esperam dos CISOs: colaboração (e não acusações)

Não é incomum ver os responsáveis pela segurança, os CSOs ou CISOs, se reportando ao CEO e não ao CIO. Embora cada empresa tenha seu próprio motivo para a estrutura organizacional, onde está o CSO e a quem ele se reporta afeta, sem dúvidas, os relacionamentos internos da companhia - incluindo a importante relação entre CISO e CIO.

A colaboração CIO/CSO é essencial

Como CIO das operações globais da News Corp, Sabah Carter supervisiona as instalações da empresa em Bangalore, que possui operações de engenharia de dados, engenharia de produtos, segurança e infraestrutura e trabalha com todos os principais produtos da empresa, incluindo o News UK, Dow Jones & Company e News Australia. Outras unidades de negócios têm seus próprios CIOs e CISOs, que cuidam de diversas regiões, serviços e linhas de produtos.

“Acho que a melhor maneira de trabalhar é traçar limites muito estreitos. Tive uma conversa muito interessante esta semana com meu CISO e o seu grupo falando sobre quem era o responsável. Acabei dizendo: 'Bem, se algo sair de Bangalore e não estiver certo, meu pescoço estará em risco. Portanto, ter um relatório do CISO para mim definitivamente beneficia esse controle, onde acho que provavelmente o perderia se não pudesse contar com ele.'”

Além de se reportar a Carter, seu CISO também responde ao conselho geral, que traz benefícios tanto em termos de orçamento quanto de conscientização. “Se [um CISO] está trabalhando para o CTO ou o CIO, então cabe a essa pessoa descobrir como fazer tudo funcionar dentro do orçamento [do CIO]", diz Carter. “Se essa pessoa é realmente parceira do CEO ou do conselho geral, esse risco é compartilhado em outro nível, e é muito difícil dizer não a algo desse porte. Você não sente que realmente precisa justificar [gastos com segurança]."

Carter afirma que, seja qual for a estrutura organizacional, a colaboração e o trabalho em equipe são fundamentais. “Se o trabalho de um CISO é executar avaliações e mostrar onde a segurança é falha ou onde erramos, então obviamente você estará criando um ambiente hostil.”

"Há pouco tempo, alguém estava dizendo que queria fazer avaliações de segurança em toda a empresa, incluindo o trabalho dos CIOs, e todos nós rejeitamos, porque o que não precisávamos era de alguém dando lição de casa para a gente", relata Carter. "Essa é absolutamente a configuração errada."

Carter argumenta que o CIO e o CISO devem trabalhar juntos para encontrar soluções, e não para apontar dedos e encontrar culpados pelos problemas.

As empresas precisam confiar nos CIOs

As empresas precisam estar cientes de que alguns CIOs podem não ver a chegada de um novo executivo de segurança - especialmente se a posição tiver sido criada recentemente - como algo totalmente positivo. “Eu me pergunto se o modelo paralelo [CIOs e CSOs que estão no mesmo nível da organização] realmente prejudica o papel do CIO”, observa Alan Hill, CIO da Universidade de Exeter, “porque deveríamos estar operando no melhor interesse do negócio, e me sinto capaz de equilibrar pessoalmente os riscos das soluções de tecnologia com os riscos para os negócios.”

Como a universidade não possui um CSO, Hill é o responsável pela segurança. A universidade tem uma solução para o setor de risco de informações, permitindo a combinação de riscos comerciais e técnicos em um único local. Para Hill, pelo menos em organizações menores, geralmente não há a necessidade de contratar um CISO, caso já exista um CIO.

“Essa capacidade de analisar ameaças, interpretá-las e aplicá-las aos negócios, além de elaborar políticas, orientações e investimentos, é a minha área. Eu acho que nós, como comunidade de CIOs, entendemos isso em absoluto. Se eu estivesse nessa posição e eles colocassem um CISO, eu me sentiria um pouco ofendido. Pois isso significaria que a instituição não confia em mim para fazer o meu trabalho."



Fonte: https://cio.com.br/o-que-os-cios-esperam-dos-cisos-colaboracao-e-nao-acusacoes/


Comentários da notícia