CIOs e CISOs devem ter o mesmo poder de decisão

O emblemático vazamento de dados da Target, gigante do varejo norte-americano e que expôs as informações bancárias de mais de 70 milhões de clientes no fim do ano passado repercute até hoje.

Recentemente, Brad Maiorino, ex-CISO (Chief Information Security Officers) da montadora General Motors (GM) foi contratado para ocupar o recém-criado cargo de CISO na Target, fato que foi interpretado pelo mercado como uma medida enérgica da empresa para evitar novos incidentes.

No entanto, a informação de que o primeiro CISO da história da Target terá que se reportar diretamente ao CIO (Chief Information Officer), Bob DeRodes, foi suficiente para reacender um debate sobre o modo mais efetivo de se estabelecer a hierarquia da equipe de TI, e qual seria a melhor alternativa em termos de segurança.

Enquanto muitos especialistas da área acreditam que o fato de o CISO precisar se reportar ao CIO pode causar prejuízos em termos de eficiência, deixando a segurança em segundo plano, muitos defendem que não há nenhuma comprovação empírica de que esse tipo de organização hierárquica gere algum malefício para a segurança.

A questão é que, na verdade, existe sim uma pesquisa que demonstra como a submissão do CISO ao CIO pode trazer problemas para a segurança. O estudo global de segurança da informação de 2014, realizado pela Pricewaterhouse Coopers (PwC), traz algumas informações muito relevantes que jogam luz sobre a questão:

Em pesquisa com mais de 9 mil organizações de todo o mundo, foi descoberto que, aquelas em que o CISO precisa se reportar ao CIO sofrem 14% mais problemas relacionados a incidentes de segurança do que as empresas em que o CISO possui autonomia.

Quando o CISO se reporta ao CIO, as perdas financeiras são 46% mais altas do que quando o CISO possui autonomia. Por esse motivo é imprescindível que o CISO tenha autonomia e se reporte diretamente para os executivos. Quando a segurança se mistura a conflitos de “C level” da área de tecnologia, na maioria das vezes, sua função desanda. Isso ocorre devido ao conflito de interesses entre as diversas áreas, o que acaba gerando falta de alinhamento, e, consequentemente, falta de apoio “top-level”.

O que realmente falta na segurança atual é enxergar que ela deve estar em uma estrutura top-down. Uma figura de segurança teria um chief ao lado dos C’s da tecnologia. No caso da Target, se existisse uma posição de comando para segurança, a probabilidade do problema ter atingido a proporção que alcançou seria consideravelmente menor.

É claro que as organizações não são iguais entre si e que um modelo pode não funcionar em todos os lugares. Contudo, é absolutamente possível dizer que o profissional de segurança deve se reportar diretamente aos executivos.

Isso aumenta sua autonomia, o que o torna capaz de implementar mais políticas de segurança e trabalhar para que a infraestrutura seja pensada de acordo com a segurança.

Não ter o CISO se reportando para o CIO também diminui o conflito de interesses. É claro que eles precisam trabalhar juntos, tanto para apoiar o negócio, quanto para diminuir os riscos relacionados à segurança, mas isso é feito de uma maneira mais eficiente quando ambos possuem igualdade de voz.

Você concorda?

(*) Rovercy de Oliveira é consultor de segurança da Real Protect