A perspetiva da Cyber Academy
O CISO é o executivo responsável pela estratégia de segurança da informação. É titular do registo de riscos, lidera a resposta a incidentes, informa o conselho de administração e aprova o risco residual. Ao abrigo do NIS 2 e do DORA, a responsabilidade é agora explícita e pessoal. A função é de governação, não de implementação; a parte mais difícil é a tradução para a linguagem do conselho.
Pelo que um CISO realmente responde
O CISO é o executivo responsável pela estratégia de segurança da informação, e a ênfase está em responsável. Como diz a shortDefinition, o trabalho é governança, não implementação. Um CISO não configura firewalls nem escreve regras de deteção; decide onde a organização gasta o seu orçamento de segurança limitado, que riscos trata e quais aceita, e como responde quando algo falha. Os entregáveis diários da função são um registo de riscos, um roteiro de programa, um plano de resposta a incidentes e um conjunto de relatórios ao nível do conselho de administração, não um terminal.
Essa distinção importa porque a liderança de segurança é frequentemente mal interpretada como um cargo de engenharia sénior. Não é. O CISO situa-se na fronteira entre as equipas técnicas que operam os controlos e os executivos que os financiam e arcam com as consequências. A parte mais difícil do trabalho, como nota a shortDefinition, é a tradução para o conselho: transformar uma realidade técnica desmesurada num pequeno número de decisões que um conselho possa de facto tomar. Um CISO que não consegue explicar o risco residual em termos de negócio não consegue fazer o trabalho, por mais sólida que seja a sua formação técnica.
Responsabilização sob NIS 2 e DORA
Durante anos, a função de CISO carregou responsabilidade sem muita responsabilização formal. Isso mudou. A shortDefinition é explícita: sob NIS 2 e DORA a responsabilização é agora pessoal. A NIS 2, a diretiva europeia sobre a segurança das redes e da informação, eleva a supervisão da cibersegurança até ao órgão de administração das entidades abrangidas e torna esse órgão responsável por aprovar e supervisionar as medidas de gestão de riscos de segurança.
O DORA, o Digital Operational Resilience Act, faz o equivalente para o setor financeiro da UE, colocando firmemente a responsabilização pela resiliência operacional no órgão de administração. O efeito prático é que «a função de segurança faz o seu melhor» já não é uma postura defensável; uma liderança nomeadamente designada tem de assumir por escrito as decisões de risco.
É por isso que um CISO moderno dedica tanto tempo à documentação e à cadência de reporte. Validar o risco residual, informar o conselho sobre o panorama de ameaças e evidenciar que as medidas de gestão de riscos foram aprovadas ao nível certo já não são extras de boa prática. É assim que a organização demonstra que cumpriu as suas obrigações legais. A função passou de «gerir a equipa de segurança» para «tornar a governança defensável».
Em que o CISO difere das funções vizinhas
O CISO é frequentemente confundido com as pessoas e funções à sua volta. Um gestor de segurança ou um responsável de programa certificado CISM dirige o programa de segurança e pode reportar ao CISO; o CISO define a estratégia e carrega a responsabilização executiva por ela. Um líder de SOC é responsável pelas operações de deteção e resposta; o CISO é responsável pela decisão sobre quanta capacidade de deteção a organização vai financiar e o que fará quando o SOC escala um incidente maior. E onde a organização opera um SGSI ISO 27001, o CISO é tipicamente o patrocinador executivo desse sistema de gestão e não o seu operador diário.
| Função | Perspetiva principal | Reporta a |
|---|---|---|
| CISO | Estratégia de segurança, aceitação de risco, responsabilização perante o conselho | CEO ou conselho de administração |
| Gestor de segurança | Gerir o programa e a equipa de segurança | Frequentemente o CISO |
| Líder de SOC | Deteção, monitorização, operações de resposta a incidentes | CISO ou gestor de segurança |
| DPO | Conformidade com a proteção de dados e direitos das pessoas | Independente, com acesso ao conselho |
Um par que vale a pena separar com clareza é o CISO e o Encarregado da Proteção de Dados. Sobrepõem-se em incidentes que envolvem dados pessoais, mas são trabalhos diferentes. O DPO é uma função de conformidade e supervisão com uma independência legalmente protegida; o CISO é um executivo que é responsável pela estratégia de segurança e é avaliado por ela. Em muitas organizações colaboram constantemente e reportam por linhas diferentes, precisamente porque o DPO deve poder questionar o negócio, incluindo a função de segurança.
Para os profissionais a caminho deste lugar, o enquadramento honesto é que a função de CISO recompensa o discernimento e a comunicação mais do que as ferramentas. A base técnica é dada como certa; o que faz com que as pessoas sejam contratadas e as mantém eficazes é a capacidade de assumir o risco, informar um conselho e tornar a responsabilização defensável sob quadros como NIS 2 e DORA.
Frequently asked questions
01O CISO é uma função técnica?
Não principalmente. O CISO é responsável pela estratégia de segurança, pela aceitação de risco e pelo reporte ao conselho. Uma formação técnica ajuda, mas o núcleo do trabalho é a governança e traduzir o risco em decisões que os executivos possam tomar, não implementar controlos.
02O que mudou para os CISO sob NIS 2 e DORA?
A responsabilização tornou-se explícita e pessoal. Ambos os quadros elevam a supervisão da segurança e da resiliência operacional até ao órgão de administração, pelo que as medidas de gestão de riscos têm de ser formalmente aprovadas e supervisionadas ao nível executivo. «A equipa fez o seu melhor» já não é uma posição defensável.
03Qual é a diferença entre um CISO e um gestor de segurança?
O gestor de segurança dirige o programa e a equipa e frequentemente reporta ao CISO. O CISO define a estratégia, valida o risco residual e carrega a responsabilização executiva pela função de segurança como um todo.
04O CISO é responsável pela resposta a incidentes?
O CISO lidera a resposta a incidentes ao nível executivo: é responsável pelo plano, toma as decisões maiores durante uma crise e informa o conselho. A deteção e a contenção do dia a dia ficam geralmente a cargo de um SOC ou equipa de segurança que escala para o CISO.
05Em que o CISO difere do DPO?
O CISO é um executivo responsável que é responsável pela estratégia de segurança. O DPO é uma função de supervisão com independência legalmente protegida, focada na conformidade com a proteção de dados. Colaboram nos incidentes com dados pessoais mas respondem a mandatos diferentes.