Por Jerry Perullo em 22 de fevereiro de 2022 

Uma perspectiva em diferentes tipos de estruturas CISO.

Você já se perguntou onde o chief information security officer (CISO) se encaixa no modelo das Três Linhas do IIA? A verdade é que não existe uma resposta certa e diferentes CISOs desempenharão funções diferentes. No entanto, identificar onde seu CISO se encaixa pode ajudar a orientar sua abordagem de auditoria.

Aplicando o Modelo das Três Linhas

Dentro do Modelo das Três Linhas, a primeira linha se preocupa principalmente com a entrega de produtos e serviços de negócios, mas inclui funções de suporte definidas para cobrir o "front of house" e o "back office". As funções de segunda linha, por outro lado, auxiliam no gerenciamento de riscos. Embora se possa dizer que todas as tarefas de segurança da informação lidam com o gerenciamento de riscos de alguma forma, existem algumas funções que não são meramente auxiliares, mas que, de fato, oferecem uma funcionalidade operacional direta. Os exemplos incluem o monitoramento de alertas de segurança, a realização de análises forenses ou a implantação de sistemas de prevenção de intrusão.

Embora muitas empresas abriguem algumas dessas funções de primeira linha em TI fora do mandato do CISO, a maioria das organizações terá pelo menos algumas dessas funções sob o CISO. As funções de primeira linha dentro de um grupo de segurança da informação incluem:

•  Resposta a incidentes.
•  Centros de operações de segurança.
•  Monitoramento de engenharia de automação.
•  Consultoria em arquitetura de segurança.
•  Design. 
•  Implantação.
•  Atividades de ciência de dados necessárias para operar um sistema eficaz de gestão de incidentes e eventos de segurança.

As funções de segunda linha concentram-se em objetivos de gerenciamento de riscos que vão desde conformidade legal e regulatória até o gerenciamento de riscos mais amplo, e incluem monitoramento, teste, análise e reporte sobre questões de gerenciamento de riscos. Essa definição corresponde a uma função de governança, risco e conformidade na segurança da informação. Olhando mais profundamente, red teams, segurança de aplicativos e gerenciamento de riscos de terceiros também realizam monitoramento, teste, análise e reporte proativos e, portanto, fazem parte da função de segunda linha de um grupo de segurança da informação. Essas equipes provavelmente trabalharão em estreita colaboração com grupos de segunda linha fora da segurança da informação, como um grupo de gerenciamento de riscos corporativos (enterprise risk management – ERM).

E é aí que entra o CISO

Muitas organizações estabeleceram um papel de CISO. A história desse cargo, muitas vezes, pode esclarecer onde as funções sob o CISO se encaixam no Modelo das Três Linhas.

O CISO de Primeira Linha

Em muitas organizações, o cargo de CISO foi criado em resposta a uma violação tática. Nesses casos, o CISO geralmente reportará a um diretor de informação (chief information officer – CIO) e estará ocupado principalmente com assuntos de primeira linha, como ferramentas e processos de monitoramento de segurança operacional, resposta a incidentes, e arquitetura e implantação de controles preventivos e de detecção. No espírito do Modelo das Três Linhas, estes devem estar segregados não apenas da avaliação da eficácia operacional, mas também de qualquer avaliação de risco estratégico que impulsione a priorização e a gênese inicial do estabelecimento do controle. Organizações com um CISO de primeira linha geralmente terão responsabilidades de segunda linha dentro de um grupo de ERM liderado por um diretor de risco (chief risk officer – CRO). Alguns dos maiores bancos que seguem o modelo de um CISO de primeira linha têm um diretor de risco de tecnologia com responsabilidades de segunda linha relativas à cibersegurança.

O CISO de Segunda Linha

Em outras organizações, o cargo do CISO pode ter sido criado em reação às estruturas de governança e supervisão. Às vezes, essas estruturas cresceram organicamente para responder às demandas dos clientes, descobertas de gerenciamento de riscos de terceiros ou pressão dos investidores por normas mais fortes de governança corporativa. Outras vezes, essas estruturas são impostas por regulamentação. O CISO contratado para esse modelo geralmente terá experiência em gerenciamento de riscos, reportará a um CRO ou assessor geral, e terá a tarefa principal de identificar e priorizar os riscos de cibersegurança enfrentados pela organização. Seguindo o Modelo das Três Linhas, o CISO, neste caso, não tem a supervisão direta ou indireta sobre a resposta a incidentes ou implantação e operação de controle técnico. As organizações com um CISO de segunda linha podem ter tarefas operacionais de primeira linha tratadas por TI ou engenharia.

O CISO Executivo

Ainda em outro tipo de organização, o CISO será colega do CIO e do CRO e terá propriedade de equipes segregadas que executam funções de primeira e segunda linha. Nesses casos, a organização pode usar o termo “segurança da informação” para abranger mais amplamente toda a missão do CISO, com “cibersegurança cibernética” reservada para a primeira linha e “avaliação de segurança” aplicada à segunda. Nesses casos, uma liderança separada de nível sênior administrará cada grupo sob o CISO. O chefe de cibersegurança de primeira linha trabalhará em estreita colaboração com o CIO e a TI para implantar e operar controles. O chefe de avaliação de segurança de segunda linha pode trabalhar em estreita colaboração com o CRO para questionar e testar controles, identificar riscos e consolidar o reporte por meio da governança.

Conclusão

Um órgão de governança ou um revisor terceirizado deve garantir que as funções descritas nas definições de segurança da informação de primeira e segunda linhas sejam atribuídas e que seu gerenciamento e operação sejam separados uns dos outros. Onde os limites serão traçados, no entanto, pode variar. É importante começar essa avaliação identificando o tipo de organização e o tipo de reporte do CISO.

Copyright © 2022 de The Institute of Internal Auditors, Inc. (“The IIA”).  
Todos os direitos reservados.  
   
Foi obtida permissão do detentor dos direitos autorais, The IIA, 1035 Greenwood Blvd., Suíte 401, Lake Mary, FL 32746, EUA, para publicar esta reprodução, que é igual ao original em todos os aspectos materiais, a menos que aprovada como alterada. 
   
Este documento foi traduzido por INSTITUTO DOS AUDITORES INTERNOS DO BRASIL em 22 DE FEVEREIRO DE 2022.