CISO (Chief Information Security Officer): saiba tudo aqui

CISO (Chief Information Security Officer): saiba tudo aqui
Share on twitter
Share on facebook
Share on whatsapp
Share on email

Com a evolução dos cibercrimes e os ataques cada vez mais frequentes a ambientes online, a segurança da informação ganha cada vez mais destaque e importância. Nesse contexto, um dos cargos de destaque é o CISO.

Entretanto, no Brasil, o CISO é uma realidade para algumas poucas empresas. Isso porque, além de especialização, o cargo também representa um alto custo para as organizações que, na maioria das vezes, distribuem as funções do Chief Information Security Officer entre os integrantes da equipe de TI.

O que é CISO?

CISO, sigla para o termo em inglês Chief Information Security Officer, é um cargo de nível executivo sênior em uma organização. Ele é responsável por garantir que as tecnologias de informação e os ativos estejam protegidos – o que inclui, certamente, os dados pessoais de usuários.

De modo abrangente, toda a governança de Tecnologia da Informação de uma organização é de responsabilidade do Chief Information Security Officer.

Quais são as atribuições do CISO?

Podendo trabalhar de forma independente ou, ainda, ao lado do Diretor de Tecnologia, o CISO geralmente tem algumas atribuições básicas. Essas atribuições podem variar de acordo com o porte, o segmento e as necessidades da organização.

Vamos ver, em seguida, quais são algumas de suas responsabilidades:

  • gerenciar acessos;
  • recuperar desastres;
  • administrar a continuidade dos negócios;
  • garantir a privacidade das informações;
  • estar em conformidade regulatória com todos os órgãos;
  • manter uma boa arquitetura de segurança;
  • elaborar programas de cibersegurança.

Mas não é só isso. Com a nova Lei Geral de Proteção de Dados, a LGPD, as atribuições do CISO exigem ainda mais cautela e atenção.

Veremos, mais à frente, como a LGPD impacta o trabalho do Chief Information Security Officer. Antes, porém, vamos entender o que é preciso para elaborar um programa satisfatório de cibersegurança. Afinal, essa é uma das importantes atribuições do CISO.

Como elaborar um bom programa de cybersecurity?

Para criar um bom programa de cybersecurity – ou programa de cibersegurança –, é necessário fortalecer a infraestrutura de uma organização.

Abaixo, listamos 6 etapas que o CISO pode seguir para começar a estruturar esse processo a fim de garantir proteção e melhoria contínua da segurança em sua organização. Acompanhe:

  1. o primeiro passo consiste em fazer um inventário dos ativos da organização. Aqui, o profissional responsável pode incluir processos, ambientes, pessoas, tecnologias e dados;
  2. em seguida, é hora de avaliar quão críticos são esses ativos – identificando, em seguida, as pessoas responsáveis por cada um dos processos do negócio;
  3. uma análise de riscos é o próximo passo. O CISO poderá definir as prioridades de ajustes e novas implementações de segurança para mitigar os riscos identificados;
  4. nessa etapa, o profissional deve definir quais serão as ações, processos e serviços a serem implementados e apresentar aos executivos da empresa;
  5. na quinta etapa, o CISO cria um plano de ação com base nas ideias aprovadas na etapa anterior e formaliza o programa;
  6. por fim, basta implementar o plano de ação.

Certificação para atuar como CISO

Com todos esses detalhes e particularidades do cargo, talvez você esteja se perguntando se existe uma certificação para atuar como CISO. A resposta é positiva.

Certified Chief Information Security Officer (ou, simplesmente, Certified CISO) é o nome do treinamento destinado a formar executivos de alto nível para trabalhar com segurança da informação.

Para ser um candidato ao exame CCISO, como também é conhecido, é preciso cumprir alguns requisitos básicos.

O profissional que não atender tais exigências, mas, mesmo assim, estiver interessado em um treinamento na área de segurança da informação, pode optar por outras certificações.

No Certifiquei, você encontra vários cursos e certificações para turbinar sua carreira. Então, acesse agora mesmo nossa página e se especialize!

ISO 27001 e CISO: qual a relação?

A ISO 27001 é a norma internacional de segurança que trata da gestão da segurança da informação. Ela se aplica a organizações de qualquer porte e de qualquer segmento. Por esse motivo, não requer a nomeação de um CISO para coordenar a segurança da informação da organização.

Em outras palavras, isso significa que as empresas podem decidir o que parece mais adequado de acordo com o seu perfil. O responsável, que poderá ser um CISO ou não, deverá coordenar as atividades que se relacionam com a segurança das informações.

Então, ele atuará cuidando de pontos como:

  • Conformidade;
  • Documentações;
  • Gestão dos riscos;
  • Gestão de RH;
  • Relacionamento com a direção;
  • Gestão dos ativos;
  • Melhorias e ações corretivas;
  • Gestão dos incidentes.

Ebook LGPD

EBOOK GRATUITO | 14 passos para adequar sua empresa à LGPD

Baixe o ebook gratuito e saiba como iniciar a adequação da sua empresa à LGPD!

Ebook LGPD

EBOOK GRATUITO | 14 passos para adequar sua empresa à LGPD

O trabalho do CISO e a LGPD

Como vimos, o Chief Information Security Officer é responsável, dentre outras coisas, pelas estratégias de segurança de dados de uma organização. Diante disso, claro, a LGPD afeta diretamente seu trabalho.

Sancionada em agosto de 2018 e em vigor desde setembro de 2020, a LGPD é a Lei Geral de Proteção de Dados. A nova lei dispõe sobre o correto tratamento dos dados de caráter pessoal, tanto nos meios físicos como nos meios digitais.

Alguns dos fundamentos da LGPD informam que:

  1. em primeiro lugar, o usuário precisa ter sua privacidade e intimidade respeitadas;
  2. além disso, o usuário precisa ter o direito de controlar e proteger seus dados pessoais;
  3. deve haver liberdade de expressão, de comunicação, de opinião e de informação;
  4. igualmente, deve haver desenvolvimento nos eixos da economia e tecnologia, sempre tendo como pano de fundo um cenário pautado na segurança jurídica;
  5. as regras devem ser claras no que diz respeito à livre iniciativa, livre concorrência e defesa dos consumidores;
  6. por fim, os direitos humanos, o exercício da cidadania, a dignidade e o desenvolvimento da personalidade devem ser garantidos.

Assim, é papel do Diretor de Segurança da Informação garantir a adaptação às novas regras de privacidade.

Nesse ínterim, tanto organizações privadas quanto públicas precisarão elaborar estratégias a fim de atender integralmente aos requisitos da LGPD.

Dentre as maiores mudanças, certamente podemos destacar o maior controle que os usuários precisarão ter sobre os seus dados. Então, uma das ações do CISO deverá ter a finalidade de facilitar esse processo – sempre deixando muito claro, também, para qual fim os seus dados serão utilizados.

Carla Batistella
Carla Batistella
Carla Batistella é formada em Redes de computadores e MBA em gestão de projetos pela FGV, atua há 18 anos com tecnologia da informação, sendo os últimos cinco anos com projetos de compliance de segurança da informação. Estuda Privacidade e Proteção de Dados há algum tempo e é DPO EXIN. Atua em diversos projetos, auxiliando os clientes nas adequações de empresas e seus processos e negócios à LGPD.

relacionadas