Por Luiz Firmino*
Primeira Linha
CTSO que trabalha com o CIO, tem uma abordagem prática e é um impulsionador da arquitetura de segurança corporativa. Cada vez mais eles são obrigados a ampliar sua abordagem e olhar além da tecnologia e mais de perto para a corporação, suas pessoas, clientes e fornecedores, mesmo que esses indivíduos subam nas fileiras tradicionais de tecnologia.
A primeira linha engloba o departamento de segurança da informação, bem como várias unidades de negócios que possuem seus riscos cibernéticos. Essas entidades precisam entender como seus ativos são vulneráveis e gerenciar ativamente seus riscos cibernéticos dentro das tolerâncias aceitáveis pela organização.
Às vezes chamada de controle de gerenciamento, essa função é encarregada de gerenciar riscos cibernéticos executando vários controles. Isso significa lidar com eventos de risco, atualizar indicadores-chave de risco (KRIs) e implantar e gerenciar controles que afetam pessoas, processos e tecnologia.
Segunda Linha
CISO que trabalha com o CRO, CFO, CEO (ou qualquer CxO), que alinha a segurança da informação com a estratégia corporativa de negócios e transforma a função de segurança para atender o ambiente. Esses líderes estão surgindo no setor de serviços financeiros, onde questões relacionadas a informações confidenciais e conformidade forçaram as funções de segurança cibernética a serem mais focadas no gerenciamento de riscos.
A segunda linha de defesa é composta por gestores de risco que analisam os riscos agregados ao nível empresarial. Muitas vezes é simplesmente chamado de gerenciamento de risco, mas também pode incluir conformidade, legal, controle de qualidade e controle financeiro. A segunda linha analisa as estruturas de controle de segurança cibernética, define KRIs e métricas, cria avaliações de risco e testa e revisa a conformidade, rastreando as ações da primeira linha de defesa e analisando o impacto dessas ações para determinar sua eficácia na mitigação de riscos cibernéticos.
Em outras palavras, essa função monitora como a gestão está se saindo em seu tratamento de riscos cibernéticos, determinando até que ponto os riscos são ativamente monitorados e gerenciados adequadamente.
Terceira Linha
A terceira linha de defesa é a Auditoria Interna. Pode também incluir contributos de auditores externos e/ou reguladores. Essa função, às vezes chamada de garantia independente, avalia o processo geral de governança de riscos cibernéticos para toda a organização.
Ele garante que a estrutura de controles internos da organização seja adequada para lidar com os riscos que a organização enfrenta. A terceira linha pode rechaçar as afirmações das linhas anteriores sobre a adequação dos controles em vigor. Essa função geralmente se reporta diretamente ao conselho ou ao comitê de auditoria.
*Luiz Firmino é Transversal CISO, Information Security Director da Digital@FEMSA
