All’interno di una società, l’individuo responsabile della protezione dell’infrastruttura di informazioni digitali dell’azienda è generalmente noto come Chief Information Security Officer (CISO). In genere spetta a questo professionista creare e applicare una posizione di sicurezza per l’azienda. Ciò può includere qualsiasi cosa, dalle procedure per la gestione delle informazioni sensibili ai metodi con cui l’infrastruttura digitale è protetta. Come parte della suite di funzionari aziendali, il responsabile della sicurezza delle informazioni di solito funziona a un livello elevato e può essere responsabile di una serie di personale addetto alla sicurezza delle informazioni.
La responsabilità primaria di un responsabile della sicurezza delle informazioni è in genere quella di salvaguardare l’integrità dell’infrastruttura IT e di qualsiasi informazione proprietaria posseduta dall’azienda. Questo può iniziare con soluzioni fisiche e software, come i firewall, ma spesso si estende anche al personale. Il CISO stabilirà in genere procedure che devono essere seguite quando si tratta di informazioni privilegiate o proprietarie, per evitare che cadano nelle mani della concorrenza. Potrebbe anche essere responsabile della creazione di una posizione su come rispondere in caso di interruzione della procedura.
Oltre alla sicurezza delle informazioni, un CISO può essere coinvolto in cose come la privacy e la prevenzione delle frodi. Poiché queste aree sono spesso associate all’IT, a volte il CISO dovrà creare procedure per prevenire le frodi e gestirle se si verificano.
All’interno della tipica struttura aziendale, un responsabile della sicurezza delle informazioni di solito riferisce a un membro altamente qualificato della suite c. Può trattarsi dell’amministratore delegato (CEO), del direttore generale (COO) o di un altro funzionario, a seconda della società specifica. In alcuni casi, il CISO riferisce invece al capo dell’ufficio legale, poiché molte funzioni di sicurezza delle informazioni possono avere ripercussioni legali dirette.
Alcune società o piccole imprese possono rimuovere le responsabilità della posizione CISO dalla suite c. Invece di avere un responsabile aziendale responsabile di questi problemi di sicurezza, potrebbe esserci un direttore o un vice presidente della sicurezza delle informazioni. Le loro responsabilità saranno spesso simili a quelle di un CISO, semplicemente con un titolo e una posizione diversi sul posto di lavoro.
In alcune situazioni, il CISO è responsabile sia della sicurezza fisica che delle informazioni di un’azienda, nel qual caso verrà talvolta chiamato Chief Security Officer (CSO). La combinazione di questi ruoli generalmente crea una serie di nuove responsabilità poiché il CSO deve occuparsi della sicurezza fisica delle operazioni aziendali, del furto, dello spionaggio aziendale e di altre questioni correlate. Uno dei motivi per combinare i ruoli potrebbe essere la crescente presenza della tecnologia in materia di sicurezza fisica, in cui i dispositivi di monitoraggio e altri componenti sono spesso legati all’infrastruttura IT.