Dentro de uma corporação, o indivíduo responsável por proteger a infraestrutura de informações digitais dos negócios é normalmente conhecido como CISO (Chief Information Security Officer). Geralmente, cabe a esse profissional criar e impor uma postura de segurança para os negócios. Isso pode incluir desde procedimentos para manipulação de informações confidenciais até os métodos pelos quais a infraestrutura digital é protegida. Como parte do c-suite de diretores corporativos, o diretor de segurança da informação normalmente funciona em um nível alto e pode ser responsável por vários funcionários da segurança da informação.
A principal responsabilidade de um diretor de segurança da informação é tipicamente proteger a integridade da infraestrutura de tecnologia da informação (TI) e qualquer informação proprietária da empresa. Isso pode começar com soluções físicas e de software, como firewalls, mas geralmente se estende também ao pessoal. O CISO normalmente estabelecerá procedimentos que devem ser seguidos ao lidar com informações privilegiadas ou proprietárias, para evitar que caiam nas mãos da concorrência. Ele também pode ser responsável por criar uma postura sobre como responder se houver uma falha no procedimento.
Além da segurança da informação, um CISO pode estar envolvido em questões como privacidade e prevenção de fraudes. Como essas áreas costumam estar associadas à TI, o CISO às vezes precisará criar procedimentos para prevenir a fraude e lidar com ela, se ela ocorrer.
Dentro da estrutura corporativa típica, um diretor de segurança da informação geralmente se reporta a um membro de alto escalão do c-suite. Pode ser o diretor executivo (CEO), diretor operacional (COO) ou outro diretor, dependendo da empresa em particular. Em alguns casos, o CISO se reporta ao chefe do departamento jurídico, pois muitas funções de segurança da informação podem ter repercussões legais diretas.
Algumas empresas ou pequenos negócios podem remover as responsabilidades do cargo CISO do c-suite. Em vez de ter um diretor corporativo encarregado dessas questões de segurança, pode haver um diretor ou um vice-presidente de segurança da informação. Suas responsabilidades geralmente são semelhantes às de um CISO, simplesmente com um título e uma posição diferentes no local de trabalho.
Em algumas situações, o CISO é responsável pela segurança física e das informações de uma empresa, caso em que às vezes será chamado de diretor de segurança (CSO). A combinação dessas funções geralmente cria uma série de novas responsabilidades, pois o CSO deve lidar com a segurança física das operações comerciais, roubo, espionagem corporativa e outros assuntos relacionados. Um dos motivos para combinar as funções pode ser a crescente presença de tecnologia em questões de segurança física, na qual os dispositivos de monitoramento e outros componentes geralmente estão ligados à infraestrutura de TI.