Papéis de trabalho de topo na gestão de segurança da informação

Algumas pessoas estão satisfeitas em um papel de colaborador individual e não têm interesse em gestão de segurança da informação. Outros anseiam para desenvolver grandes visões, levar grandes equipes, e fazer grandes coisas. Aqui estão as funções de segurança auge de TI em uma organização, e a sensibilidade e responsabilidade cada implica.

Gerente de segurança

UMA gerente de segurança é um gerente de linha que controla um ou mais contribuintes individuais sobre uma equipe de segurança. Espera-se que têm anos de experiência em uma ou mais destas posições, um gerente de segurança atribui tarefas, resolve disputas, e mentores seus funcionários para promover o seu crescimento profissional. Esse papel é como qualquer outro gerencial em uma organização técnica.

Para a pessoa certa, gerenciando uma equipe de profissionais de segurança pode ser o melhor trabalho de sempre. Tal como acontece com a maioria dos trabalhos de gestão de tecnologia, você precisa saber como fazer muitas das tarefas e trabalhos que você espera que sua equipe para fazer, porque eles vão olhar para você para entender como fazer o seu trabalho ainda melhor. Estabelecer credibilidade em um trabalho de gestão de tecnologia requer a capacidade de mostrar aos outros como fazer o seu trabalho e inspirando-os a fazê-lo bem.

empregos gerente de segurança pode ser gratificante para pessoas que têm visão, mas que não têm tempo para fazer todo o trabalho por si próprios.

responsável pela conformidade

Normalmente encontrados em organizações com as regulamentações da indústria, um responsável pela conformidade garante que a organização está em conformidade com as leis e regulamentos aplicáveis. Embora este papel não é uma posição de segurança por si só, é incluído aqui, porque o cumprimento é tão frequentemente associado com a segurança da informação.

Exemplos de indústrias e seus regulamentos aplicáveis ​​seguir:

  • Serviços financeiros: GLBA (Gramm Leach Bliley Act), NCUA (National Credit Union Association), FDIC (Federal Deposit Insurance Corporation), SSAE16 (Declaração sobre Normas de Certificação Engagements No. 16, informação sobre os controlos em uma Organização de Serviços)

  • Utilidades públicas: NERC (North American Electric Reliability Corporation) e FERC (Federal Energy Regulatory Commission)

  • As organizações de saúde: HIPAA (Health Insurance Portability e Accountability Act)

  • Nos EUA agências governamentais: FISMA (Lei Federal Information Systems Management)

  • Comerciantes e outras entidades que processam os dados do cartão de crédito: PCI-DSS (Payment Card Industry Data Security Standard)

  • Organizações que escrevem software para o processamento de dados de cartão de crédito: PA-DSS (Payment Aplicação Padrão de Segurança de Dados)

Além disso, as organizações a cumprir voluntariamente com outros padrões, incluindo o seguinte:

  • ISO27001 (Tecnologia da informação - Técnicas de segurança - sistemas de gestão de segurança da informação - Requisitos)

  • SOC2 (Relatório sobre os controlos de uma organização de serviço relevante para Segurança, Disponibilidade, Processamento de integridade, confidencialidade ou privacidade)

Privacy officer



UMA oficial de privacidade (Pobre Privacy Officer chefe (CPO) é tipicamente encontrado em organismos que armazenam ou processam grandes quantidades de dados confidenciais sobre indivíduos e é responsável por dois aspectos principais que cerca de dados:

  • Protecção contra divulgação: Proteger dados confidenciais contra divulgação é realmente apenas sobre os controles de segurança de dados no contexto de dados sensíveis sobre as pessoas. Como outros dados sensíveis na organização, esta informação deve ser protegido de forma adequada e eficaz.

  • Garantia de tratamento adequado: Uma organização deve ter práticas adequadas relativas ao manuseio e possível distribuição posterior de informações sensíveis de uma pessoa. Por exemplo, uma organização que coleta informações de seus clientes em contato é geralmente proibido de vender essa informação a outras empresas para a comercialização.

Os dados sensíveis incluem nomes e informações de contato, informações financeiras (incluindo a segurança social e outros números de conta), e informação médica. Cada regulamento ou norma tem sua própria definição de informações sensíveis e proteção necessários e requisitos de manipulação.

Porque um oficial de privacidade principal é geralmente em uma organização com um diretor de segurança da informação (CISO) ou diretor de segurança (CSO), o trabalho de um CPO normalmente incidirá sobre o uso do negócio e manuseio correto de informações confidenciais de clientes. A proteção dessas informações é o trabalho do CISO ou CSO.

oficial de segurança da informação chefe e chefe de segurança

O chefe oficial de segurança da informação (CISO) e o diretor de segurança (CSO) são os trabalhos de segurança máxima no governo e indústria.

O CISO e CSO normalmente relatório para o presidente ou CEO de uma empresa ou a um membro do gabinete ou chefe de departamento no governo.

Os CISO lida principalmente com a segurança dos sistemas de informação e, muitas vezes com a segurança física. O CSO está preocupado com a segurança relacionada com ambas as questões tecnológicas e não tecnológicas.

O CISO e CSO são tipicamente responsável pelo seguinte:

  • Política de segurança

  • gestão de riscos e tratamento de riscos

  • arquitetura de segurança

  • operações de segurança

  • resposta a incidentes de segurança

CISOs e CSOs operar no ar rarefeito da gestão executiva corporativa (ou governo), onde as questões mais elevadas relativas à organização são discutidas. política corporativos ou governamentais afetam profundamente o CISO e CSO, e um monte de seu tempo é gasto a negociar com outros executivos para garantir que a organização está no fundamento direito para o gerenciamento de segurança e riscos relacionados à tecnologia.


Publicações relacionadas
Trabalhos de segurança da informação: legal, regulamentos, investigações e cumprimento
Trabalhos de segurança da informação: governança e gestão de risco
Trabalhos de segurança da informação: conselho padrão de segurança pci
Opções de trabalho de segurança da informação
Conformidade regulamentar a segurança da informação e privacidade: fisma
A conformidade de segurança da informação reguladora e privacidade: hipaa, hitech, e sarbanes-oxley
Normas de segurança da informação: cobit e nist 800-53
Normas de segurança da informação: a iso 27001
Regulamentos, investigações e questões de conformidade que você deve saber sobre começar um trabalho em rede
O que você precisa saber sobre a cloud security alliance (csa) para um trabalho em segurança da informação
Aplicar conceitos de confidencialidade, integridade e disponibilidade para a segurança
Classificar as informações e ativos de suporte para segurança patrimonial
Desenvolver e implementar documentados de segurança políticas, normas, procedimentos e diretrizes
Vulnerabilidades de segurança do sistema de gerenciamento de banco de dados
Determinar e manter a propriedade de segurança patrimonial
(Isc) 2 certificações além cissp
Certificações de segurança não técnicas / não-vendor
Requisitos para os candidatos do cissp
Frameworks de controle de segurança
Os cinco melhores proteções de segurança de dispositivos móveis