Papéis de trabalho de topo na gestão de segurança da informação
Algumas pessoas estão satisfeitas em um papel de colaborador individual e não têm interesse em gestão de segurança da informação. Outros anseiam para desenvolver grandes visões, levar grandes equipes, e fazer grandes coisas. Aqui estão as funções de segurança auge de TI em uma organização, e a sensibilidade e responsabilidade cada implica.
Conteúdo
Gerente de segurança
UMA gerente de segurança é um gerente de linha que controla um ou mais contribuintes individuais sobre uma equipe de segurança. Espera-se que têm anos de experiência em uma ou mais destas posições, um gerente de segurança atribui tarefas, resolve disputas, e mentores seus funcionários para promover o seu crescimento profissional. Esse papel é como qualquer outro gerencial em uma organização técnica.
Para a pessoa certa, gerenciando uma equipe de profissionais de segurança pode ser o melhor trabalho de sempre. Tal como acontece com a maioria dos trabalhos de gestão de tecnologia, você precisa saber como fazer muitas das tarefas e trabalhos que você espera que sua equipe para fazer, porque eles vão olhar para você para entender como fazer o seu trabalho ainda melhor. Estabelecer credibilidade em um trabalho de gestão de tecnologia requer a capacidade de mostrar aos outros como fazer o seu trabalho e inspirando-os a fazê-lo bem.
empregos gerente de segurança pode ser gratificante para pessoas que têm visão, mas que não têm tempo para fazer todo o trabalho por si próprios.
responsável pela conformidade
Normalmente encontrados em organizações com as regulamentações da indústria, um responsável pela conformidade garante que a organização está em conformidade com as leis e regulamentos aplicáveis. Embora este papel não é uma posição de segurança por si só, é incluído aqui, porque o cumprimento é tão frequentemente associado com a segurança da informação.
Exemplos de indústrias e seus regulamentos aplicáveis seguir:
Serviços financeiros: GLBA (Gramm Leach Bliley Act), NCUA (National Credit Union Association), FDIC (Federal Deposit Insurance Corporation), SSAE16 (Declaração sobre Normas de Certificação Engagements No. 16, informação sobre os controlos em uma Organização de Serviços)
Utilidades públicas: NERC (North American Electric Reliability Corporation) e FERC (Federal Energy Regulatory Commission)
As organizações de saúde: HIPAA (Health Insurance Portability e Accountability Act)
Nos EUA agências governamentais: FISMA (Lei Federal Information Systems Management)
Comerciantes e outras entidades que processam os dados do cartão de crédito: PCI-DSS (Payment Card Industry Data Security Standard)
Organizações que escrevem software para o processamento de dados de cartão de crédito: PA-DSS (Payment Aplicação Padrão de Segurança de Dados)
Além disso, as organizações a cumprir voluntariamente com outros padrões, incluindo o seguinte:
ISO27001 (Tecnologia da informação - Técnicas de segurança - sistemas de gestão de segurança da informação - Requisitos)
SOC2 (Relatório sobre os controlos de uma organização de serviço relevante para Segurança, Disponibilidade, Processamento de integridade, confidencialidade ou privacidade)
Privacy officer
UMA oficial de privacidade (Pobre Privacy Officer chefe (CPO) é tipicamente encontrado em organismos que armazenam ou processam grandes quantidades de dados confidenciais sobre indivíduos e é responsável por dois aspectos principais que cerca de dados:
Protecção contra divulgação: Proteger dados confidenciais contra divulgação é realmente apenas sobre os controles de segurança de dados no contexto de dados sensíveis sobre as pessoas. Como outros dados sensíveis na organização, esta informação deve ser protegido de forma adequada e eficaz.
Garantia de tratamento adequado: Uma organização deve ter práticas adequadas relativas ao manuseio e possível distribuição posterior de informações sensíveis de uma pessoa. Por exemplo, uma organização que coleta informações de seus clientes em contato é geralmente proibido de vender essa informação a outras empresas para a comercialização.
Os dados sensíveis incluem nomes e informações de contato, informações financeiras (incluindo a segurança social e outros números de conta), e informação médica. Cada regulamento ou norma tem sua própria definição de informações sensíveis e proteção necessários e requisitos de manipulação.
Porque um oficial de privacidade principal é geralmente em uma organização com um diretor de segurança da informação (CISO) ou diretor de segurança (CSO), o trabalho de um CPO normalmente incidirá sobre o uso do negócio e manuseio correto de informações confidenciais de clientes. A proteção dessas informações é o trabalho do CISO ou CSO.
oficial de segurança da informação chefe e chefe de segurança
O chefe oficial de segurança da informação (CISO) e o diretor de segurança (CSO) são os trabalhos de segurança máxima no governo e indústria.
O CISO e CSO normalmente relatório para o presidente ou CEO de uma empresa ou a um membro do gabinete ou chefe de departamento no governo.
Os CISO lida principalmente com a segurança dos sistemas de informação e, muitas vezes com a segurança física. O CSO está preocupado com a segurança relacionada com ambas as questões tecnológicas e não tecnológicas.
O CISO e CSO são tipicamente responsável pelo seguinte:
Política de segurança
gestão de riscos e tratamento de riscos
arquitetura de segurança
operações de segurança
resposta a incidentes de segurança
CISOs e CSOs operar no ar rarefeito da gestão executiva corporativa (ou governo), onde as questões mais elevadas relativas à organização são discutidas. política corporativos ou governamentais afetam profundamente o CISO e CSO, e um monte de seu tempo é gasto a negociar com outros executivos para garantir que a organização está no fundamento direito para o gerenciamento de segurança e riscos relacionados à tecnologia.