Es más o menos un secreto a voces que el CISO debe actuar de manera independiente en la empresa. En mi opinión, una supuesta línea de reporte al CIO es un conflicto de intereses (presupuesto vs. seguridad). El CISO debe ser independiente de la influencia o presión de los involucrados en la protección diaria o la compra de activos corporativos.
¿Existe algún estándar relacionado con la seguridad como ISO, NIST que respalde esta tesis?