È più o meno un segreto aperto che il CISO dovrebbe agire in modo indipendente all'interno dell'azienda. A mio parere, una presunta linea di segnalazione al CIO è un conflitto di interessi (budget vs. sicurezza). Il CISO dovrebbe essere indipendente dall'influenza o dalla pressione di coloro che sono coinvolti nella protezione quotidiana o nell'acquisto di beni aziendali.
Esistono standard di sicurezza come ISO, NIST che supportano questa tesi?