Depende o tamanho da organização. Em empresas até 250 funcionários recomendo ficar na estrutura de TI. Com mais de 250 funcionários e aplicando as melhores práticas de governança corporativa, sugiro criar um Information Risk Council (IRC), um comitê multifuncional para planejar a estratégia de segurança, conduzir a política de segurança e definir prioridades. Com representantes das partes interessadas a gestão da segurança cobrirá todas as áreas da organização. Este comitê deve se reportar para o conselho de administração, assim como outros os comitês de risco, governança corporativa e controles internos. A parte operacional de monitoração e resposta a incidentes deve se reportar para o CISO (Chief Information Security Officer) que pode ser reportar para o CIO (Chief Information Officer). Para definir uma estrutura organizacional deve evitar conflitos de interesse entre as partes.