CISO vs. CIO: Gdje dolazi konflikt između sigurnost i IT liderstvo (i kako to riješiti)

By Damjan
Novosti

Dinamika između CISO-a (direktora za informacijsku sigurnost) i CIO-a (direktora za informacione tehnologije) oduvijek je bila složena. Iako su obje uloge ključne za uspjeh organizacije, njihovi prioriteti ih često dovode u sukob. CIO se fokusira na IT efikasnost, inovacije i poslovnu podršku, dok CISO daje prednost sigurnosti, upravljanju rizicima i usklađenosti s regulativama. Ove razlike mogu dovesti do tenzija, ali uz prave strategije mogu se uskladiti kako bi se stvorila otpornija i sigurnija organizacija.

Korijen sukoba

Tenzije između CISO-a i CIO-a često proizlaze iz sljedećih ključnih područja:

  • Konfliktni ciljevi – CIO-ov zadatak je osigurati neometano IT poslovanje i usvajanje novih tehnologija radi poslovnog uspjeha. S druge strane, CISO mora ublažiti cyber rizike, što može usporiti IT projekte ili uvesti dodatne korake za usklađenost.

  • Budžet i raspodjela resursa – IT budžeti često favorizuju operativna poboljšanja, dok se sigurnosna ulaganja često doživljavaju kao trošak, a ne kao faktor koji doprinosi prihodu, što može izazvati nesuglasice u pogledu prioriteta.

  • Struktura izvještavanja – U mnogim organizacijama CISO izvještava CIO-a, što može stvoriti hijerarhiju u kojoj se sigurnost percipira kao sekundarna u odnosu na IT operacije.

  • Sigurnost naspram brzine – CIO-i daju prednost agilnosti i digitalnoj transformaciji, dok CISO-i insistiraju na sigurnosnim kontrolama, što ponekad može usporiti implementaciju novih tehnologija.

  • Jaz u komunikaciji – Nedostatak zajedničkog jezika između IT i sigurnosnih timova može dovesti do nesporazuma u vezi s rizicima i poslovnim potrebama.

„Iako CISO-i i CIO-i ponekad imaju različite prioritete, kada udruže snage, povećava se budžet, pojednostavljuju se interni procesi i vanjski partneri stiču veće povjerenje u sigurnosni status organizacije. CIO-i koji sarađuju s CISO-ima od samog početka projekata obično nailaze na manje prepreka kako projekti napreduju. Stalno mijenjanje ciljeva (‘moving the goal posts’) je čest problem s kojim se CIO-i suočavaju, ali saradnja s CISO-ima koji imaju jasne standarde i zahtjeve može smanjiti sukobe i osigurati nesmetano odvijanje projekata, bez skupih i frustrirajućih zastoja. Ova saradnja omogućava bržu i sigurniju implementaciju tehnologija, kao i ubrzanu i sigurniju inovaciju za podršku poslovnom rastu,“ izjavio je Nick Kathmann, CISO u LogicGateu za Help Net Security.

Strategije saradnje

Umjesto da rade odvojeno ili u sukobu, CISO-i i CIO-i mogu primijeniti sljedeće strategije kako bi poboljšali međusobnu saradnju:

Usklađivanje s poslovnim ciljevima

  • Oboje moraju prepoznati da IT efikasnost i sigurnost nisu suprotstavljeni, već komplementarni faktori koji podržavaju poslovne ciljeve.
  • Postaviti zajedničke ključne pokazatelje uspjeha (KPI-jeve) koji uključuju i IT i sigurnosne ciljeve.

Poboljšanje upravljanja i strukture izvještavanja

  • Sve više organizacija prelazi na model u kojem CISO direktno izvještava izvršnog direktora (CEO) ili odbor, čime sigurnost dobija nezavisniji glas.
  • Ako CISO ostane pod CIO-om, potrebno je osigurati jasnu autonomiju u sigurnosnim odlukama.

Njegovanje kulture zajedničke odgovornosti

  • Umjesto da IT timovi sigurnost doživljavaju kao prepreku, treba je vidjeti kao poslovni pokretač koji štiti inovacije.
  • Implementirati principe „sigurnost po dizajnu“ (security-by-design) u IT projektima kako bi sigurnost bila ugrađena u procese od početka, a ne dodana naknadno.

Ulaganje u alate i prakse za saradnju

  • Redovni zajednički sastanci IT i sigurnosnih timova mogu pomoći u usklađivanju strategija i ranom rješavanju sukoba.
  • Razmisliti o korištenju integrisanih nadzornih ploča koje prikazuju i IT performanse i sigurnosne rizike na jednom mjestu.

Balansiranje sigurnosti i poslovne agilnosti

  • CISO-i mogu sarađivati s CIO-ima na razvoju sigurnosnih okvira koji omogućavaju brzu i sigurnu implementaciju tehnologija, umjesto nametanja strogo definisanih ograničenja.
  • Primijeniti pristup zasnovan na riziku, gdje se sigurnosne kontrole primjenjuju proporcionalno stvarnim prijetnjama, umjesto širokih pravila koja mogu ometati poslovne operacije.

Zagovaranje zajedničkog budžeta

  • Umjesto borbe za odvojene budžete, CIO-i i CISO-i mogu zajednički predstaviti menadžmentu kako su IT i sigurnosna ulaganja međusobno povezana.
  • Naglasiti finansijski uticaj sigurnosnih incidenata kako bi se opravdala sigurnosna potrošnja kao strategija izbjegavanja troškova, a ne samo kao dodatni trošak.

Uspostavljanje komunikacijskih kanala

  • Koristiti poslovno razumljiv jezik prilikom razgovora o sigurnosnim rizicima s IT i izvršnim timovima.
  • Organizovati kros-funkcionalne obuke, kako bi IT osoblje razumjelo sigurnosne izazove, a sigurnosni timovi bili svjesni operativnih izazova u IT-u.

U konačnici, kada CISO-i i CIO-i rade zajedno umjesto jedni protiv drugih, organizacija može postići bolje sigurnosne rezultate, bržu digitalnu transformaciju i dugoročno stabilniji rast.

Izvor:Help Net Security

Recent Articles

spot_img

Related Stories

Novosti

Google dodaje višeslojne odbrane kako bi zaštitio GenAI od napada putem prompt injection tehnika

Novosti

Scattered Spider iza cyber napada na M&S i Co-op, šteta i do 592 miliona dolara

Novosti

Ko čuva AI? Čak i sigurnosni timovi zaobilaze nadzor

Novosti

Ukradeni podaci iz Chain IQ-a i UBS-a u ransomware napadu

Novosti

Hakeri pristupili starim sistemima u sajber napadu na Opštinu Oksford

Novosti

AI Indeks 2025: Šta se mijenja i zašto je to važno

© Copyright - Kiber.ba