Dinamika između CISO-a (direktora za informacijsku sigurnost) i CIO-a (direktora za informacione tehnologije) oduvijek je bila složena. Iako su obje uloge ključne za uspjeh organizacije, njihovi prioriteti ih često dovode u sukob. CIO se fokusira na IT efikasnost, inovacije i poslovnu podršku, dok CISO daje prednost sigurnosti, upravljanju rizicima i usklađenosti s regulativama. Ove razlike mogu dovesti do tenzija, ali uz prave strategije mogu se uskladiti kako bi se stvorila otpornija i sigurnija organizacija.
Korijen sukoba
Tenzije između CISO-a i CIO-a često proizlaze iz sljedećih ključnih područja:
- Konfliktni ciljevi – CIO-ov zadatak je osigurati neometano IT poslovanje i usvajanje novih tehnologija radi poslovnog uspjeha. S druge strane, CISO mora ublažiti cyber rizike, što može usporiti IT projekte ili uvesti dodatne korake za usklađenost.
- Budžet i raspodjela resursa – IT budžeti često favorizuju operativna poboljšanja, dok se sigurnosna ulaganja često doživljavaju kao trošak, a ne kao faktor koji doprinosi prihodu, što može izazvati nesuglasice u pogledu prioriteta.
- Struktura izvještavanja – U mnogim organizacijama CISO izvještava CIO-a, što može stvoriti hijerarhiju u kojoj se sigurnost percipira kao sekundarna u odnosu na IT operacije.
- Sigurnost naspram brzine – CIO-i daju prednost agilnosti i digitalnoj transformaciji, dok CISO-i insistiraju na sigurnosnim kontrolama, što ponekad može usporiti implementaciju novih tehnologija.
- Jaz u komunikaciji – Nedostatak zajedničkog jezika između IT i sigurnosnih timova može dovesti do nesporazuma u vezi s rizicima i poslovnim potrebama.
„Iako CISO-i i CIO-i ponekad imaju različite prioritete, kada udruže snage, povećava se budžet, pojednostavljuju se interni procesi i vanjski partneri stiču veće povjerenje u sigurnosni status organizacije. CIO-i koji sarađuju s CISO-ima od samog početka projekata obično nailaze na manje prepreka kako projekti napreduju. Stalno mijenjanje ciljeva (‘moving the goal posts’) je čest problem s kojim se CIO-i suočavaju, ali saradnja s CISO-ima koji imaju jasne standarde i zahtjeve može smanjiti sukobe i osigurati nesmetano odvijanje projekata, bez skupih i frustrirajućih zastoja. Ova saradnja omogućava bržu i sigurniju implementaciju tehnologija, kao i ubrzanu i sigurniju inovaciju za podršku poslovnom rastu,“ izjavio je Nick Kathmann, CISO u LogicGateu za Help Net Security.
Strategije saradnje
Umjesto da rade odvojeno ili u sukobu, CISO-i i CIO-i mogu primijeniti sljedeće strategije kako bi poboljšali međusobnu saradnju:
Usklađivanje s poslovnim ciljevima
- Oboje moraju prepoznati da IT efikasnost i sigurnost nisu suprotstavljeni, već komplementarni faktori koji podržavaju poslovne ciljeve.
- Postaviti zajedničke ključne pokazatelje uspjeha (KPI-jeve) koji uključuju i IT i sigurnosne ciljeve.
Poboljšanje upravljanja i strukture izvještavanja
- Sve više organizacija prelazi na model u kojem CISO direktno izvještava izvršnog direktora (CEO) ili odbor, čime sigurnost dobija nezavisniji glas.
- Ako CISO ostane pod CIO-om, potrebno je osigurati jasnu autonomiju u sigurnosnim odlukama.
Njegovanje kulture zajedničke odgovornosti
- Umjesto da IT timovi sigurnost doživljavaju kao prepreku, treba je vidjeti kao poslovni pokretač koji štiti inovacije.
- Implementirati principe „sigurnost po dizajnu“ (security-by-design) u IT projektima kako bi sigurnost bila ugrađena u procese od početka, a ne dodana naknadno.
Ulaganje u alate i prakse za saradnju
- Redovni zajednički sastanci IT i sigurnosnih timova mogu pomoći u usklađivanju strategija i ranom rješavanju sukoba.
- Razmisliti o korištenju integrisanih nadzornih ploča koje prikazuju i IT performanse i sigurnosne rizike na jednom mjestu.
Balansiranje sigurnosti i poslovne agilnosti
- CISO-i mogu sarađivati s CIO-ima na razvoju sigurnosnih okvira koji omogućavaju brzu i sigurnu implementaciju tehnologija, umjesto nametanja strogo definisanih ograničenja.
- Primijeniti pristup zasnovan na riziku, gdje se sigurnosne kontrole primjenjuju proporcionalno stvarnim prijetnjama, umjesto širokih pravila koja mogu ometati poslovne operacije.
Zagovaranje zajedničkog budžeta
- Umjesto borbe za odvojene budžete, CIO-i i CISO-i mogu zajednički predstaviti menadžmentu kako su IT i sigurnosna ulaganja međusobno povezana.
- Naglasiti finansijski uticaj sigurnosnih incidenata kako bi se opravdala sigurnosna potrošnja kao strategija izbjegavanja troškova, a ne samo kao dodatni trošak.
Uspostavljanje komunikacijskih kanala
- Koristiti poslovno razumljiv jezik prilikom razgovora o sigurnosnim rizicima s IT i izvršnim timovima.
- Organizovati kros-funkcionalne obuke, kako bi IT osoblje razumjelo sigurnosne izazove, a sigurnosni timovi bili svjesni operativnih izazova u IT-u.
U konačnici, kada CISO-i i CIO-i rade zajedno umjesto jedni protiv drugih, organizacija može postići bolje sigurnosne rezultate, bržu digitalnu transformaciju i dugoročno stabilniji rast.
Izvor:Help Net Security
