Jeszcze kilka lat temu niewiele polskich przedsiębiorstw posiadało w swoich strukturach stanowisko Chief Information Security Officer (CISO). Jeżeli już funkcjonowało, najczęściej stanowiło element działu IT, a jego rola sprowadzała się głównie do zagadnień technicznych związanych z bezpieczeństwem systemów informatycznych.
Dzisiaj takie podejście staje się coraz mniej aktualne. Rosnąca liczba cyberataków, uzależnienie przedsiębiorstw od technologii cyfrowych, nowe regulacje prawne oraz coraz większa odpowiedzialność kadry zarządzającej powodują, że CISO staje się jedną z najważniejszych funkcji w nowoczesnej organizacji.
Paradoksalnie największym problemem nie jest obecnie brak specjalistów od cyberbezpieczeństwa. Znacznie częściej spotykanym błędem pozostaje niezrozumienie roli, jaką CISO powinien pełnić w strukturze przedsiębiorstwa.
W wielu organizacjach funkcja ta nadal bywa łączona ze stanowiskiem dyrektora IT (CIO), szefa infrastruktury informatycznej, a czasem nawet z funkcjami związanymi z komunikacją kryzysową lub public relations. Z pozoru może wydawać się to racjonalne, jednak w praktyce często prowadzi do konfliktu interesów i ograniczenia skuteczności całego systemu bezpieczeństwa.
Źródłem problemu jest błędne założenie, że cyberbezpieczeństwo jest wyłącznie zagadnieniem technologicznym. Tymczasem współczesne regulacje, takie jak NIS2, DORA, ustawa o krajowym systemie cyberbezpieczeństwa czy AI Act, traktują bezpieczeństwo jako element zarządzania ryzykiem przedsiębiorstwa. W takim modelu CISO nie odpowiada za serwery, komputery czy oprogramowanie. Odpowiada za identyfikację, ocenę i monitorowanie ryzyk związanych z bezpieczeństwem informacji oraz odpornością organizacji. To zasadnicza różnica.
Dyrektor IT lub CIO koncentruje się na zapewnieniu sprawnego funkcjonowania infrastruktury technologicznej. Jego celem jest rozwój systemów, efektywność procesów, dostępność usług oraz wspieranie działalności biznesowej. CISO patrzy natomiast na te same rozwiązania z zupełnie innej perspektywy. Jego zadaniem jest zadawanie niewygodnych pytań:
- Czy dane są odpowiednio chronione?
- Czy organizacja jest przygotowana na cyberatak?
- Jakie konsekwencje będzie miało przejęcie systemów przez osoby nieuprawnione?
- Czy wdrażane rozwiązania technologiczne nie generują nadmiernego ryzyka prawnego, operacyjnego lub finansowego?
W praktyce oznacza to, że CIO i CISO mogą mieć częściowo rozbieżne cele. CIO będzie zainteresowany szybkim wdrożeniem nowego rozwiązania poprawiającego efektywność organizacji. CISO powinien natomiast ocenić, czy wdrożenie nie prowadzi do powstania nowych zagrożeń wymagających dodatkowych zabezpieczeń. Właśnie dlatego w dojrzałych organizacjach funkcje te są zazwyczaj rozdzielone.
Podobny problem pojawia się przy próbach łączenia stanowiska CISO z obszarem komunikacji lub public relations. Rolą działu PR jest ochrona reputacji przedsiębiorstwa, zarządzanie komunikacją oraz budowanie pozytywnego wizerunku organizacji.
CISO powinien natomiast przede wszystkim identyfikować zagrożenia, raportować nieprawidłowości oraz wskazywać obszary wymagające zmian, nawet jeżeli są one niewygodne dla kierownictwa. Trudno skutecznie pełnić obie funkcje jednocześnie. W praktyce prowadzi to często do sytuacji, w której bezpieczeństwo zaczyna być postrzegane bardziej jako problem komunikacyjny niż rzeczywiste ryzyko wymagające działań organizacyjnych.
Rosnące znaczenie funkcji CISO wynika również z ewolucji samych zagrożeń. Jeszcze kilkanaście lat temu cyberbezpieczeństwo kojarzyło się głównie z wirusami komputerowymi i ochroną sieci. Obecnie skutki incydentów obejmują niemal wszystkie obszary działalności przedsiębiorstwa. Mogą prowadzić do zatrzymania produkcji, utraty danych klientów, naruszenia tajemnicy przedsiębiorstwa, odpowiedzialności kontraktowej, sankcji regulacyjnych, a nawet odpowiedzialności członków zarządu za brak właściwego nadzoru nad ryzykiem.
Coraz częściej pojawia się również nowy obszar odpowiedzialności związany z wykorzystaniem sztucznej inteligencji. Organizacje wdrażające rozwiązania AI muszą nie tylko oceniać ich użyteczność biznesową, ale również analizować związane z nimi ryzyka prawne, bezpieczeństwa informacji, ochrony danych oraz zgodności regulacyjnej. W naturalny sposób powoduje to rozszerzenie zakresu odpowiedzialności CISO na zagadnienia związane z AI Governance. W wielu przedsiębiorstwach stanowisko to zaczyna przypominać funkcję dyrektora ds. ryzyka technologicznego.
Nie oznacza to oczywiście, że każda organizacja musi zatrudniać odrębnego CISO na pełen etat. W szczególności w przypadku małych i średnich przedsiębiorstw możliwe jest korzystanie z modelu outsourcingowego lub fractional CISO, polegającego na powierzeniu tej funkcji wyspecjalizowanemu ekspertowi zewnętrznemu.
Niezależnie jednak od przyjętego modelu organizacyjnego jedno pozostaje niezmienne. CISO nie powinien być postrzegany jako kolejny informatyk w strukturze przedsiębiorstwa.
Jego podstawowym zadaniem nie jest zarządzanie technologią. Jego zadaniem jest zarządzanie ryzykiem związanym z technologią. A to różnica, która w świetle nowych regulacji i rosnącej odpowiedzialności kadry zarządzającej może mieć dla przedsiębiorstwa znaczenie fundamentalne.




