Computer Weekly Security Think Tank razmatra terete i odgovornosti koje prate ulogu glavnog službenika za sigurnost informacija i dijeli smjernice o tome kako se kretati izazovnom karijerom.
By
- John Skipper i Farrukh Ahmad, PA Consulting
Objavljeno: 07. novembar 2025
Dok organizacije ulažu u sajber otpornost, otpornost onih koji vode odgovornost, šefova službenika za sigurnost informacija (CISO), često se zanemaruje. Uloga CISO-a je konzistentno rangirana među najzahtjevnijima u C-odjelu. Prema ISACA-inim Stanje sajber bezbjednosti 2025Prema izvještaju, 66% profesionalaca za sajber sigurnost kaže da je njihova uloga sada stresnija nego prije pet godina.
CISO-e često rade u okruženjima u kojima je sigurnost nedovoljno finansirana, pod prioritetima ili je pogrešno shvaćena na nivou odbora i C-suite. Nedostatak buy-ina na višim nivoima se svodi na:
- Budžetska ograničenja koja ograničavaju obim i uticaj funkcije CISO, uključujući resurse za alate i automatizaciju.
- Nedostatak vještina i restriktivni operativni modeli koji sprječavaju efektivno delegiranje.
- Strateška neusklađenost, gdje je kratkoročna isporuka prioritet u odnosu na dugoročnu poslovnu otpornost i ishode kupaca.
Ovo stvara začarani krug: CISO se smatraju odgovornim za rezultate bez dovoljnih resursa ili podrške izvršne vlasti, što dovodi do stresa, frustracije i izgaranja.
Sigurnost se i dalje često doživljava kao prepreka poslovanju sve dok se ne dogodi značajan incident. Konstantna potreba za ‘prodajom’ sajber sigurnosti u okviru konfliktnih prioriteta C-suite sagoreva napor, dok sve veća svijest javnosti i dionika pojačava pritisak.
Na primjer, u finansijama, CISO se suočavaju sa strogom regulativom i intenzivnim nadzorom odbora i javnosti. U javnom sektoru, birokratska trenja i ograničenja nabavke mogu zakomplikovati strateške investicije, ostavljajući CISO izložene i operativno i reputacijsko.
Da bi pokrenuli iglu na sajber bezbjednosti, CISO-i moraju ići dalje od tehničke odbrane i repozicionirati sigurnost kao strateškog pokretača poslovanja. Ovo počinje promjenom načina razmišljanja odbora i C-suite, kroz obrazovanje, utjecaj i uporni angažman, da se sajber sigurnost vidi kao sastavni dio inovacija i otpornosti.
Razvijanje kontrolnih ploča na izvršnom nivou koje artikulišu stav organizacije o sajber bezbednosti može pružiti uvid u napredak, operativnu otpornost i kako su bezbednosne inicijative usklađene sa strategijom i ciljevima preduzeća. Jednako je kritično uokvirivanje sajber rizika u poslovnim terminima, prevođenje tehničkih prijetnji u mjerljive utjecaje na prihode, regulativu i utjecaj na korisnike. Ova vrsta komunikacije podiže ulogu CISO-a od IT upravitelja do strateškog partnera.
Sajber pejzaž koji se stalno menja
Za razliku od drugih vodećih uloga, CISO se mora stalno prilagođavati preklapajućim i složenim propisima, kao što su Zakon o zaštiti podataka Ujedinjenog Kraljevstva, Opća uredba EU o zaštiti podataka (GDPR) i okviri poput DORA i FCA PS21/3. Oni se također suočavaju s prijetnjama uključujući ransomware i napade vođene umjetnom inteligencijom. Osim toga, CISO-i moraju upravljati širenjem površina napada koji su rezultat offshoring-a, usvajanja oblaka i povećanja ovisnosti o trećim stranama. Ove izazove otežavaju brzi tehnološki pomaci, kao što su kvantno računarstvo i generativna AI.
CISO-e moraju istovremeno upravljati današnjim rizikom, osigurati operativni integritet, upravljati budućom strategijom i pratiti razvoj situacije, sve u realnom vremenu. Tempo prijetnji znači da se novi sistemi, tehnologije ili ranjivosti mogu ciljati u roku od nekoliko sati nakon objavljivanja, ostavljajući malo prostora za greške ili oporavak.
Brz tempo digitalne transformacije, iako je neophodan za rast poslovanja, proširuje rizik i složenost izvan onoga što tradicionalni operativni modeli mogu prihvatiti. CISO se moraju brzo prilagođavati, štiteći organizacije od sve sofisticiranijih prijetnji.
U zdravstvu, na primjer, CISO se suočavaju s prijetnjama ransomware-a koje direktno utiču na sigurnost pacijenata. U velikim globalnim organizacijama, širenje alata i eksternalizacija trećih strana povećavaju složenost i smanjuju vidljivost, ostavljajući CISO-e s fragmentiranim kontrolnim mogućnostima.
Izgradnja jačeg položaja sajber sigurnosti zahtijeva jedinstven pristup zasnovan na riziku koji jasno delegira kontrole i odgovornost među timovima i partnerima. Slojeći arhitekturu nultog povjerenja uz kontinuirano praćenje treće strane, organizacije mogu smanjiti svoju površinu napada i držati rizik dobavljača pod kontrolom. Izvođenje vježbi simulacije prijetnji dodatno izoštrava agilnost sigurnosnog tima, pripremajući ga da odgovori na prijetnje koje se pojavljuju prije nego što eskaliraju.
Sistemske iluzije i kognitivno preopterećenje
Dok strateška neusklađenost i ograničenja resursa stavljaju CISO pod pritisak, pitanje neusklađenosti između odgovornosti i autoriteta i dalje postoji. Od CISO-a se očekuje da obezbede sisteme i upravljaju rizikom u svim poslovnim jedinicama, spoljnim uslugama i tehnologijama koje ne kontrolišu direktno, što ih ostavlja odgovornim za rezultate bez jasnih prava odlučivanja ili ugovornih poluga.
Iluzija kontrole nastaje kada su CISO-i odgovorni za rizik sajber bezbjednosti, ali nemaju ovlaštenja da provedu kontrole, posebno u fragmentiranim, vanjskim ili udruženim okruženjima. Njihova uloga se pomjera sa odlučne akcije na stalno pregovaranje, povećanje stresa i odgovornosti bez moći pokretanja promjena. U nekim organizacijama u javnom sektoru, uloga CISO-a je sekundarna ili dobrovoljna, često u kombinaciji sa IT isporukom, primoravajući pojedince da daju prioritet sigurnosti u odnosu na operativnu isporuku.
Pokretanje promjena u vodstvu u sajber sigurnosti zahtijeva strukturno i kulturno usklađivanje. Uspostavljanje višefunkcionalnog upravljanja i definiranje vlasništva nad rizikom između sigurnosnih i poslovnih lidera osigurava da sajber rizik postane dio svakodnevnog donošenja odluka izvršne vlasti. Ugrađivanje bezbednosnih rezultata i kriterijuma rizika u sve poslovne projekte dodatno jača da je sajber bezbednost zajednička odgovornost. U isto vrijeme, podrška vlastitoj otpornosti i dobrobiti CISO-a je ključna. Pristup vršnjačkim mrežama, obučavanje rukovodilaca i postavljanje jasnih granica mogu pomoći u ublažavanju kognitivnog preopterećenja.
Od sagorevanja do ravnoteže
CISO sagorijevanje nije lična slabost, već posljedica konfliktnog organizacijskog dizajna. Sve dok sajber sigurnost ne bude ugrađena kao osnovna poslovna funkcija, CISO će se i dalje suočavati sa nemogućim očekivanjima i fragmentiranim autoritetom. Organizacije moraju redefinisati odgovornost i osnažiti CISO sa stvarnim autoritetom za donošenje odluka i uložiti u otpornost, kako za svoje ljude tako i za njihove strategije. Tek tada će liderstvo u sajber sigurnosti postati izvor poslovne snage, a ne rizik izgaranja.
John Skipper i Farrukh Ahmad su stručnjaci za sajber sigurnost u PA Consultingu