Tratăm în continuare poziţia de Chief Information Security Officer (CISO) ca pe un simplu post tehnic, superior, e adevărat, în departamentul IT. Aş spune, fără emoţie, că aceasta rămâne una dintre cele mai periculoase iluzii din guvernanţa corporativă a anului 2026. Dacă până acum, să zicem, că a fost o abordare adecvată realităţii de până mai ieri, ei bine, de-acum încolo lucrurile stau complet diferit. Prin urmare, şi abordarea trebuie să se schimbe.
Riscul cibernetic trebuie să fie tratat cu un risc de business de prim rang, dincolo de faptul că este un risc tehnologic în sine. Pentru că potenţialul acestuia, în lipsa procedurilor şi a măsurilor de conformare, este de a distruge zeci de procente din valoarea de piaţă a unei companii într-o singură noapte.
Citește și
Atunci când un atacator criptează sistemele unui producător industrial, fură (şi şterge din sisteme) datele clienţilor din bazele unui retailer sau compromite infrastructura critică a unei bănci, consecinţele sunt financiare, operaţionale, legale, de reputaţie şi de încredere a acţionarilor, partenerilor, clienţilor. Iar pieţele reacţionează imediat, competitorii se repliază, se pierd oportunităţi. O sumă de consecinţe greu de anticipat şi evaluat, şi mai greu de remediat.
De ce CISO este un rol de guvernanţă, nu unul de IT. Opinie de Cristiana Deca, CEO & cofondator Decalex
Când CISO-ul raportează direct CIO-ului, structura însăşi generează un conflict de interese structural. CIO-ul este incentivizat să livreze proiecte, să accelereze transformarea digitală şi să optimizeze costurile. CISO-ul are datoria strategică să spună „nu” sau „nu încă” atunci când viteza sau economiile compromit rezilienţa organizaţiei. Această tensiune este sănătoasă şi necesară, însă nu poate fi gestionată corect dacă ambii executivi se află în acelaşi lanţ ierarhic.
În contextul Directivei NIS2, rolul CISO-ului capătă o dimensiune explicită de guvernanţă, fiindcă plasează responsabilitatea finală pentru managementul riscurilor cibernetice la nivelul organelor de conducere ale organizaţiei. Managementul trebuie să aprobe, să supravegheze şi să-şi asume măsurile de securitate. Astfel, CISO-ul devine principalul consilier strategic al Board-ului şi al CEO-ului. Pentru că le înţelege cel mai bine, practic traduce riscurile tehnice în impact de business, creionează apetitul de risc cibernetic al organizaţiei, asigurând alinierea strategiei de securitate cu obiectivele de afaceri pe termen lung.
Un CISO veritabil de guvernanţă gestionează decizii de risc la nivel strategic, dincolo de latura tehnică în sine: evaluează riscul rezidual în termeni financiari şi de continuitate a afacerii, consiliază Comitetul de Audit şi Riscuri şi implementează măsurile prin care securitatea cibernetică este asigurată.
Cristiana Deca,opinie despre rolul CISO
Deocamdată, în România şi în mare parte a Europei Centrale şi de Est, majoritatea CISO-ilor raportează încă CIO-ului şi sunt percepuţi ca „oameni de IT cu focus pe securitate”. Mentalităţile şi abordările noii realităţi se adaptează greu, însă şi pericolele care vin din această realitate, şi cadrul de reglementare ar trebui să fie cele două mari argumente întru acceptarea schimbărilor.
Bugetele de securitate rămân subsumate bugetului IT, iar discuţiile cu board-ul se limitează frecvent la metrici tehnice – număr de atacuri blocate sau procente de patch-uri aplicate. Această abordare, acceptabilă în 2015, a devenit periculos de învechită. Probabil că cel mai important rol aici revine tocmai acestui CISO al companiei, fie el intern sau extern(alizat), să atragă atenţia top managementului.
Cele mai mature organizaţii au adoptat modelul de raportare duală: funcţional către Comitetul de Audit sau Riscuri al Consiliului de Administraţie şi administrativ către CIO. În peisajul actual al ameninţărilor, unde AI-ul este folosit de atacatori pentru a lansa campanii ultra-personalizate şi rapide, un CISO „blocat” în subordinea IT-ului va fi mereu în urmă, limitat de bugete de mentenanţă şi de o viziune pur reactivă.
Tranziţia către formula cu CISO (CISO virtual/extern) ori pentru un senior advisor, cel puţin, reprezintă, de asemenea, o tendinţă bună, tot mai vizibilă. Companiile mici şi mijlocii înţeleg că au nevoie de expertiză, şi chiar dacă nu-şi permit un CISO full-time, încep să apeleze din ce în ce mai mult la consultanţi independenţi care stăpânesc guvernanţa riscului cibernetic mult mai bine decât configurarea unui router sau managementul unui SIEM.
Companiile care înţeleg că au nevoie, pentru dezvoltare, rezilienţă şi o bună conformare vor face această schimbare rapid. Cele care nu o fac vor continua să trateze simptomele (soluţii şi răspunsuri punctuale atacurilor de sisteme), în timp ce expunerea strategică la riscul cibernetic aduce consecinţe dintre cele mai rele.
Opinie de Cristiana Deca, CEO&cofondator Decalex
