Cyberbezpieczeństwo wchodzi do zarządów
- Za nami kolejna edycja Cybersec EXPO & FORUM 2026, pierwsza w nowej odsłonie - organizowana przez Grupę PTWP. W ramach konferencji w jednym z paneli: "CISO i CIO pod presją. Wyzwania menadżerów" eksperci dyskutowali o rzeczywistości Chief Information Security Officer (CISO) i Chief Information Officer (CIO) i ich codziennej pracy.
- W debacie wzięli udział: dr inż. Andrzej Bartosiewicz, założyciel i prezes zarządu Fundacji CISO #Poland; Przemysław Dęba, CISO Orange Polska; Andrzej Jarosz, dyrektor Departamentu ds. IT i Cyberbezpieczeństwa w Kolejach Małopolskich; Iwona Prószyńska, kierowniczka Zespołu ds. Strategicznej Komunikacji Cyberbezpieczeństwa w NASK PIB / CERT Polska; Kajetan Przybysz, CISO Public Transport Service.
- W dyskusji specjaliści zaznaczyli, że rola CISO się zmienia i dziś to "ludzie renesansu", którzy muszą nie tylko posiadać wiedzę i doświadczenie w obszarze technicznym, ale także rozwijać kompetencje miękkie.
Eksperci, którzy wzięli udział w debacie zgodnie ocenili, że rola CISO (dyrektorów odpowiedzialnych za bezpieczeństwo informacji i cyberbezpieczeństwo) na przestrzeni lat istotnie się zmieniła i muszą obecnie pełnić wiele funkcji - niczym "ludzie renesansu" - tj. łączyć zarówno praktyczną i techniczną wiedzę, doświadczenie, jak i znajomość zasad bezpieczeństwa, regulacji czy posiadać kompetencje miękkie - m.in. z obszaru komunikacji.
Przemysław Dęba, CISO w Orange Polska ocenił, że role CIO i CISO się rozchodzą. - Jeszcze kilka lat temu toczyła się dyskusja, czy CISO powinien raportować do CIO, dziś kierunek jest jednoznaczny. CIO koncentruje się na dostarczaniu technologii i wspieraniu biznesu, natomiast CISO przesuwa się w stronę zarządzania ryzykiem, compliance, aspektów prawnych i organizacyjnych - zauważył.
- Z punktu widzenia regulacyjnego kluczowe jest to, że odpowiedzialność formalna pozostaje po stronie zarządu. To jednak nie zmniejsza presji na CISO i CIO - przeciwnie, wzmacnia ich rolę jako doradców i partnerów w podejmowaniu decyzji - przypomniał Andrzej Bartosiewicz, założyciel i prezes zarządu Fundacji CISO #Poland.
Z kolei Andrzej Jarosz, dyrektor Departamentu ds. IT i Cyberbezpieczeństwa w Kolejach Małopolskich zwrócił uwagę na potrzebę współpracy między CISO i CIO, szczególnie w kontekście zarządzania kryzysowego i wdrażania innowacji, które często są wprowadzane bez pełnego sprawdzenia pod kątem bezpieczeństwa.
- Nie zgodziłbym się jednak z tezą o pełnym rozdzieleniu tych funkcji. W praktyce, zwłaszcza w środowiskach o podwyższonym poziomie zagrożenia, CISO i CIO muszą działać razem. To są role, które grają do jednej bramki. Postęp technologiczny, presja wdrażania innowacji, w tym rozwiązań AI oraz rosnące zagrożenia cybernetyczne sprawiają, że współpraca jest koniecznością - ocenił.
Natomiast Przemysław Dęba zaznaczył, że "CISO, który się chowa za regulacjami, to jest wstyd dla zawodu".
Według Kajetana Przybysza, CISO Public Transport Service rola CISO w branży kolejowej jest wciąż świeża i ewoluuje. - W niektórych branżach, jak transport czy infrastruktura krytyczna, rola CISO wciąż się kształtuje. Często jest to funkcja, która dopiero buduje swoją pozycję w relacji z zarządem i innymi obszarami biznesu. Jednocześnie jej znaczenie systematycznie rośnie - stwierdził.
Wspomniano także o rosnącym znaczeniu regulacji prawnych i konieczności spełnienia norm w procesach zarządzania ryzykiem, co jest zadaniem trudnym, ale możliwym do wykonania bez bardzo dużych zespołów w strukturach firmy.
Wyzwaniem komunikacja o cyberbezpieczeństwieIwona Prószyńska, kierowniczka Zespołu ds. Strategicznej Komunikacji Cyberbezpieczeństwa, która na co dzień współpracuje z działami odpowiedzialnymi za cyberbezpieczeństwo w CERT Polska tłumaczyła, że jej zdaniem kluczową zmianą jest rosnąca świadomość potrzeby transparentnej i rzetelnej komunikacji w trakcie incydentów.
Z perspektywy obsługi incydentów widać wyraźnie, że CISO rozumie zarówno techniczny wymiar zdarzenia, jak i jego konsekwencje biznesowe. To często ta osoba, która wspiera transparentną komunikację w sytuacjach kryzysowych. Zarządy z kolei naturalnie dążą do ograniczania negatywnego przekazu, czasem próbując przedstawiać incydent jako awarię. To zrozumiałe z biznesowego punktu widzenia, ale w dłuższej perspektywie brak transparentności może prowadzić do większych strat wizerunkowych - przestrzegała.
Eksperci wskazywali, że komunikacja o incydentach i ryzyku w cyberbezpieczeństwie powinna być prosta, przejrzysta i dostosowana do odbiorcy, a rola CISO obejmuje również tłumaczenie technicznego języka na biznesowy.
Istotna jest również współpraca CISO z działami PR i prawnym, aby przekazy medialne niosły wartość edukacyjną i nie wywoływały niepotrzebnej paniki. Iwona Prószyńska dodała, że kluczowe w tym aspekcie jest budowanie relacji i atmosfery współpracy w organizacji jeszcze przed wystąpieniem incydentu, co ułatwia późniejsze zarządzanie w sytuacji kryzysowej.
Presja i stres związane z rolą CISOPaneliści zgodnie stwierdzili, że presja jest nieodłącznym elementem pracy CISO, ale dotyczy przecież także innych funkcji biznesowych w organizacjach.
Presja wynika zarówno z wymagań zarządu, który oczekuje szybkich i bezpiecznych wdrożeń, jak i z konieczności ciągłego monitorowania zagrożeń i radzenia sobie z incydentami - stwierdził Andrzej Bartosiewicz. - Bezpieczeństwo nie jest najważniejszym celem organizacji, jest częścią biznesu. Problem polega na tym, że środowisko cyberbezpieczeństwa często traktuje je jako centralny punkt wszystkiego. Tymczasem kluczowe jest umiejętne tłumaczenie wpływu bezpieczeństwa na biznes i wspieranie decyzji zarządu - powiedział w czasie debaty.
Andrzej Jarosz zwrócił uwagę na problem rotacji i wypalenia w zespołach SOC (Security Operations Center), wynikający z intensywności pracy i braku zasobów ludzkich.
Natomiast Przemysław Dęba stwierdził, że nie ma jednego modelu komunikacji z zarządem - organizacje są na bardzo różnych etapach dojrzałości, a od tego także zależy presja, z jaką na co dzień mierzy się CISO.
Coraz wyraźniej widać jednak, że kluczowym elementem budowania odporności jest kultura organizacyjna. To ona sprawia, że bezpieczeństwo staje się naturalną częścią działania firmy, a nie tylko reakcją na incydenty - powiedział.
Iwona Prószyńska podkreśliła, że mimo stresu i presji, poczucie misji i świadomość wartości wykonywanej pracy daje jej siłę do działania. - Poczucie misji to jest to, co daje mi siłę do pracy w CSIRT (Zespół Reagowania na Incydenty Bezpieczeństwa Komputerowego) krajowym - zaznaczyła.
Sztuczna inteligencja, rosnąca presja i przyszłość zawoduPaneliści wskazali na rosnącą rolę sztucznej inteligencji jako narzędzia wsparcia w cyberbezpieczeństwie. Andrzej Bartosiewicz podkreślił konieczność sensownego i efektywnego wykorzystania AI, aby wypełnić luki kadrowe i skuteczniej walczyć z zaawansowanymi atakami. - Granice między rolami w organizacjach będą się zacierać, m.in. pod wpływem rozwoju AI. To oznacza, że od liderów bezpieczeństwa będzie się oczekiwało coraz bardziej interdyscyplinarnego podejścia i umiejętności łączenia różnych perspektyw - podsumował.
Jednocześnie zwrócono uwagę, że AI nie zastąpi całkowicie komunikacji kryzysowej i kompetencji miękkich, które są niezbędne w pracy CISO. Rola ta bowiem staje się coraz bardziej multidyscyplinarna: łączy umiejętności techniczne, komunikacyjne, prawne i biznesowe.
Jednocześnie szefowie ds. bezpieczeństwa mają przed sobą również misję edukacyjną: ich działanie przekłada się na edukację zarządów, ale i społeczeństwa. - Ryba psuje się od głowy: edukacja o bezpieczeństwie musi zaczynać się od zarządu - zaznaczył Przemysław Dęba.
Paneliści zgodzili się, że komunikacja o cyberbezpieczeństwie powinna być prosta, przejrzysta i przystępna dla odbiorcy - nie może skupiać się na technicznych aspektach. Natomiast media, które coraz częściej bazują na krzykliwych nagłówkach, powinny opierać się na sprawdzonych informacjach i faktach, by nie kreować atmosfery strachu i paniki, co później utrudnia pracę ekspertom.
Pełny zapis debaty z CYBERSEC EXPO & FORUM dostępny jest poniżej:
Cybersec Expo & Forum 2026
wnp.pl
