Stanje u informacijskoj sigurnosti u Hrvatskoj daleko je od zadovoljavajućega. Postojeća zakonska, institucionalna te infrastrukturna regulativa nije ni primjerena ni dovoljno efikasna.
Razlika između CISO-a i CSO-a često uključuje dodatne odgovornosti za fizičku sigurnost, upravljanje rizikom te organizaciju nastavka poslovanja u slučaju nepogoda. Važno je naglasiti da krajnju odgovornost za informacijsku sigurnost uvijek snosi uprava svake kompanije.
Sposobnost da se odredi što predstavlja rizik te obveza da se o njemu izvijesti uprava kompanije zahtijeva vještine dobre pisane i govorne komunikacije uz izravno poznavanje poslovanja kompanije. To su vještine koje su uglavnom nedostajale tradicionalno tehnički obrazovanom osoblju, koje se bavilo informacijskom sigurnošću. Današnja uloga CSO-a orijentirana je na upravljanje rizikom i sve je više integrirana s poslovnim funkcijama. Njezina odgovornost za uobičajene sigurnosne zadatke sve je manja, dok je sve veća prisutnost CSO-a u donošenju strateških poslovnih odluka. Uloga CISO-a posebno je, pak, važna u mnogim europskim kompanijama, koje su tradicionalno manje centralizirane od američkih.
Predsjednik Uprave globalnog lanca Deloitte Touche Tohmatsu William Parrett nedavno je izjavio: – Da bi se moglo biti efikasan, bitno je da se mandat CSO-a protegne izvan isključivo sigurnosnih problema te po-primi širu stratešku i korporativnu ulogu koja bi utkala upravljanje rizikom u cjelokupni uspjeh poslovanja korporacije.
Procjena je nekih analitičara da će do kraja ovog desetljeća više od 70 posto svjetskih kompanija imati ured za upravljanje informacijskom sigurnosti. Budući da sigurnosna pitanja postaju neodvojivi element strategije upravljanja rizikom, predviđa se da će veći broj sadašnjih stručnjaka za informacijsku sigurnost preuzeti i ulogu upravljanja rizikom.
