Uzevši u obzir da je za zanimanje upravitelja, menadžera ili direktora informacijske sigurnosti, percepcija u Hrvatskoj tek u inicijalnoj fazi, jasno je koliko je teško internim ili vanjskim natječajem regrutirati odgovarajuću osobu koja bi vršila funkciju CISO-a. ZIK je prepoznao ovu potrebu i u skladu s njome razvio uslugu eksternalizacije (eng. „outsourcing“) funkcije odnosno aktivnosti CISO-a.

Pod eksternalizacijom funkcije CISO-a podrazumijeva se eksternalizacija poslova i zadataka koje bi CISO obavljao, dok sveukupna odgovornost za informacijsku sigurnost dakako ostaje u organizaciji (po definiciji eksternalizacije). U praksi ovo funkcionira na način da organizacija nominira osobu odgovornu za informacijsku sigurnost, dok bi sve poslove i zadaće CISO-a obavljao ZIK na bazi ugovorno definiranog angažmana.

Sve dodatne aktivnosti i specifičnosti reguliraju se pratećim ugovorom, kojim se definira i način izvješćivanja, komunikacije, vršenja nadzora provedbom aktivnosti koje su predmetom ugovora i nad kvalitetom izvšenog posla i svi ostali potrebni elementi kako bi se osiguralo da ZIK obavlja dane mu poslove u skladu s očekivanjima i potrebama klijenta.

Oslanjanje na pouzdanog vanjskog partnera, čije iskustvo, reference i profesionalnost jamče uspješno obavljanje poslova CISO-a, čest je izbor mnogih organizacija.

Eksternalizacija CISO-a
CISO (Chief Information Security Officer), upravitelj informacijske sigurnosti, menadžer za informacijsku sigurnost, direktor informacijske sigurnosti i sl., samo su neki od naziva za vodeću funkciju u organizaciji odgovornu za informacijsku sigurnost. Kao što i sam naziv sugerira, ova je osoba odgovorna za primjenu odnosno upravljanje informacijskom sigurnošću unutar svoje organizacije, a što uključuje obavljanje raznovrsnih zadataka koji zahtijevaju izuzetno visoku razinu specifičnih znanja o informacijskoj sigurnosti i informacijskim sustavima (poznavanje informacijskih sustava, baza podataka, operacijskih sustava, mreža računala itd., poznavanje standardnih procesa informacijske sigurnosti, poput procjene i obrade rizika infomacijske sigurnosti, klasifikacije informacija, planiranja kontinuiteta poslovanja, planiranja odgovora na incidente itd.) te menadžerskih vještina (komunikacijske, prezentacijske, pregovaračke, analitičke i ostale vještine koje čine svakog uspješnog menadžera). Osim toga, CISO mora odlično poznavati relevantne standarde i norme informacijske sigurnosti, kontinuiteta poslovanja i općenito upravljanja informacijskim sustavima (poput ISO 27001, ISO 27002, BS 25999, COBIT-a, ITIL-a itd.) i relevantnu zakonsku regulativu informacijske sigurnosti (što prvenstveno ovisi o sektoru u kojem organizacija vrši svoju djelatnost). Nadalje, da bi mogao držati korak s rigoroznim zahtjevima posla, CISO mora redovito pohađati odgovarajuće konferencije, treninge i seminare. Poželjno je da bude aktivan član zajednica, foruma i organizacija koje okupljaju profesionalce na ovom području (kao što je ISACA). Također, poželjno je da posjeduje odgovarajuće certifikate kojima dokazuje svoju stručnost i profesionalnost u ovom području (obično su to CISM, CISA, CISSP i CBCP certifikati).

Iz svega navedenog, a uzevši u obzir da je ovo zanimanje i njegova percepcija u Hrvatskoj tek u inicijalnoj fazi, jasno je koliko je teško internim ili vanjskim natječajem regrutirati odgovarajuću osobu koja bi vršila funkciju CISO-a. ZIK je prepoznao ovu potrebu i u skladu s njome razvio uslugu eksternalizacije (eng. „outsourcing“) funkcije odnosno aktivnosti CISO-a. Pod eksternalizacijom funkcije CISO-a podrazumijeva se eksternalizacija poslova i zadataka koje bi CISO obavljao, dok sveukupna odgovornost za informacijsku sigurnost dakako ostaje u organizaciji (po definiciji eksternalizacije). U praksi ovo funkcionira na način da organizacija nominira osobu odgovornu za informacijsku sigurnost, dok bi sve poslove i zadaće CISO-a obavljao ZIK na bazi ugovorno definiranog angažmana.

Uobičajen skup aktivnosti koje ZIK pritom kao „vanjski“ CISO provodi za klijenta uključuje:
•    redovitu i izvanrednu procjenu i obradu rizika,
•    izradu i održavanje politike informacijske sigurnosti, svih internih akata i ostale dokumentacije kojom se regulira informacijska sigurnost (politike, pravilnici, procedure, smjernice itd.),
•    predlaganje i razradu potrebnih mjera s ciljem otklanjanja eventualnih nesukladnosti/nepravilnosti i/ili prijedloga za poboljšanjem, na temelju izvješća interne i/ili vanjske revizije informacijskog sustava odnosno ISMS-a,
•    planiranje odgovora na incidente informacijske sigurnosti,
•    kontinuirano praćenje i održavanje popisa sve primjenjive zakonske regulative koja se odnosi na informacijsku sigurnost zajedno s odgovorom organizacjie na relevantne zakonske odnosno regulatorne zahtjeve,
•    razvoj i koordinaciju programa obuke i podizanja svijesti o informacijskoj sigurnosti,
•    provođenje sigurnosnih provjera politika i ostalih internih akata informacijske sigurnosti odnosno sigurnosti informacijskog sustava i izradu izvješća o provedenim provjerama,
•    savjetovanje o informacijskoj sigurnosti,
•    iniciranje primjene dobrih sigurnosnih praksi i
•    izradu godišnjih i polugodišnjih izvješća o stanju informacijske sigurnosti.

Sve dodatne aktivnosti i specifičnosti reguliraju se pratećim ugovorom, kojim se definira i način izvješćivanja, komunikacije, vršenja nadzora provedbom aktivnosti koje su predmetom ugovora i nad kvalitetom izvšenog posla i svi ostali potrebni elementi kako bi se osiguralo da ZIK obavlja dane mu poslove u skladu s očekivanjima i potrebama klijenta.

Zašto eksternalizirati funkciju CISO-a? Organizacije se najčešće odlučuju na eksternalizaciju zbog:
-    nedostatka odgovarajućeg kadra u vlastitoj organizaciji i/ili na tržištu radne snage,
-    smanjenja troškova zapošljavanja i troškova samog radnog mjesta (CISO je odgovoran za sigurnost informacija „u kući“; da bi mogao učinkovito obavljati svoj posao, CISO mora biti dovoljno visoko u organizacijskoj hijerarhiji, a što znači da ga morate i adekvatno nagraditi; osim toga, nema troškova kontinuirane edukacije),
-    nepristranosti odnosno eliminacije mogućnosti da dođe do sukoba interesa (koji postoji ukoliko imate CISO-a koji je pod kapom CIO-a),
-    bržeg i što kvalitetnijeg ispunjavanja zahtjeva regulatora i/ili
-    orijentacije na obavljanju jedino „core“ djelatnosti.

Oslanjanje na pouzdanog vanjskog partnera, čije iskustvo, reference i profesionalnost jamče uspješno obavljanje poslova CISO-a, čest je izbor mnogih organizacija.