Kako uspostaviti strategiju sigurnosti i podataka/privatnosti?

Question

Accepted Answer

Sigurnost i privatnost moraju biti tretirani kao **strateška, organizacijska sposobnost**, a ne kao checklist koji posjeduje jedan tim. Cilj je učiniti sigurnu putanju lakom putanjom i upravljati rizikom proporcionalno njegovom utjecaju na poslovanje.

## Kako o tome razmišljati

```text
FOUNDATIONS OF THE STRATEGY
- Risk-based: protect the highest-impact assets first
- Defense in depth: no single control is enough
- Shift left: security built into design and CI, not bolted on
- Privacy by design: minimize and govern data you collect
- Compliance as a baseline (GDPR, SOC 2), not the ceiling
- Clear incident response & ownership
```

Učinite sigurnost **odgovornošću svih sa centralnim timom omogućavanja**, umjesto kapije koju timovi zaobilaze.

## Konkretan primjer

CTO uspostavlja mali tim sigurnosti koji pruža alate paved-road (secret scanning, SSO, automatizirane provjere u CI), klasificira podatke prema osjetljivosti i redovito provodi vježbe incidenta, tako da se sigurnost skalira s organizacijom umjesto da je zaustavlja.

## Kompromisi i zamke

- **Zamka:** sigurnost kao blokirajuća kapija, koju timovi tiho zaobilaze.
- **Zamka:** preplavljeno prikupljanje podataka, što povećava i rizik i teret sukladnosti.
- Jaka sigurnost dodaje trenje; vještina je minimiziranje trenja dok se upravlja stvarnim rizikom.

## Zašto je važno

Jedina povreda ili neuspjeh privatnosti može koštati povjerenja, prihoda i pravnog stanja daleko izvan bilo koje funkcionalnosti.

Tretiranje sigurnosti i privatnosti strategijski, na osnovi rizika i ugrađeno, štiti poslovanje dok drži inženjerstvo brzo.

Kako podaci i regulacija rastu, to je sve više centralna CTO odgovornost.