Zakres odpowiedzialności oficerów bezpieczeństwa w większości polskich firm jest wyznaczony przez obowiązujące ustawodawstwo, w szczególności ustawę o ochronie danych osobowych oraz ustawę o informacji niejawnej. Taki stan rzeczy powoduje, że rola oficera sprowadzona jest do roli nadzorcy, zobowiązanego przygotować firmę do wypełnienia obowiązków ochrony danych, wynikających z ustawy, oraz nadzorować ich realizację. W firmach, dla których nie mają zastosowania wyżej wspomniane ustawy, oficerów bezpieczeństwa nie ma wcale lub pełnią oni rolę piszących procedury.
Bez względu na to, czy ustawa wymusza stosowanie określonych środków bezpieczeństwa czy też nie, firma musi dbać o swoje zasoby i w odpowiedni sposób je chronić. W szczególności jest to istotne w odniesieniu do systemów informatycznych. Oficer bezpieczeństwa jest w takim przypadku odpowiedzialny za propagowanie świadomości zagrożeń wśród użytkowników oraz zarządu. Promując konieczność zabezpieczania zasobów firmy, musi kłaść akcent na korzyści, jakie osiągnie firma, nie zaś na konsekwencje, jakie będzie musiała ponieść, gdy się nie zabezpieczy.
Po okresie budowania świadomości i ustaleniu podstawowych zasad, przychodzi czas na wprowadzanie rozwiązań systemowych oraz eliminowanie czynników mogących zagrażać firmie. Oficer bezpieczeństwa powinien w tym okresie skupić się na przedsięwzięciach, w których ma szanse wykreować nowy standard i nową jakość. Najlepiej wprowadzanie nowych rozwiązań z zakresu bezpieczeństwa powiązać ze zmianami wynikającymi z potrzeby biznesowej.
Firma, wprowadzając nowy system informatyczny lub produkt, zmienia zazwyczaj w znacznym stopniu dotychczasowe procesy oraz strukturę. Wprowadzenie przy tej okazji wymagań bezpieczeństwa zarówno dla systemu informatycznego jak i procesów jest o wiele prostsze i daje lepsze efekty niż zmienianie istniejących procesów i systemów w firmie jedynie z powodu bezpieczeństwa.
Przychodzi też czas, kiedy oficer bezpieczeństwa musi egzekwować ustalone zasady. Monitorowanie bezpieczeństwa oraz reagowanie w sytuacjach jego naruszenia sprawdza skuteczność mechanizmów wypracowanych w organizacji, ale przede wszystkim weryfikuje zdolności społeczne oficera. Co najważniejsze, należy dokładnie i jednoznacznie określić model sankcji za naruszenie bezpieczeństwa zarówno dla własnych pracowników jak i firm współpracujących.
Oficer bezpieczeństwa powinien rozumieć biznes oraz znać organizację. Dobry oficer jest zapraszany na spotkania omawiające wprowadzenie nowych rozwiązań w firmie i ma na nich możliwość przedstawienia ryzyka związanego z przedsięwzięciem. Współtworzy kulturę organizacji oraz stale edukuje pracowników. W końcu, uczestniczy w grupach kryzysowych, niejednokrotnie będąc ich przewodniczącym. Ta rola powoduje, że oficerem bezpieczeństwa nie może być wyznaczony z konieczności drugorzędny informatyk lub pracownik administracji, lecz osoba o wysokiej wiedzy merytorycznej i zdolnościach zarządzania.
Aleksander Poniewierski starszy menedżer w Ernst & Young