CIO ควรมีกลยุทธ์ในการบริหารจัดการเทคโนโลยีสารสนเทศที่ดีและเตรียมพร้อมกับสถานการณ์ปัจจุบัน และอนาคต โดยสรุปได้ 6 ข้อดังนี้

การจัดซื้อจัดจ้างระบบเทคโนโลยีสารสนเทศ จำเป็นต้องใช้งบประมาณค่อนข้างสูง การตัดสินใจเลือกใช้เทคโนโลยีใหม่จึงเป็นความท้าทายของ CIO เพราะหากตัดสินใจผิดก็อาจส่งผลเสียในระยะยาวให้แก่องค์กรได้

ขณะที่งบประมาณด้านการรักษาความปลอดภัย มีแนวโน้มที่จะลดลงตามสภาวะเศรษฐกิจโลกที่ถดถอย แต่การโจมตีจากแฮกเกอร์ และไวรัสกลับมีแนวโน้มเพิ่มขึ้น ดังนั้น CIO จึงจำเป็นต้อง “Balance” ปรับสมดุล ระหว่างความปลอดภัยขั้นต่ำที่องค์กรควรมี และงบประมาณที่จะถูกใช้จ่ายออกไปเพื่อให้ได้มาซึ่งอุปกรณ์ฮาร์ดแวร์และซอฟต์แวร์ ตลอดจนการบริการจาก IT Auditor, IT Consultant, System Integrator และ IT Outsourcer รวมถึงงบประมาณการฝึกอบรม Information Security Awareness Training และ Information Security Technical Training จาก IT Training Center ต่าง ๆ อีกด้วย

2. กำหนดแผนยุทธ์ศาสตร์ด้านความปลอดภัยระบบสารสนเทศให้ชัดเจนและนำไปปฏิบัติจริงได้

แผนยุทธ์ศาสตร์ในระยะยาวควรกำหนดออกมาให้ชัดเจน เพื่อเป็นแนวทางในการดำเนินการด้านสารสนเทศและการรักษาความปลอดภัยข้อมูลสารสนเทศ จากนั้น แผนระยะกลางและแผนระยะสั้น ก็ควรถูกกำหนดออกมาเช่นกัน ยกตัวอย่าง เช่น องค์กรควรมีการจัดทำการประเมินความเสี่ยงระบบสารสนเทศเป็นประจำทุกปี และควรมีการจัดทำแผนฝึกอบรม Information Security Awareness Training ในทุกๆ 3 – 6 เดือน เป็นต้น

3. เพิ่มความรู้และมีความรอบรู้เพื่อใช้ประกอบการตัดสินใจเลือกใช้เทคโนโลยีที่เหมาะสมและไม่ล้าสมัย

ยกตัวอย่างการเลือกใช้แพลตฟอร์มว่าจะใช้ Windows Server 2003 Platform หรือ UNIX/LINUX Platform การเลือกใช้เทคโนโลยี J2EE (Jave 2 Enterpirse Edition) หรือเลือกใช้เทคโนโลยี Dot NET ของ Microsoft เป็นต้น

การหมั่นเข้าร่วมฟังงานสัมมนาเทคโนโลยีใหม่ ๆ ก็เป็นเรื่องจำเป็นของ CIO เช่นเดียวกัน ซึ่งก็คงต้องปลีกเวลาการทำงานบ้างเพื่อเพิ่มพูนความรู้ใหม่ ๆ ที่เป็นประโยชน์ในการตัดสินใจในอนาคต การเดินทางไปชมงาน ICT Expo ในต่างประเทศ ก็ควรอยู่ในโปรแกรมของ CIO ด้วย

4. นำองค์กรเข้าสู่มาตรฐานกำหนดความปลอดภัยสารสนเทศที่สากลให้การยอมรับและเตรียมพร้อมสำหรับการตรวจสอบจากผู้ตรวจสอบระบบสารสนเทศ

การนำมาตรฐานสากลด้านความปลอดภัยระบบสารสนเทศ เช่น ISO/IEC17799 หรือ CobiT มาประยุกต์ใช้บางส่วน ถือเป็นเรื่องจำเป็น CIO ต้องให้ความสำคัญเช่นกัน โดยองค์กรอาจจะไม่จำเป็นต้องได้รับใบรับรองมาตรฐาน BS7799-2 ในกรณีที่องค์กรมองว่าประโยชน์ที่ได้รับจากการได้รับใบรับรองมาตรฐานด้านความปลอดภัยนั้นยังไม่ชัดเจน

แต่องค์กรก็ควรนำมาตรฐานสากลที่เป็น “Best Practice” ต่าง ๆ มาประยุกต์ใช้ เพื่อความปลอดภัยขององค์กรเอง และ เพื่อให้สอดคล้องกับยุคของไอทีภิบาล

การตรวจสอบระบบสารสนเทศโดยผู้ตรวจสอบภายนอกหรือผู้ตรวจสอบภายในเป็นเรื่องจำเป็นที่ต้องทำเป็นประจำทุกปีเพื่อให้แน่ใจถึงระดับของความเสี่ยงที่ผู้บริหารยอมรับได้ และไม่ส่งผลกระทบต่อองค์กร

5. รักษาความสัมพันธ์ที่ดีกับผู้ร่วมงานและพัฒนาการสื่อสารกับผู้ร่วมงานให้มีความชัดเจนและความเข้าใจในทิศทางเดียวกัน

ปัญหาของ CIO ในหลายองค์กร คือ ไม่สามารถอธิบายการทำงานด้านสารสนเทศต่าง ๆ ให้ผู้บริหารระดับสูง เช่น CEO หรือ CFO เข้าใจ และให้การสนับสนุนได้อย่างมากพอ ทำให้หลายโครงการด้านสารสนเทศ ไม่ประสบความสำเร็จ

ดังนั้น CIO ควรต้องมีทักษะในการพูดคุย การติดต่อ ตลอดจนการนำเสนอในรูปแบบมืออาชีพ ที่มีความชัดเจน และ ง่ายต่อการเข้าใจของผู้บริหารระดับสูงที่ไม่ใช่ “คนไอที” ตลอดจน CIO ควรรักษาความสัมพันธ์กับ System Integrator, Consultant, Supplier และ Outsourcer เพื่อให้บริษัทเหล่านี้มาช่วยแบ่งเบาภาระของ CIO และ เป็นการ Transfer Risk ไปในตัว

ความสัมพันธ์ที่ดีกับหน่วยงานต่าง ๆ ดังกล่าวจะส่งผลช่วย CIO ในทางอ้อมต่อประสิทธิภาพในการปฏิบัติงานและภาพลักษณ์ของตัว CIO เอง

6. เตรียมรับสถานการณ์ฉุกเฉินด้านความปลอดภัยสารสนเทศที่อาจเกิดขี้นได้

แผน BCP (Business Continuity Planning) และ DRP (Disaster Recovery Planning) ควรถูกจัดทำขึ้นเพื่อให้องค์กรพร้อมกับการเตรียมรับเหตุการณ์ฉุกเฉิน หรือ Incident Response Management ที่อาจเกิดขึ้นและส่งผลกระทบต่อการทำงานโดยรวมขององค์กรได้ โดย CIO ต้องช่วยสนับสนุนและเป็นแกนหลักในการจัดทำแผนดังกล่าวด้วย