Битва за кибербезопасность: кто лучше — CISO или vCISO?

Роль современного директора по информационной безопасности (CISO)

Эволюция киберугроз

В условиях постоянно растущей автоматизации бизнес-процессов, технологических процессов и документооборота, информация становится самым ценным ресурсом коммерческих компаний, общественных и государственных организаций.

Киберугрозы эволюционируют с невероятной скоростью, и ущерб от кибератак может быть колоссальным — от финансовых потерь и репутационного ущерба до юридических последствий и прекращения существования бизнеса. Киберфизические атаки способны даже наносить ущерб здоровью людей или вызывать экологические катастрофы.

Организации сталкиваются с различными видами угроз: от вредоносного ПО и DDoS-атак до утечек данных и фишинга. Значение информационной безопасности становится очевидным: она не только защищает данные и системы, но и обеспечивает непрерывность бизнеса, доверие клиентов и соблюдение нормативных требований.

В этой статье мы опишем роль современного директора по информационной безопасности. Мы поделимся опытом и инсайтами о том, как можно научиться этой профессии, вырастить в своей компании такого менеджера или недорого нанять эффективного “приходящего” директора по информационной безопасности.

Роль CISO в обеспечении защиты данных и инфраструктуры компании

Сегодня директор по информационной безопасности (Chief Information Security Officer, CISO) играет центральную роль в обеспечении защиты бизнес-процессов, данных и инфраструктуры в средних и крупных компаниях и организациях. Однако даже небольшие организации всё чаще начинают создавать позиции директора или менеджера информационной безопасности хотя бы с частичной занятостью. Его задачи выходят далеко за рамки технической защиты, с которой может справляться сетевой инженер или администратор безопасности. CISO является стратегическим лидером, который формирует политику безопасности, управляет рисками и обеспечивает соответствие нормативным требованиям.

CISO выступает в роли связующего звена между ИТ-отделом, отделом информационной безопасности (если он есть), отделом физической безопасности, бизнес-подразделениями и высшим руководством компании, а также её владельцами или акционерами. Для эффективного выполнения обязанностей CISO необходимо разбираться в бизнес-процессах и стратегических целях компании, чтобы гармонично включать меры безопасности в общую бизнес-стратегию. 

В конечном итоге, безопасность, особенно управление рисками как её ключевой процесс, – это экономическая дисциплина, которая оперирует понятиями вероятного ущерба, инвестиций в меры снижения рисков,  возврата этих инвестиций, периода окупаемости и так далее. Умение говорить на языке бизнеса, денег и экономики необходимо CISO для плодотворного диалога с бизнес-руководителями своей организации.

Что же конкретно для этого делает директор по информационной безопасности? Углубимся немного в его повседневные задачи.

Обязанности CISO

Функции CISO охватывают широкий спектр задач, включая разработку стратегий, архитектур, политик и процедур информационной безопасности, анализ угроз, управление рисками, разработку и внедрение программ осведомлённости сотрудников в области безопасности, реагирование на крупные инциденты информационной безопасности и многое другое. Рассмотрим некоторые из этих обязанностей.

Разработка и реализация стратегии информационной безопасности

Одной из первостепенных функций CISO является разработка и внедрение всеобъемлющей стратегии информационной безопасности организации. Как правило, такая стратегия включает в себя определение стандартов, политик безопасности и процедур, направленных на защиту информационных ресурсов организации. Важными этапами разработки и реализации стратегии безопасности являются:

• высокоуровневый анализ состояния безопасности организации;
• определение высокоуровневых целей безопасности для их последующей детализации;
• интеграция стратегии безопасности с бизнес-стратегией организации;
• разработка и внедрение стандартов, политик, операционных планов, процедур, чеклистов и других документов и записей по безопасности;
• определение подходов к оценке эффективности мер безопасности и выполнение этой оценки;
• наконец, коррекция текущих целей, планов, документов и записей, начало новых циклов их поддержки, и так до бесконечности.

Управление рисками и соблюдение нормативных требований

Эффективное управление рисками – одна из важнейших обязанностей CISO. Она включает идентификацию рисков, связанных с информационной безопасностью, их оценку и обработку. Без управления рисками невозможно или крайне сложно оптимизировать бюджет информационной безопасности и оценить целесообразность инвестиций в неё. 

Соблюдение нормативных требований также является критически важной частью работы CISO. В зависимости от отрасли и региона, компании должны соответствовать различным стандартам и законодательным требованиям, таким как GDPR, HIPAA, ISO/IEC 27001 и другим. В этом направлении обязанности CISO включают:

• обеспечение соответствия всех процессов и систем компании актуальным нормативным требованиям;
• проведение регулярных внутренних аудитов и участие во внешних аудитах для проверки соответствия;
• обновление и адаптация политик и процедур безопасности в соответствии с изменениями в законодательстве и стандартах;
• внутренняя и внешняя отчётность и коммуникации, связанные с соблюдением и нарушениями требований безопасности.

Реагирование на инциденты и расследования

Задолго до возникновения инцидентов информационной безопасности CISO обязан определить, как на них реагировать, обучить сотрудников и проверить их знания. Его действия включают:

• разработку и внедрение планов реагирования на инциденты информационной безопасности;
• координацию действий разных команд в случае обнаружения инцидента информационной безопасности;
• участие в восстановлении работы систем и процессов компании, затронутых инцидентом;
• расследование инцидентов, включая сотрудничество с правоохранительными органами;
• коммуникации, документирование, отчетность, работа над ошибками, пост-инцидентные меры и т. д.

Другие обязанности директора по информационной безопасности

Человеческий фактор играет важную роль в обеспечении информационной безопасности. Поэтому CISO должен организовывать регулярное обучение сотрудников методам распознавания и предотвращения уязвимостей и киберугроз, выращивать и поощрять “чемпионов безопасности” (неформальных лидеров в области безопасности), продвигать методы и средства безопасности, а также формировать культуру безопасности в коллективе. 

Кроме вышеперечисленных задач, CISO может выполнять или организовывать множество других функций, направленных на обеспечение комплексной защиты компании, например:

• специфические аудиты, тестирования и оценки безопасности отдельных подразделений, процессов, серверов, приложений или других активов организации;
• стратегическое управление идентификацией и доступами;
• стратегическое управление мониторингом событий безопасности и разведкой угроз;
• согласование изменений в инфраструктуре ИТ компании или исходном коде программного обеспечения;
• выбор, внедрение и администрирование программно-аппаратных решений в области информационной безопасности;
• управление безопасностью цепочек поставок и взаимодействий с внешними сторонами;
• управление физической безопасностью ИТ-инфраструктуры (защита серверов, мобильных устройств, участие во внедрении и поддержке систем видеонаблюдения, контроля физического доступа) и т. д.

Таким образом, обязанности CISO требуют не только глубоких технических знаний, но и развитых лидерских качеств, умения принимать стратегические решения и навыки эффективной координации команд сотрудников с различными приоритетами, целями и интересами. Остановимся подробнее на этих знаниях и качествах.

Навыки и квалификация CISO

Директор по информационной безопасности должен обладать широким спектром навыков и квалификаций, чтобы эффективно выполнять свои обязанности и защищать компанию от киберугроз. Рассмотрим основные базовые навыки, необходимые для успешного выполнения роли CISO. 

Эти навыки достаточно разносторонние, и поэтому редко сочетаются у одного человека в полном объёме. Тем не менее, при дефиците тех или иных навыков директору по информационной безопасности понадобится больше времени для принятия повседневных решений и будет сложнее заработать авторитет как у подчинённых, так и у ИТ-специалистов из других подразделений.

Технические навыки	Описание
Знание сетевых технологий	Понимание работы сетей и сетевых протоколов, анализ сетевого трафика, выявление подозрительной активности, управление файрволами, системами управления сетевым доступом и т. д.
Умение находить уязвимости	Знание методов и инструментов тестирования на проникновение и оценки технических уязвимостей. Умение видеть слабые места в архитектурах, бизнес-процессах, операциях, в том числе, недокументированных.
Криптология	Знание криптографических методов и алгоритмов, таких как AES, RSA, SHA, позволяет защищать данные при передаче и хранении. Понимание основ криптоанализа помогает оценивать безопасность систем, строить безопасные системы, выполнять расследования инцидентов и т. д.
Защита данных	Умение объединять методы инвентаризации, классификации, аутентификации, авторизации, шифрования, мониторинга и управления доступом для защиты ценных данных.
Умение работать с большим количеством данных	Умение анализировать логи с целью восстановления событий. Умение восстанавливать повреждённые данные. Знание регулярных выражений. Умение преобразовывать неструктрированные данные в структрированные и обратно. Понимание безопасности баз данных и основ управления современными базами данных.
Знание готовых решений в области безопасности	Понимание принципов работы программно-аппаратных решений следующих групп: криптографические решения, безопасность данных, обнаружение угроз, предотвращение угроз, корректирующие и компенсирующие решения, обманные решения, управление идентификацией и доступом, безопасность доступа к сети, сетевая безопасность, управление конечными точками, безопасность приложений и DevSecOps, управление уязвимостями, облачная безопасность, управление информацией и событиями безопасности, управление рисками. Умение выполнять сравнительных анализ решений по множеству критериев, а также выбирать и внедрять оптимальные решения для конкретной ситуации и с учётом будущего стратегического развития.

Деловые качества	Описание
Управление командами	Создание команды специалистов по безопасности, планирование, организация и мотивация сотрудников. Координация усилий команд с разными интересами при решении сложных задач, затрагивающих несколько подразделений организации или даже несколько разных организаций.
Навыки коммуникации, презентаций и преподавания	Эффективная коммуникация с различными уровнями организации, а также с клиентами, подрядчиками, партнёрами, правоохранительными органами и прессой. Умение грамотно писать, структурировать и презентовать информацию с целью облегчения усвоения. Умение видеть проблемы с других точек зрения, принимать во внимание альтернативные мнения, вести переговоры, урегулировать конфликты, объяснять простыми словами сложные технические понятия, “смягчать” коммуникации и “сглаживать острые углы”. Умение работать в мультикультурной среде. Умение создать и поддерживать культуру безопасности, и т. д.
Аналитические способности, навыки управления проектами и кризисами, решительность и ответственность	Способности к анализу и синтезу, умение моделировать и декомпозировать, абстрактное и критическое мышление. Понимание неочевидных и сложных причинно-следственных связей. Предвидение последствий событий, действий и бездействия. Независимость, умение действовать в условиях частичной неопределённости, в условиях жёстких сроков и ограниченных ресурсов. Способность брать на себя ответственность в критической ситуации.
Другие деловые качества	Обучаемость, адаптивность, позитивность, интуиция, предпринимательские навыки (умение принимать риски, умение быстро оценивать риски неформальными методами, умение быстро оценивать соотношение затрат и выгод) и т. д.

Экономические навыки	Описание
Количественная оценка рисков	Проведение количественной оценки рисков, анализ вероятности и последствий киберугроз.
Окупаемость инвестиций в безопасность	Аргументация необходимости мер безопасности с точки зрения их экономической целесообразности, расчет ROSI (ROI безопасности).

Бизнес-навыки	Описание
Понимание технологических процессов и бизнес-процессов	Умение строить процессы безопасности с нуля, документировать и визуализировать их, оценивать их эффективность и оптимизировать их. Умение интегрировать процессы безопасности с другими процессами организации. Понимание бизнес-процессов компании для нахождения неочевидных уязвимостей и угроз, а также для разработки специфических мер безопасности, поддерживающих эти бизнес-процессы.
Интеграция безопасности в стратегию компании	Интеграция стратегии и мер безопасности в общую бизнес-стратегию компании для поддержки бизнес-целей. Оценка соответствия стратегии и мер безопасности общей стратегии компании.

Юридические навыки	Описание
Знание национального и международного законодательства	Знание релевантных локальных и международных норм, связанных с ИТ и безопасностью, умение правильно истолковать эти нормы и превратить их в корпоративные требования. Знание мер ответственности за нарушение норм. Анализ договоров и т. д.

Путь к должности CISO

Получение навыков и должности директора по информационной безопасности – это сложный и многогранный процесс, требующий не только глубоких технических знаний в области информационных технологий, но и способности быстро реагировать на угрозы, эффективно управлять рисками, а также высокой ответственности, предусмотрительности, предвидения, коммуникабельности, гибкости, адаптивности и других деловых качеств. Рассмотрим ключевые этапы на пути к этой важной должности, включая способы приобретения необходимых навыков и квалификации.

Образование

Образование играет ключевую роль в подготовке будущего CISO. При этом учебные программы вузов часто отстают на 5-10 лет от современных технологий и не обеспечивают достаточных знаний. Поэтому для получения необходимых знаний и навыков важно пройти специализированные курсы и получить соответствующие сертификаты.

Одними из наиболее признанных сертификатов в области информационной безопасности, лучше всего подходящих для роли CISO, являются CISSP (Certified Information Systems Security Professional) и CISM (Certified Information Security Manager). Эти сертификаты подтверждают высокий уровень компетентности в управлении информационной безопасностью и признаны международным сообществом:

• ISC2 CISSP. Сертификация CISSP охватывает восемь ключевых доменов информационной безопасности, включая управление рисками, безопасность активов, архитектуру и проектирование безопасности, коммуникации и сетевую безопасность, управление доступом, оценку и тестирование безопасности, операционную безопасности и безопасность приложений. Для получения этого сертификата необходимо иметь минимум пять лет опыта работы в информационной безопасности и успешно сдать сложный экзамен.
• ISACA CISM. Сертификация CISM фокусируется на стратегическом и операционном управлении информационной безопасностью, управлении рисками, управлении инцидентами, разработке программ безопасности и управлении ими. Для получения этого сертификата также требуется не менее 5 лет опыта работы и успешная сдача экзамена.

Профессиональный опыт

Практический опыт работы в ИТ и информационной безопасности является важной частью становления специалиста как полноценного CISO. Опыт в данной сфере помогает развить необходимые навыки и деловые качества, а также глубже понять различные практические аспекты информационной безопасности в конкретных инфраструктурах, отраслях и локальных культурах. Довольно часто эффективные директоры по информационной безопасности начинают свою карьеру в ИТ, и затем переключаются на информационную безопасность:

• Работа в ИТ. Начало карьеры в области информационных технологий предоставляет базовые общие технические знания и опыт, который необходим для работы в информационной безопасности. Работа на таких ролях, как системный администратор, сетевой инженер или разработчик программного обеспечения, помогает получить базовое общее понимание работы ИТ-инфраструктуры, ИТ-сервисов и приложений.
• Работа в информационной безопасности. Переход на должности, связанные непосредственно с информационной безопасностью, позволяет получить более специализированные знания и опыт. Такие роли могут включать работу аналитиком информационной безопасности, инженером по безопасности, менеджером рисков или специалистом по расследованию инцидентов. Этот опыт помогает развить специальные базовые практические навыки, необходимые для работы CISO.

Постоянное обучение и повышение квалификации

Мир кибербезопасности постоянно изменяется. Поэтому, чтобы стать и продолжать быть успешным CISO, недостаточно иметь хорошее образование, сертификаты и начальный опыт. Необходимо постоянно учиться и повышать свою квалификацию, а также всегда быть в курсе новостей мира кибербезопасности и отраслей своих клиентов или работодателей. 

Международные сертификации по безопасности незамедлительно аннулируются, если их владелец вовремя не отчитается и не предоставит доказательства, что он потратил на поддержку своего профессионального образования определенное количество часов ежегодно.

• Постоянное обучение. Участие в конференциях, семинарах, вебинарах и курсах повышения квалификации помогает быть в курсе последних тенденций и угроз кибербезопасности. Некоторые из наиболее известных конференций включают Black Hat, DEFCON и RSA Conference.
• Профессиональные сообщества и ассоциации. Присоединение к профессиональным сообществам и ассоциациям, таким как (ISC)², ISACA и SANS Institute, предоставляет доступ к ресурсам, материалам для обучения и сетевым возможностям, которые могут быть полезны для карьерного роста.
• Анализ и исследования. Чтение специализированной литературы, научных статей, обзоров и отчетов о безопасности помогает углубить знания и оставаться в курсе актуальных угроз, уязвимостей, новых технологий и методов защиты.
• Развитие деловых качеств. Как упоминалось выше, деловые качества (софт-скиллы) крайне важны для эффективного менеджера безопасности. Специализированные тренинги и работа над ошибками в реальных рабочих ситуациях помогают развивать деловые качества. 

Перечисленные этапы прокачки хард-скиллов и софт-скиллов менеджера безопасности показывают способы формирования компетентного и квалифицированного CISO, готового справляться с современными вызовами в области информационной безопасности.

Таким образом, мы видим, что для выращивания таких компетенций необходимы долгие годы междисциплинарного обучения, целеустремлённой практики и упорного труда. Соответственно, найм готового специалиста CISO, вложившего в своё развитие этот труд и значительную часть своей жизни, обойдется в немалые суммы компенсаций этому специалисту. К счастью, существует более выгодная альтернатива.

Преимущества использования vCISO

Виртуальный директор по информационной безопасности (virtual CISO) становится все более популярным решением для многих компаний, стремящихся обеспечить высокий уровень безопасности при оптимизации затрат. По сути, это “приходящий” CISO, работающий по контракту. 

Рассмотрим ключевые преимущества использования vCISO и приведем примеры реальных кейсов, демонстрирующих экономическую эффективность и гибкость этого подхода.

Экономическая эффективность

Одним из самых значимых преимуществ использования vCISO является экономическая эффективность. Найм штатного CISO может быть дорогостоящим, особенно для малого и среднего бизнеса. 

Идея найма виртуального CISO — это возможность получить доступ к высококвалифицированным экспертам по информационной безопасности без необходимости оплачивать полную зарплатную ставку, а также полный пакет компенсаций и льгот штатного сотрудника.

• Снижение затрат на зарплату и льготы. Штатный CISO обычно требует значительной зарплаты и пакета льгот, включая медицинское страхование, пенсионные взносы и другие компенсации. Использование vCISO позволяет сократить эти расходы, поскольку компания оплачивает только те услуги, которые действительно необходимы.
• Оптимизация затрат на обучение и повышение квалификации. Штатные специалисты нуждаются в постоянном обучении и повышении квалификации, что также требует финансовых вложений. Специалист vCISO уже обладает необходимыми знаниями и опытом, что позволяет сократить затраты на обучение, сертификации и их ежегодную поддержку.

Гибкость и адаптивность

Гибкость и адаптивность – еще одно важное преимущество использования vCISO. Компании могут привлекать такого эксперта только по мере необходимости, что особенно полезно в условиях быстро меняющегося ландшафта киберугроз.

• Доступ к широкому кругу экспертов. Виртуальные CISO часто работают во главе команды, состоящей из различных специалистов, обладающих широким спектром навыков и знаний. Это позволяет компании-клиенту получать консультации и решения по самым различным аспектам информационной безопасности: от стратегии до узких технических вопросов.
• Масштабируемость услуг. Услуги vCISO можно легко масштабировать в зависимости от потребностей компании. Это означает, что компания может увеличивать или сокращать объем услуг в зависимости от текущих задач и бюджетных ограничений.
• Быстрая адаптация к новым требованиям и угрозам. Специалисты vCISO могут оперативно реагировать на новые требования нормативных актов и появляющиеся угрозы, предоставляя актуальные рекомендации и решения.
• Высокая доступность. Услуги vCISO, в отличие от CISO в штате, могут быть доступны в режиме 24x7x365. Специалисты vCISO за счёт своей взаимозаменяемости выглядят для работодателя никогда не спящими, не болеющими и не уходящими в отпуск.

Примеры кейсов

Рассмотрим пару кейсов, которые демонстрируют преимущества использования vCISO на практике.

Производственная компания снизила ущерб от инцидентов на 51% и расходы на безопасность на 42% благодаря аутсорсингу CISO

Среднеразмерная польская производственная компания столкнулась с необходимостью усиления мер информационной безопасности, в том числе, мер обеспечения непрерывности бизнеса и защиты от простоев технологических процессов в результате атак российских хакеров на инфраструктуру ИТ и OT компании. Найм штатного CISO оказался бы слишком дорогим решением. Компания решила воспользоваться услугами vCISO со специализацией безопасности ICS. 

В результате компания снизила расходы на 42% по сравнению с наймом штатного специалиста. Компания смогла внедрить современные методы защиты данных и систем, а также значительно повысить уровень безопасности своей инфраструктуры ИТ и ОТ, благодаря опыту и знаниям vCISO.

Количество зарегистрированных компанией за год инцидентов информационной и киберфизической безопасности снизилось на 44%, а ущерб от них — на 51%.

Финансовый стартап использовал сервис vCISO, быстро получил сертификат безопасности и, благодаря ему, привлёк значительные инвестиции

Молодой финтех-стартап из Швеции, занимающийся разработкой программного обеспечения в области платежных систем, нуждался в высококлассных специалистах по безопасности для защиты своих инновационных решений. Найм штатного CISO был бы слишком затратным для компании на этапе старта. Стартап решил воспользоваться услугами vCISO.

В результате стартап получил доступ к экспертам мирового уровня, которые помогли разработать и внедрить эффективные меры безопасности. Кроме того, использование vCISO позволило стартапу оптимизировать бюджет и направить больше средств на развитие основной деятельности, сохраняя высокий уровень безопасности.

Менеджер vCISO помог стартапу определить, соответствие каким именно международным стандартам безопасности ему необходимо в первую очередь для продвижения на рынках США и Европы, а также внедрил соответствие этим стандартам. Инвесторы высоко оценили сертификаты соответствия стандартам безопасности. Стартап успешно прошел очередной раунд инвестирования, и существенно масштабировал свои мощности.

Заключение

В условиях современного цифрового мира роль директора по информационной безопасности становится все более критичной для защиты данных и инфраструктуры компаний. CISO обеспечивает разработку и реализацию эффективных стратегий и планов информационной безопасности, управление рисками, реагирование на инциденты и обучение сотрудников, что в совокупности создает надежную систему защиты от киберугроз и киберфизических угроз.

Использование виртуального CISO предоставляет значительные преимущества, особенно для малых и средних предприятий. Сервис vCISO позволяет сократить затраты, повысить гибкость и адаптивность, а также получить доступ к высококлассным экспертам, которые помогут обеспечить высокий уровень безопасности.

Рекомендации для бизнеса: как выбрать подходящего CISO или vCISO

При выборе CISO или vCISO важно учитывать несколько ключевых факторов:

1. Убедитесь, что кандидат имеет необходимые сертификаты и квалификацию, такие как CISSP или CISM, а также соответствующий опыт работы в области информационной безопасности.
2. CISO должен хорошо разбираться в бизнес-процессах компании и уметь интегрировать меры безопасности в общую стратегию компании. Попросите кандидата дать специфические рекомендации по защите одного конкретного бизнес-процесса. Для начала оцените чувство меры кандидата и его подходы к снижению неотъемлемых неудобств, которые возникают при любых мерах безопасности.
3. Ищите специалиста, который обладает не только глубокими техническими знаниями, но и способностью эффективно управлять командой и коммуницировать с руководством. Попросите вашего кадровика или психолога, а также экономиста и юриста оценить деловые качества, экономические и юридические навыки кандидата.
4. В условиях быстро меняющегося ландшафта киберугроз важна способность специалиста быстро адаптироваться к новым требованиям и угрозам. Поручите кандидату нестандартное тестовое задание, например, по реагированию на угрозу или инцидент из недавней истории вашей компании или по устранению нестандартной уязвимости, не имеющей патча.
5. Рассмотрите возможность временного или постоянного использования сервиса vCISO вместо найма CISO, с целью оптимизации затрат, особенно если ваш бизнес находится на этапе роста, или вы стремитесь к экономической эффективности.

Для тех, кто рассматривает возможность использования vCISO, рекомендуем обратить внимание на наш сервис. Наши высококвалифицированные эксперты по информационной безопасности, соответствуют всем требованиям и рекомендациям, перечисленным выше. 

Наш vCISO поможет интегрировать безопасность в стратегию вашего бизнеса, создать для вашей компании добавленную стоимость и дополнительные конкурентные преимущества за счёт нового высокого уровня безопасности, а также избежать значительных финансовых потерь от инцидентов, штрафов за нарушение норм безопасности и от избыточных затрат на зарплаты штатных специалистов.

Подробнее об услуге “Эксперты как сервис и Virtual CISO” можно узнать с помощью бесплатной консультации. 

Получите скидку 10% на сервис vCISO по промокоду “HXvCISO”.