Популярное
Свежее
Моя лента
Сообщения
Рейтинг
Курсы
Темы
Маркетинг
Сервисы
AI
Личный опыт
Деньги
Инвестиции
Право
Карьера
Путешествия
Крипто
Показать все
vc.ru
О проекте
Правила
Реклама
Приложения
Кибериспытание
Карьера

Самый кибербезопасный топ-менеджер: кто такой CISO и какую пользу даёт бизнесу

По данным Positive Technologies, за первые три квартала 2024 года число кибератак на российский бизнес почти сравнялось с показателями за весь 2022 год. Несмотря на рост угроз, 80% российских компаний системно не занимаются укреплением IT-инфраструктуры.

Но ситуация постепенно меняется. Бизнес всё чаще понимает, что ответственный за кибербезопасность специалист должен входить в состав топ-менеджмента. В статье расскажем, какую роль в компании играет директор по информационной безопасности.

Кто такой CISO и зачем он бизнесу

Чем занимается CISO

Кто может взять роль CISO на практике: как делают на Западе и в России

5 признаков того, что вашей компании нужен CISO

Выводы: какую пользу CISO может принести бизнесу

Кто такой CISO и зачем он бизнесу

Директор по информационной безопасности или CISO (Chief Information Security Officer) — это топ-руководитель, который отвечает за разработку и реализацию стратегии кибербезопасности компании.

CISO часто считают техническим специалистом, который занимается защитой бизнеса от хакерских атак. Но его возможности шире:

Повышает киберустойчивость бизнеса — то есть способность противостоять критическим цифровым угрозам. CISO должен построить устойчивую к внешнему воздействию систему кибербезопасности, а если инцидент все же случается — адекватно отреагировать и сократить убытки. При этом система безопасности должна соответствовать требованиям законодательства и регуляторов.

Киберриски растут с каждым годом, и CISO становится больше

Согласно прогнозу Gartner, к 2026 году 70% советов директоров будут включать специалиста по кибербезопасности. А 10% крупных предприятий внедрят программу «нулевой терпимости» к киберрискам: сегодня она есть у менее 1% компаний.

Участвует в достижении бизнес-целей. Киберустойчивость позволяет компании расти и получать результаты.

В идеале развитие киберустойчивости компании начинается с определения недопустимых событий. Для одной компании это кража со счетов суммы более 100 млн ₽, для другой — нарушение логистики на 72 часа или остановка электронных каналов продаж более чем на сутки.

Узнать больше о недопустимых событиях

Мы уже рассказывали о разных примерах недопустимых событий в статье про Киберстрахование — взгляните.

Вместе с топ-менеджментом CISO должен сформулировать эти события. А затем построить защиту. Определение недопустимых событий помогает задать рамку и не тратить ресурсы впустую: невозможно уберечься от всех угроз, но стоит защититься от критических.

Последствия кибератак на российские компании в 1-3 кварталах 2024 года. Источник: Positive Technologies
Последствия кибератак на российские компании в 1-3 кварталах 2024 года. Источник: Positive Technologies

Учитывает реальный уровень киберустойчивости и цифровизации бизнеса. Это помогает выбрать стратегию, которая одновременно охватывает ресурсы, риски и бизнес-цели. А если цели идут вразрез с критериями безопасности — CISO может предложить компромиссные решения по их корректировке. Таким образом, он выступает бизнес-партнёром, голос которого влияет на принятие решений.

Подытожим

CISO разбирается в технической стороне киберзащиты. Он также может перевести эти знания на язык бизнеса и донести до топ-менеджмента возможные последствия угроз, обозначить недопустимые события и перевести их в критерии кибербезопасности. Это идеальный вариант взаимодействия CISO и топ-менеджмента, к которому стоит стремиться.

CISO — связующее звено между регуляторами, системой кибербезопасности и топ-менеджментом
CISO — связующее звено между регуляторами, системой кибербезопасности и топ-менеджментом

Чем занимается CISO

Спустимся на уровень ниже и обсудим, какие обязанности могут быть у CISO. Они отличаются в разных компаниях, но основные направления такие:

  • Совместно с IT-подразделением укрепляет инфраструктурную безопасность — делает цифровую инфраструктуру компании и связанные с ней процессы более безопасными. Сюда входит техническая сторона защиты: фаерволы, антивирусные программы, программы обнаружения вторжений и другое.
  • Выстраивает продуктовую безопасность — процессы, связанные с безопасной разработкой и выпуском IT-продуктов с меньшим количеством уязвимостей.
  • Управляет центром реагирования на киберинциденты — это подразделение следит за состоянием защиты, обнаруживает и устраняет угрозы.
  • Контролирует, чтобы уровень кибербезопасности соответствовал требованиям закона и регуляторов.
  • Формирует культуру безопасности внутри компании. Руководит командой специалистов по кибербезопасности, отвечает за их обучение, развитие и мотивацию.
  • Выстраивает сотрудничество с другими отделами: например, IT, юридическим и финансовым.

При этом для построения эффективной защиты CISO может опираться не только на свою команду, но и на внешние ресурсы. Например, кибериспытания, которые помогают объективно оценить уровень киберзрелости компании. Они хоть и создают дополнительную операционную нагрузку, зато позволяют CISO аргументированно общаться с топ-менеджментом и защитить бизнес от критических рисков.

Кто может взять роль CISO на практике: как делают на Западе и в России

Найти сильного специалиста на рынке не так просто: например, в России найм CISO в штат в среднем занимает от 4 до 6 месяцев. И эта картина общая для мира.

На Западе проблему чаще всего решают привлечением внешнего консультанта на частичную ставку, его называют vCISO (v — virtual, то есть виртуальный). Обычно он подчиняется CEO компании-заказчика. А если приходит в дочернюю компанию, то может подчиняться IT-директору или руководителю безопасности всей группы.

В России отдавать информационную безопасность на аутсорсинг зачастую опасаются. В некоторых компаниях функции CISO берёт на себя IT-директор или CIO (Chief Information Officer). Но всё же эти роли лучше разделять. У IT-директора много своих задач, а киберугрозы с каждым годом становятся всё масштабней и сложнее — чтобы держать руку на пульсе, нужны отдельные компетенции.

В идеале CISO и CIO — разные люди, но работают в связке

Например, у компании есть цель: обеспечить доступность веб-приложения и защиту данных клиентов. CIO создаёт отказоустойчивую инфраструктуру, а CISO защищает её от взлома. При этом он не обязательно напрямую подчиняется IT-директору: для эффективной работы CISO важно быть независимым.

Подход к информационной безопасности постепенно меняется. Раньше преобладала «ограничительная безопасность» — когда создаются регламенты, запрещающие разным подразделениям компании что-то делать. В небольших организациях этот подход популярен до сих пор: он дешевле и проще.

Крупный бизнес всё чаще использует стратегию «кибербез с человеческим лицом» — когда отдел информационной безопасности помогает другим подразделением внедрять практики и технологии, которые сделают их работу и продукты безопасными. Гибридный вариант, сочетающий оба этих подхода, тоже часто используют.

5 признаков того, что вашей компании нужен CISO

Вы работаете в строго регулируемой отрасли. Указ Президента № 250 от 1 мая 2022 года предписал большинству российских компаний создать подразделения информационной безопасности. С 1 января 2025 года им будет запрещено пользоваться средствами защиты информации из недружественных стран. Требования регуляторов ужесточаются: похоже, крупным организациям не обойтись без CISO.

У вас или конкурентов произошёл киберинцидент. Проблема не только в краже персональных данных и репутационных рисках. Хакеры могут похитить деньги, нарушить логистику или вывести из строя всю цифровую инфраструктуру бизнеса.

Так, в марте 2022 года сбой в работе сайта и приложения крупного маркетплейса нанёс ущерб в 1,3 млрд ₽. Даже небольшие сигналы о сбое в системе могут сигнализировать о возможных проблемах.

Динамика доли утечек информации и нарушения основной деятельности в результате успешных кибератак на российские компании в 1-3 кварталах 2024 года. Источник: Positive Technologies
Динамика доли утечек информации и нарушения основной деятельности в результате успешных кибератак на российские компании в 1-3 кварталах 2024 года. Источник: Positive Technologies

Вы хотите быть готовыми к будущим угрозам. По сведениям Коммерсанта, хакеры стали чаще атаковать российский бизнес за вознаграждение, а не по политическим мотивам. На август 2024-го таких атак было 44%, против 10% годом ранее. Стоимость взлома инфраструктуры крупной российской организации для похищения данных на теневых форумах оценивают в $2–3 тыс.

Компания сильно полагается на цифровые сервисы. Бизнесу не обязательно заниматься IT, чтобы быть в группе риска. Хакеры могут взломать компанию даже через партнёрские сервисы.

Инвесторы или клиенты опасаются за безопасность. Работа CISO может внушить доверие корпоративным покупателям.

Выводы: какую пользу CISO может принести бизнесу

Директор по информационной безопасности должен защитить компанию от потенциальных хакерских атак. Но что не менее важно: он может сделать систему киберзащиты прозрачной и понятной для топ-менеджмента.

Объективно оценить уровень защищённости и объяснить угрозы на языке бизнеса. CEO важно понимать, насколько защищена компания, в том числе относительно других участников рынка.

Но существуют ли объективные метрики? Мы считаем, что да: оценить уровень защиты можно с помощью кибериспытаний. Они помогут CISO увидеть потенциальные угрозы и предотвратить их.

Выстроить надёжную защиту, которая будет отвечать требованиям закона и целям компании. Нынешний уровень цифровизации, автоматизация процессов, интернет вещей требуют от IT-директора и CEO другого уровня подготовки и обученности в вопросах информационной безопасности. Эти задачи можно делегировать CISO.

Сэкономить деньги. Построение защиты может оказаться банально дешевле, чем стоимость издержек, которые понесет бизнес, если злоумышленники нанесут ущерб компании, клиентам и партнёрам.

Роль CISO эволюционирует: раньше он занимался техническими вопросами, а теперь его задача — обеспечить развитие бизнеса, но с необходимым уровнем безопасности.

4
Начать дискуссию