Роль CISO и изменения на рынке ИТ-услуг в ближайшем будущем

Значимость роли CISO (Chief Information Security Officer, руководителя по ИБ) в течение последней пары лет росла. С одной стороны, руководители высшего звена осознали ее значимость. С другой, резко возросшее количество рисков ИБ определило необходимость наличия сильного CISO, который в период турбулентности может взять управление проблемами защиты информации на себя. Какая роль сегодня отводится руководителю по ИБ и как это отразится на трансформации рынка ИТ-услуг в ближайшем будущем, в данной статье расскажет Евгений Царев, управляющий RTM Group.

Еще некоторое время назад ИБ являлась частью ИТ, причем часто ее значимость определялась возможностью приобрести наборы стандартных решений, включающих в себя антивирусы, межсетевые экраны, системы мониторинга и т.д. Но с течением времени стало понятно, что ИТ и ИБ – далеко не одно и то же, подходы в них также отличаются. Если для системного администратора поднятый и функционирующий сервис – уже результат, то для специалиста по защите ощущение готовности сервиса возникает только тогда, когда он соответствует классической «триаде» информационной безопасности (конфиденциальность, целостность и доступность). Так и получается, что службы ИТ и ИБ легко находят общий язык, когда речь заходит о работоспособности (доступности) какой-то системы, а вот в том, что касается конфиденциальности и целостности, договориться сложнее.

В целом отрасль информационной безопасности стремится к систематизации, стандартизации и регулированию. Именно 2022 год показал, насколько важными и нужными являются эти характеристики. Во многом благодаря тому, что отрасль так жестко зарегулирована, в период санкционного давления российская экономика, социальная сфера не столкнулись с серьезными проблемами. А вместе с тем, проблемы с решениями информационной безопасности могут спровоцировать техногенные катастрофы, остановку финансового сектора и много что еще. За счет постоянного контроля за рынком ИБ была сформирована его принципиальная устойчивость.

Итак, одной из самых важных составляющих информационной безопасности является регуляция. Она в высокой степени определяет жизнь служб ИБ. И это еще больше разделяет специализации ИТ-директора и ИБ-директора.

По моим наблюдениям, наиболее эффективные CISO очень хорошо ориентируются не только в решениях по защите информации и регуляторике, но также ориентируются в правовых вопросах. Спектр таких вопросов очень широк. Начиная от знания судебной практики и наказаний за различные нарушения в области ИБ и заканчивая пониманием принципов регистрации прав на ПО и управление интеллектуальной собственностью предприятия. Люди с такой смешанной квалификацией дают своим компаниям гораздо больше ценности.

По итогу современный CISO представляет собой не инженера, который настраивает технические решения, а менеджера, обладающего глубокими профессиональными знаниями в области защиты информации, хорошо ориентирующегося в вопросах регуляции, разбирающегося в правовых вопросах и обладающего управленческим навыком и soft skills.

Очевидно, что людей с такой комбинацией знаний и навыков немного. При этом, в России в последнее время возник гигантский спрос на CISO, способных работать в высших органах корпоративного управления. Исходя из результатов исследования Ассоциации независимых директоров, среди главных факторов, от которых зависит устойчивость российских компаний, первое место занимает обеспечение кибербезопасности и нивелирование технологических рисков. Важно отметить, что данный опрос проходил среди независимых директоров еще до февраля 2022 года. Это ясно показывает, что ТОР-менеджмент крупных предприятий осознает влияние рисков, которыми управляют CISO, на бизнес своих компаний.

Принципиальная проблема заключается в том, что в России очень мало CISO, которые могут эффективно работать на уровне советов директоров. Большинство руководителей служб информационной безопасности обеспечивали, выполняли обеспечительную функцию на протяжении всей своей карьеры. В их задачу входили закупка и внедрение средств защиты информации, и выполнение регуляторных требований. Большинство CISO плохо ориентируется в системах корпоративного управления и не обладает опытом работы в высших органах управления. При этом потребность в таких специалистах очень высока, и еще больше выросла после введения нового санкционного режима. Например, невозможность покупки, казалось бы, привычных ИТ-продуктов вынуждает компании искать альтернативные варианты решения вопросов на уровне высшего руководства, потому что последствия таких решений могут быть очень серьезными. Именно поэтому советы директоров нуждаются в компетенциях CISO.

В дальнейшем эта тенденция будет только усиливаться. По оценкам аналитиков, в 2022 году более 70% организаций рассматривало ИБ как приоритетное направление. Особую роль в этом сыграл, конечно, новый указ Президента, в соответствии с которым на руководителей организаций возлагается персональная ответственность за обеспечение ИБ. Именно поэтому директора компаний в оперативном порядке стали проходить обучение ИБ, а CISO – расширять свои компетенции навыками управления.