Интересное

Виртуальный CISO. Что это и как поможет обеспечить устойчивость бизнеса в условиях дефицита кадров?

5 минут
Поделиться в соцсетях
Виртуальный CISO. Что это и как поможет обеспечить устойчивость бизнеса в условиях дефицита кадров?
BI.ZONEБезопасностьТехнологии

В 2022 году, по данным BI.ZONE, количество кибератак в России выросло в три раза. При этом в Минтруде отмечают, что каждый год дефицит специалистов в области информационной безопасности увеличивается на 18 000 человек, а 80% отечественных компаний заявили о нехватке таких сотрудников.

Чем выше квалификация, тем сложнее и дольше искать специалиста. Например, сегодня в России наём в штат CISO (Chief Information Security Officer, директор по кибербезопасности) в среднем занимает от 4 до 6 месяцев. Это общая для всех стран проблема, в мире её решают различными способами.

Потребность в квалифицированных специалистах по кибербезопасности возросла в связи с принятием указа Президента Российской Федерации № 250, по которому большинство российских компаний должны сформировать собственные подразделения информационной безопасности. Кроме того, необходимо больше специалистов для реализации проектов импортозамещения, развития новых систем и миграции на отечественные продукты.

Дефицит кадров

Источник: Минтруда, BI.ZONE

Одним из способов преодолеть дефицит экспертов по кибербезопасности являются специальные сервисы vCISO, которые называют также CISO-as-a-Service. Вместе с Андреем Быковым, владельцем сервиса BI.ZONE vCISO, разбираемся, что это такое, как они работают и какому бизнесу подходят.

Что такое vCISO

vCISO (Virtual Chief Information Security Officer) — директор по кибербезопасности компании, привлечённый в качестве стороннего эксперта топ-уровня. «Это ключевая управленческая роль, — подчёркивает Андрей Быков. — Он должен сформировать стратегию кибербезопасности, выстроить комплексную систему защиты, которая реализует положения, описанные в стратегии, и заниматься её дальнейшим развитием».

Эксперт отмечает, что, как правило, vCISO подчиняется высшему руководству компании-заказчика, однако ситуации могут быть разными. Если он, например, отвечает за кибербезопасность в дочерних компаниях, то может подчиняться ИТ-директору или директору по безопасности всего холдинга.

При этом сервис vCISO позволяет привлекать к работе над проектом не только эксперта топ-уровня, но и команду профильных специалистов. Сервис BI.ZONE состоит из трёх основных компонентов.

Эксперт уровня CISO. Топовый специалист по кибербезопасности с большим опытом в различных отраслях. Он выступает в роли ключевого менеджера и стратега и «приземляет» принципы кибербезопасности на реальные задачи и цели бизнеса. Он общается с руководством, государственными регуляторами, управляет командой технических специалистов, которая уже существует в компании, и подключает остальные подразделения в случае необходимости.

vOffice. Команда профильных специалистов, которые подключаются при необходимости и решают прикладные задачи. По сути, это целый отдел кибербезопасности, который закрывает любой вопрос, начиная от соответствия требованиям регуляторов и заканчивая проектированием архитектуры кибербезопасности, внедрением средств защиты, их настройкой, сопровождением и т. д.

Платформа для автоматизации. Инструмент, который оптимизирует рутинные процессы кибербезопасности и позволяет предоставлять необходимые метрики в понятной форме. В данном случае это BI.ZONE Compliance Platform.

Кому будет полезен такой сервис

По сути, потребность в таком сервисе может возникнуть у компании любых размеров. В качестве ограничения можно выделить, например, органы государственной власти, где есть жёсткие требования, что руководитель такого уровня обязательно должен быть в штате. Или маленькие компании, в большинстве из которых должность CISO просто не предусмотрена из-за масштабов бизнеса. Но и в этих случаях vCISO может подключаться в качестве временного проектного помощника на периодической основе.

В целом же можно выделить три типовые группы компаний, которым подходит такой сервис.

Компании без своего CISO. В них, как правило, вопросами кибербезопасности занимается ИТ-подразделение. Если такая компания растёт и запускает свои бизнес-сервисы, то ей приходится выстраивать кибербезопасность с нуля, а vCISO сможет полностью взять на себя эту задачу.

Группы компаний с CISO в головном офисе. Очень частая и стандартная ситуация для крупных холдингов с десятками и сотнями дочерних предприятий. В данном случае vCISO выступает в роли помощника и заместителя CISO из центрального офиса, помогает выстраивать кибербезопасность во всех дочерних организациях, систематизировать процессы и документацию и придерживаться единого подхода.

Компании с CISO, которым нужны дополнительные ресурсы. Чаще всего, такая потребность возникает при масштабировании или каких-то крупных внедрениях. Сейчас, например, многим компаниям необходимо до 2025 года полностью перейти на российское ПО. При этом сценарии vCISO реализует проект и в дальнейшем подключается при необходимости.

«Варианты сотрудничества могут быть самые разные, — объясняет Андрей Быков. — Например, мы уже сталкивались с такой ситуацией, когда vCISO должен был сформировать внутреннюю команду по кибербезопасности. В результате он остался на менеджерской роли, а его „руками“ были специалисты из штата. Есть гибридные модели, в которых эксперты из vOffice подключаются для отдельных прикладных задач, на которые у компании не хватает собственных ресурсов».

Как работает сервис

В BI.ZONE выделяют несколько ключевых этапов работы сервиса.

Размещение vCISO в компании. vCISO изучает текущие бизнес-процессы, определяет свою ответственность и полномочия, выстраивает доверительные коммуникации внутри компании.

Анализ состояния компании. Затем он погружается в детали: проводит аудит, изучает технологии и процессы, оценивает риски. В среднем два этих этапа занимают от 1 до 3 месяцев.

Создание дорожной карты. После этого vCISO совместно с руководством компании определяет стратегию, цели и задачи развития кибербезопасности. Получается подробный пошаговый план с понятными метриками, KPI и расходами на каждом этапе.

Практическая реализация задач. Это уже непосредственное внедрение систем защиты, их адаптация и настройка, интеграция с бизнес-процессами компании. Здесь чаще всего и нужны специалисты из vOffice. Как правило, это самый длительный этап.

Формирование метрик. После построения системы нужно измерять её эффективность, отслеживать метрики, в случае необходимости вносить корректировки и оптимизировать структуру.

Пример использования сервиса vCISO

Крупный холдинг приобрёл три предприятия, которые затем должны были войти в его структуру и стать дочерними. Необходимо было провести аудит кибербезопасности и оценить будущие вложения в её повышение до необходимого уровня, затем внедрить новую систему киберзащиты и назначить ответственного в каждой новой организации.

Применение сервиса vCISO в данном случае помогло на 30% оптимизировать бюджет за счёт привлечения одного эксперта vCISO и его команды вместо отдельного CISO для каждой организации. Это также позволило оперативно встроить безопасность во все бизнес- и ИТ-процессы компаний и повысить их общий уровень киберзрелости в соответствии с требованиями головной организации.

Сейчас государство много делает для того, чтобы российскому рынку хватало специалистов по кибербезопасности. Например, в отечественных вузах появились специализированные программы по кибербезопасности критической информационной инфраструктуры. Однако чаще всего такие меры являются стратегическими, а рынку нужны инструменты, которые могут решать сложные задачи здесь и сейчас, сервис vCISO является одним из них.

Самые важные кейсы лидеров бизнеса, мнения ведущих экспертов и тренды в отраслях экономики теперь всегда под рукой — подпишитесь на наш Telegram-канал.

BI.ZONEБезопасностьТехнологии

Поделиться в соцсетях

Статья была вам полезна?

Да

Нет