путь ветеранов Адаптация: путь ветеранов
ТопФінанс-2022 ТопФинанс-2024
Бизнес работает Бизнес работает
Категория
IT и Телеком
Дата публикации

Как подобрать компетентного CISO: где искать, как оценивать, какие обязанности возложить

Фото: Taskin Ashiq/Unsplash
Фото: Taskin Ashiq/Unsplash
CISO — это директор по информационной безопасности, который должен обеспечивать связь целей бизнеса и задач обеспечения его кибербезопасности

Генеральный директор осуществляет общее руководство, финансовый директор руководит финансами, IT-директор обеспечивает работоспособность информационных систем и их развитие. Кто ответственен за вопрос кибербезопасности? Ведь если нет ответственного за решение определенной задачи — добиться ее решения очень сложно.

Во всем мире уже довольно давно существует выделенная роль ведущего менеджера по информационной безопасности — CISO (Chief Information Security Officer). Что это за должность?  

CISO отличается от "начальника отдела ИБ", в первую очередь тем, что это менеджер верхнего звена и должен мыслить категориями бизнеса, а не прикладных средств для решения узкопрофильных задач, таких как борьба с вирусами, фильтрация доступа в Интернет и других подобных.

CISO — это директор по информационной безопасности, который должен обеспечивать связь целей бизнеса и задач обеспечения его кибербезопасности. Вся деятельность CISO должна быть направлена на обеспечение непрерывности бизнеса и создание условий его стабильного прогнозируемого развития.

На CISO целесообразно возложить такие основные группы задач:

  • Постоянное взаимодействие с высшим руководством (возможно и с владельцами) для обеспечения согласованного понимания целей и задач бизнеса и целей и задач обеспечения его кибербезопасности;
  • Формирование стратегии обеспечения кибербезопасности в разрезе целей, которые преследует бизнес;
  • Организация процессов анализа и управления рисками кибербезопасности в рамках всего бизнеса.

"Уровень ответственности у CISO куда больше, чем у типичного "начальника отдела ИБ". Соответственно, требования к кандидату на такую должность тоже будут существенно отличаться. Здесь не будет идти речь о наличии "сертификатов о прохождении курсов повышения квалификации", основным требованием должна являться способность одновременно понимать язык бизнеса, язык технических специалистов и "уметь переводить", — считает  специалист и технический директор компании "Октава Киберзахист" Алексей Швачка. 

Конечно, найти такого человека — непростая задача. Однако, здесь стоит напомнить, что у каждого профильного руководителя в организации есть свои собственные показатели успешности (как принято говорить — КРІ) и все, что идет "довеском" к ним реализуется по остаточному принципу. Соответственно, если бизнес дорос до понимания необходимости решения задач обеспечения кибербезопасности, то и задачу подбора квалифицированного кандидата на должность CISO решить тоже придется.

Автор:
Артур Заёнц