Генеральный директор осуществляет общее руководство, финансовый директор руководит финансами, IT-директор обеспечивает работоспособность информационных систем и их развитие. Кто ответственен за вопрос кибербезопасности? Ведь если нет ответственного за решение определенной задачи — добиться ее решения очень сложно.
Во всем мире уже довольно давно существует выделенная роль ведущего менеджера по информационной безопасности — CISO (Chief Information Security Officer). Что это за должность?
CISO отличается от "начальника отдела ИБ", в первую очередь тем, что это менеджер верхнего звена и должен мыслить категориями бизнеса, а не прикладных средств для решения узкопрофильных задач, таких как борьба с вирусами, фильтрация доступа в Интернет и других подобных.
CISO — это директор по информационной безопасности, который должен обеспечивать связь целей бизнеса и задач обеспечения его кибербезопасности. Вся деятельность CISO должна быть направлена на обеспечение непрерывности бизнеса и создание условий его стабильного прогнозируемого развития.
На CISO целесообразно возложить такие основные группы задач:
- Постоянное взаимодействие с высшим руководством (возможно и с владельцами) для обеспечения согласованного понимания целей и задач бизнеса и целей и задач обеспечения его кибербезопасности;
- Формирование стратегии обеспечения кибербезопасности в разрезе целей, которые преследует бизнес;
- Организация процессов анализа и управления рисками кибербезопасности в рамках всего бизнеса.
"Уровень ответственности у CISO куда больше, чем у типичного "начальника отдела ИБ". Соответственно, требования к кандидату на такую должность тоже будут существенно отличаться. Здесь не будет идти речь о наличии "сертификатов о прохождении курсов повышения квалификации", основным требованием должна являться способность одновременно понимать язык бизнеса, язык технических специалистов и "уметь переводить", — считает специалист и технический директор компании "Октава Киберзахист" Алексей Швачка.
Конечно, найти такого человека — непростая задача. Однако, здесь стоит напомнить, что у каждого профильного руководителя в организации есть свои собственные показатели успешности (как принято говорить — КРІ) и все, что идет "довеском" к ним реализуется по остаточному принципу. Соответственно, если бизнес дорос до понимания необходимости решения задач обеспечения кибербезопасности, то и задачу подбора квалифицированного кандидата на должность CISO решить тоже придется.
