Понятия CIO — Chief Information Officer, директор по информационным технологиям и CISO — Chief Information Security Officer, директор по информационной безопасности, часто путают из-за того, что и тот и другой во многих организациях выполняют схожий набор задач.
Во многих российских компаниях ИТ директора зачастую выполняют часть или даже все (в зависимости от размеров организации) обязанности по обеспечению информационной безопасности. Связано это с тем, что часто в организациях нет соответствующих бюджетов для того, чтобы нанять отдельно CISO. И кроме того, часто инфобез в компаниях вырастает из обычного ИТ и логично, что именно CIO руководит всем, что связано с информационными технологиями, включая ИБ.
Но если рассматривать CIO и CISO как разных людей, то как правило, ИТ-директор обладает бОльшим опытом работы, он разрабатывает и внедряет всю ИТ-стратегию, контролирует весь ИТ-персонал и управляет бюджетами. Это означает, что он берет на себя ответственность за все программное и аппаратное обеспечение и инфраструктуру, включая обновление железа и софта, оптимизацию сети, а также за общее управление данными. Таким образом, ИТ-директор является более ответственной должностью, уделяющей больше внимания бизнесу в целом.
При этом, первоначальная должностная инструкция генерального директора, которая до сих пор используется во многих организациях, предусматривает обеспечение безопасности как физических, так и цифровых активов. Это может включать контроль доступа к корпоративным сайтам, наблюдение и взаимодействие с правоохранительными органами и внешними деловыми партнерами. Это также будет включать в себя управление персоналом службы безопасности. В некоторых случаях в обязанности руководителя службы безопасности CSO также входит обеспечение физической безопасности сотрудников, например, на заводах или в банках, включая процедуры обеспечения безопасности и планы реагирования на чрезвычайные ситуации.
Таким образом, в процесс обеспечения информационной безопасности в той или иной степени помимо CIO и CISO вовлечены также CSO и собственно генеральный директор организации.
Необходимые навыки и квалификация
CISO потребуется обладать широким спектром различных знаний и навыков. Поскольку это управленческая должность, такие навыки, как лидерство, коммуникация и стратегическое мышление, являются обязательными. А кроме того, руководителю ИБ обязательно нужен опыт работы в качестве технического специалиста по информационной безопасности.
Во многих западных компаниях довольно популярен тезис об “эффективном менеджере”. Грубо говоря это такой профессиональный управленец, который толком не работая на исполнительских должностях сразу начал чем-то руководить. Возможно, в каких-то отраслях такой подход будет работать, но и CISO и CIO должны в обязательном порядке иметь технический опыт, для того, чтобы понимать всю специфику работы систем ИБ и ИТ в целом. Так что эта работа требует высокого уровня технических знаний.
Что касается образования, то CISO должен иметь высшее в области компьютерных наук, информационных технологий, инженерии или кибербезопасности. Не обязательно получать специальность защита информации в вузе. Можно получить высшее техническое образование в вузе и затем пройти курсы гособразца по повышению квалификации в области информационной безопасности.
Кроме того, у CISO, как правило, есть и другие сертификаты, такие как сертификат специалиста по безопасности информационных систем, сертификат менеджера по информационной безопасности или сертификат аналитика по кибербезопасности. CISO также должны быть в курсе новых угроз и технических разработок по информационной безопасности.
Почему важно иметь CISO в компании
Всем компаниям, от крупнейших до самых маленьких, нужен кто-то, кто будет следить за безопасностью их данных. Однако размер организации, как правило, определяет, сколько сотрудников может быть привлечено к выполнению функций обеспечения безопасности и, следовательно, могут ли они позволить себе сохранить эту должность в качестве специалиста.
В случае, если бюджет позволяет нанять и CIO и CISO то важно правильно распределить обязанности между ИТ и ИБ руководством. Важно, чтобы руководитель по информационной безопасности подчинялся напрямую генеральному директору. Будет не очень хорошо, если CISO будет в подчинении CIO, или будет как-то существенно от него зависеть.
Для того, чтобы служба ИБ могла эффективно обеспечивать защиту ИТ систем, она должна в определенной степени следить за действиями в том числе и ИТ специалистов – инженеров и администраторов. Как правило, у безопасников своя серверная инфраструктура, которая размещается в отдельном серверном помещении. В том числе и по этим причинам CISO и CIO не должны друг другу подчиняться.
Также на западе небольшим компаниям, которые не могут позволить себе нанять CISO предлагают привлекать vCISO — внешнего консультанта или консалтинговую фирму, которая работает на компанию неполный рабочий день. Преимущество этого заключается в том, что vCISO, скорее всего, обладает более высоким уровнем знаний, чем компания могла бы себе позволить в противном случае. Некоторые типы организаций будут больше других нуждаться в специальном CISO: например, те, которые используют большие объемы данных, или те, где юридические и репутационные последствия нарушения будут особенно серьезными.
Однако, в России такой аутсорсинг мало где можно встретить, так как у нас руководители и собственники бизнеса не очень любят подпускать к корпоративным секретам сторонних специалистов и организации.
Как можно стать CISO
Из приведенного выше описания должностных обязанностей руководителя по информационной безопасности можно сделать некоторые выводы о том, какие требования выдвигаются к подобным специалистам. Это как наличие профильного образования и соответствующих сертификатов, так и практический опыт работы в качестве специалиста по ИБ.
Однако важно понимать, что это только начало: должность CISO очень далека от должности начального уровня. Большинство людей, переходящих на эту должность, будут иметь опыт работы в других ИТ-областях от пяти до десяти лет, будь то аналитик по безопасности, инженер по безопасности, сетевой администратор или сетевой архитектор. Также потребуется определенный уровень управленческого опыта. Это может означать получение должности менеджера по кибербезопасности, директора по безопасности или администратора безопасности, а в достаточно крупной организации — даже заместителя директора по информационным технологиям. Начинающие CISO должны стремиться получить как можно более широкий опыт - от управления и соблюдения нормативных требований до управления инцидентами. Конечно, должности CISO будет легче получить в небольших организациях.
Будущее должностей CISO
На протяжении десятилетий роль CISO неуклонно возрастала по мере распространения угроз кибербезопасности. В то же время регулирование конфиденциальности и безопасности данных становилось все более жестким. В России есть ряд законодательных актов регулирующих различные направления информационной безопасности. Это прежде всего ФЗ №152 О персональных данных и ФЗ №187 О защите критической инфраструктуры.
В связи с этим, для выполнения своих задач директора по информационным технологиям теперь чаще взаимодействуют напрямую с генеральным директором и берут на себя более широкий охват и повышенную ответственность, уделяя больше внимания стратегии. Согласно опросу Gartner, почти девять из десяти советов директоров рассматривают кибербезопасность как бизнес-риск, а не как технологический риск. Между тем, новые технологии, такие как облачные технологии, искусственный интеллект и Интернет вещей, постоянно несут с собой новые опасности и, следовательно, требуют новых стратегий борьбы с ними. В то же время переход к удаленной работе породил новые проблемы. И по мере расширения зоны действия программ-вымогателей растут и последствия сбоев в системе безопасности, особенно учитывая растущую распространенность атак программ-вымогателей.
Таким образом, CISO должен быть готов к тому, что придется оперативно реагировать на новые вызовы злоумышленников.
Заключение
Подводя итоги, хотелось бы отметить, что роль CISO заключается в том, что он отвечает за все аспекты политики информационной безопасности организации и требует наличия широкого спектра технических и управленческих навыков. А поскольку ландшафт угроз постоянно расширяется, его важность постоянно возрастает. У директора по информационным технологиям более широкий круг обязанностей, чем у CISO, при этом CIO отвечает за все ИТ-службы организации, а не только за вопросы безопасности, таким образом являясь главным по ИТ в организации.
В завершение приглашаем на ближайшие открытые уроки, которые пройдут в рамках курса «CISO / Директор по информационной безопасности»:
10 сентября: «Система управления информационной безопасностью». Записаться по ссылке
17 сентября: «Ожидания правления от CISO». Записаться по ссылке
Комментарии (2)
jh0ns0n
10.09.2024 16:14У директора по информационным технологиям более широкий круг обязанностей, чем у CISO, при этом CIO отвечает за все ИТ-службы организации, а не только за вопросы безопасности, таким образом являясь главным по ИТ в организации.
На этом информационная безопасность и заканчивается. В информационной безопасности всё таки главное безопасность. А уже потом информационная, которая не всегда с компьютерами связана.
Shaman_RSHU
Ну как бы CISO и тот, кто подпадает под Указ 250 - это немного разные роли. По У250 это больше похоже на зиц-председателя из двенадцати стульев: выполняй Ф187 - не шаг влево, шаг вправо. Оступился - понеси наказание. Минимум практической безопасности, максимум обкладывание бумажками.
CISO же стоит посередине между бизнесом, ИТ и безопасностью. Должен обладать навыками "перевода" на язык бизнеса актуальных для компании рисков ИБ, недопустимых событий. Уметь обомновывать и грамотно распределять выделяемый бюджет. Врятли большой опыт в QA, DEV и администрировании тут поможет. CISO обязан постоянно совершенствоваться, быть на пике знаний как тактик нападения, так и защиты.