Главный специалист по информационной безопасности

Организационная исполнительная роль

Директор по информационной безопасности (CISO) — это руководитель высшего звена в организации, отвечающий за разработку и поддержание видения, стратегии и программы предприятия для обеспечения надлежащей защиты информационных активов и технологий. Директор по информационной безопасности руководит персоналом в выявлении, разработке, внедрении и поддержании процессов на предприятии для снижения рисков, связанных с информацией и информационными технологиями (ИТ). Они реагируют на инциденты, устанавливают соответствующие стандарты и средства контроля, управляют технологиями безопасности и руководят разработкой и внедрением политик и процедур. Директор по информационной безопасности также обычно отвечает за соответствие требованиям, связанным с информацией (например, контролирует внедрение для получения сертификата ISO/IEC 27001 для организации или ее части). Директор по информационной безопасности также отвечает за защиту конфиденциальной информации и активов компании, включая данные клиентов и потребителей. Директор по информационной безопасности работает с другими руководителями, чтобы убедиться, что компания растет ответственным и этичным образом.

Обычно влияние CISO распространяется на всю организацию. Обязанности могут включать, но не ограничиваться:

• Группа реагирования на компьютерные чрезвычайные ситуации /группа реагирования на инциденты компьютерной безопасности
• Кибербезопасность
• Восстановление после сбоев и управление непрерывностью бизнеса
• Управление идентификацией и доступом
• Конфиденциальность информации
• Соответствие нормативным требованиям к информации (например, PCI DSS , FISMA , GLBA , HIPAA в США ; Закон Великобритании о защите данных 1998 г.; PIPEDA в Канаде , GDPR в Европе )
• Управление информационными рисками
• Информационная безопасность и обеспечение информации
• Центр операций по информационной безопасности (ISOC)
• Информационные технологии управления финансовыми и другими системами
• ИТ-расследования, цифровая криминалистика , eDiscovery

Наличие должности CISO или эквивалентной должности в организациях стало стандартной практикой в ​​бизнесе, правительстве и некоммерческих организациях. К 2009 году примерно 85% крупных организаций имели руководителя по безопасности, по сравнению с 56% в 2008 году и 43% в 2006 году ^{[ требуется ссылка ]} . В 2018 году Глобальное исследование состояния информационной безопасности 2018 (GSISS), совместное исследование, проведенное CIO, CSO и PwC, ^{[1] [2]} пришло к выводу, что 85% предприятий имеют должность CISO или эквивалентную должность. Роль CISO расширилась и теперь охватывает риски, связанные с бизнес-процессами , информационной безопасностью, конфиденциальностью клиентов и многим другим. В результате в настоящее время наблюдается тенденция больше не встраивать функцию CISO в ИТ-группу. В 2019 году только 24% CISO подчиняются директору по информационным технологиям (CIO), в то время как 40% подчиняются напрямую генеральному директору (CEO), а 27% обходят генерального директора и отчитываются перед советом директоров. Встраивание функции CISO в структуру отчетности CIO считается неоптимальным, поскольку существует вероятность конфликта интересов и поскольку обязанности этой роли выходят за рамки обязанностей ИТ-группы. Структура отчетности для CISO может различаться в зависимости от размера организации, отрасли, нормативно-правовой среды и профиля риска. Однако важность информационной безопасности в современном бизнесе подняла роль CISO до должности высшего уровня. ^[3]

В корпорациях тенденция такова, что у CISO есть сильный баланс деловой хватки и технологических знаний. CISO часто пользуются большим спросом, а компенсация сопоставима с другими должностями уровня C, которые также имеют схожее корпоративное название .

Типичный CISO имеет нетехнические сертификаты (например, CISSP и CISM ), хотя CISO, имеющий техническое образование, будет иметь расширенный набор технических навыков. Другое типичное обучение включает управление проектами для управления программой информационной безопасности, финансовый менеджмент (например, наличие аккредитованной степени MBA) для управления бюджетами информационной безопасности и навыки межличностного общения для руководства неоднородными командами менеджеров по информационной безопасности, директоров по информационной безопасности, аналитиков по безопасности, инженеров по безопасности и менеджеров по технологическим рискам. В последнее время, учитывая вовлеченность CISO в вопросы конфиденциальности, такие сертификаты, как CIPP, пользуются большим спросом.

Недавним достижением в этой области стало появление «виртуальных» CISO (vCISO, также называемых «частичными CISO»). ^{[4] [5]} Эти CISO работают на совместной или частичной основе для организаций, которые могут быть недостаточно большими, чтобы поддерживать постоянного исполнительного CISO, или которые могут по разным причинам захотеть иметь специализированного внешнего руководителя, выполняющего эту роль. vCISO обычно выполняют функции, аналогичные функциям традиционных CISO, и могут также выступать в качестве «временного» CISO, пока компания, обычно использующая традиционного CISO, ищет замену. ^[6] Ключевые области, в которых vCISO могут поддерживать организацию, включают:

• Консультирование по всем формам киберрисков и планам по их устранению: vCISO могут оценить риски кибербезопасности организации, разработать стратегии по снижению этих рисков и внедрить соответствующие меры кибербезопасности. Они также могут предоставить рекомендации по планам реагирования на инциденты, непрерывности бизнеса и планированию восстановления после сбоев.
• Совет директоров, команда менеджеров и команда по безопасности: vCISO могут тесно сотрудничать с советом директоров, командой менеджеров и командой по безопасности, чтобы предоставлять коучинг, руководство и экспертизу по вопросам кибербезопасности. Это включает помощь организациям в понимании стратегических последствий рисков кибербезопасности, разработку политик и процедур кибербезопасности и обеспечение соблюдения лучших практик кибербезопасности.
• Оценка и выбор продуктов и услуг поставщиков:vCISO могут помочь организациям в оценке и выборе продуктов и услуг кибербезопасности, таких как брандмауэры, системы обнаружения вторжений и решения по управлению информацией и событиями безопасности (SIEM). Они также могут помочь в переговорах по контрактам и управлении поставщиками, чтобы гарантировать, что организации получают максимальную выгоду от своих инвестиций в кибербезопасность.
• Моделирование зрелости операций и процессов инженерной команды, возможностей и навыков: vCISO могут оценить уровень зрелости кибербезопасности организации и разработать планы по улучшению процессов, возможностей и навыков операций и инженерных команд. Это включает проведение оценок кибербезопасности, внедрение фреймворков кибербезопасности и предоставление программ обучения и развития для персонала.
• Брифинги и обновления для совета директоров и руководства:vCISO могут предоставлять регулярные брифинги и обновления для совета директоров и руководства по текущему ландшафту кибербезопасности, новым угрозам и передовым практикам. Они также могут помочь в разработке программ повышения осведомленности о кибербезопасности и обучении сотрудников на всех уровнях организации.
• Планирование и обзор операционного и капитального бюджета:vCISOs могут помочь в планировании и обзоре операционных и капитальных бюджетов, связанных с кибербезопасностью. Это включает в себя определение и приоритизацию инвестиций в кибербезопасность, разработку экономически эффективных стратегий для кибербезопасности и обеспечение выделения достаточных ресурсов для устранения рисков кибербезопасности.

Смотрите также

• Информационная безопасность
  • Управление информационной безопасностью
  • Управление информационной безопасностью
• совет директоров
• Директор по данным
• Директор компании
• Директор по информационным технологиям
• Главный специалист по рискам
• Начальник службы безопасности

Ссылки

1. "Глобальное исследование состояния информационной безопасности 2018 года". IDG . 2017-12-08 . Получено 2021-08-17 .
2. Фрулингер, Джош (2018-06-12). «Имеет ли значение, кому подчиняется CISO?». PricewaterhouseCoopers . Архивировано из оригинала 2019-04-04 . Получено 2021-08-17 .{{cite web}}: CS1 maint: unfit URL (link)
3. Хаугли, Брайан (6 января 2024 г.). "Параметры структуры отчетности CISO" . Получено 18 февраля 2024 г.
4. Дролет, Мишель (1 апреля 2015 г.). «Защитите свое будущее с помощью виртуального CISO». Журнал InfoSecurity . Получено 17 августа 2021 г.
5. Хаугли, Брайан (22 августа 2022 г.). «Что такое vCISO? Опыт, политика и программы, необходимые в кибербезопасности». YouTube . Получено 18.02.2024 .
6. Хаугли, Брайан (7 октября 2023 г.). «Что такое vCISO и как его нанять?» . Получено 07.10.2023 .

Внешние ссылки

• "The CERT Division". Институт программной инженерии Университета Карнеги-Меллона . Получено 17 августа 2021 г.
• «Управление рисками информационной безопасности: организация, миссия и представление информационной системы». NIST . Март 2011 г. Получено 17 августа 2021 г.
• Кибербезопасность КБ