Главный специалист по информационной безопасности

Организационно-исполнительная роль

Директор по информационной безопасности (CISO) — это руководитель высшего звена в организации , ответственный за разработку и поддержание видения, стратегии и программы предприятия для обеспечения адекватной защиты информационных активов и технологий. Директор по информационной безопасности руководит персоналом в выявлении, разработке, внедрении и поддержании процессов на предприятии для снижения рисков, связанных с информацией и информационными технологиями (ИТ). Они реагируют на инциденты, устанавливают соответствующие стандарты и меры контроля, управляют технологиями безопасности и руководят разработкой и внедрением политик и процедур. Директор по информационной безопасности также обычно отвечает за соответствие информации (например, контролирует реализацию сертификации ISO/IEC 27001 для организации или ее части). Директор по информационной безопасности также отвечает за защиту частной информации и активов компании, включая данные клиентов и потребителей. Директор по информационной безопасности работает с другими руководителями, чтобы обеспечить ответственный и этичный рост компании.

Обычно влияние директора по информационной безопасности распространяется на всю организацию. Обязанности могут включать, помимо прочего:

• Группа реагирования на компьютерные чрезвычайные ситуации /Группа реагирования на инциденты компьютерной безопасности
• Информационная безопасность
• Аварийное восстановление и управление непрерывностью бизнеса
• Управление идентификацией и доступом
• Конфиденциальность информации
• Соответствие нормативным требованиям в отношении информации (например, PCI DSS США , FISMA , GLBA , HIPAA ; Закон Великобритании о защите данных 1998 года ; Канада PIPEDA , GDPR Европы )
• Управление информационными рисками
• Информационная безопасность и обеспечение информации
• Операционный центр информационной безопасности (ISOC)
• Информационные технологии контроля финансовых и других систем
• ИТ-расследования, цифровая криминалистика , обнаружение электронных данных

Наличие директора по информационной безопасности или аналогичной функции в организациях стало стандартной практикой в ​​бизнесе, правительстве и некоммерческих организациях. К 2009 году примерно в 85% крупных организаций был руководитель службы безопасности, по сравнению с 56% в 2008 году и 43% в ^{2006 году .} В 2018 году исследование глобального состояния информационной безопасности 2018 (GSISS), совместное исследование, проведенное директорами по информационным технологиям, директорами по безопасности и PwC, ^{[1] [2]} пришло к выводу, что 85% предприятий имеют директора по информационной безопасности или эквивалентные им. Роль директора по информационной безопасности расширилась и теперь включает риски, возникающие в бизнес-процессах , информационной безопасности, конфиденциальности клиентов и т. д. В результате сейчас наблюдается тенденция к отказу от включения функции директора по информационной безопасности в ИТ-группу. В 2019 году только 24% директоров по информационной безопасности подчиняются директору по информационным технологиям (CIO), 40% подчиняются непосредственно главному исполнительному директору (CEO), а 27% подчиняются генеральному директору и подчиняются совету директоров. Включение функции директора по информационной безопасности в структуру отчетности директора по информационным технологиям считается неоптимальным, поскольку существует вероятность конфликта интересов и поскольку обязанности этой роли выходят за рамки обязанностей ИТ-группы. Структура отчетности директора по информационной безопасности может варьироваться в зависимости от размера организации, отрасли, нормативной базы и профиля рисков. Однако важность информационной безопасности в современном бизнесе повысила роль директора по информационной безопасности до должности старшего уровня. ^[3]

В корпорациях тенденция такова, что директора по информационной безопасности имеют сильный баланс деловой хватки и технологических знаний. Директора по информационной безопасности часто пользуются большим спросом, а их вознаграждение сопоставимо с другими должностями высшего уровня, которые также имеют аналогичную корпоративную должность .

Типичный директор по информационной безопасности имеет нетехнические сертификаты (например, CISSP и CISM ), хотя директор по информационной безопасности с техническим образованием будет обладать расширенным набором технических навыков. Другое типичное обучение включает в себя управление проектами для управления программой информационной безопасности, финансовый менеджмент (например, наличие аккредитованной степени MBA) для управления бюджетами информационной безопасности, а также мягкие навыки для управления разнородными командами менеджеров по информационной безопасности, директоров по информационной безопасности, аналитиков безопасности, инженеров безопасности. и менеджеры по технологическим рискам. В последнее время, учитывая участие директора по информационной безопасности в вопросах конфиденциальности, очень востребованы такие сертификаты, как CIPP .

Недавним событием в этой области стало появление «виртуальных» CISO (vCISO, также называемых «частичным CISO»). ^{[4] [5]} Эти директора по информационной безопасности работают на совместной или дробной основе для организаций, которые могут быть недостаточно большими, чтобы содержать штатного исполнительного директора по информационной безопасности, или которые по ряду причин могут пожелать иметь специализированного внешнего руководителя. выполняя эту роль. vCISO обычно выполняют те же функции, что и традиционные CISO, а также могут выступать в качестве «временного» CISO, в то время как компания, обычно использующая традиционного CISO, ищет замену. ^[6] Ключевые области, в которых vCISO могут поддерживать организацию, включают:

• Консультирование по всем формам киберрисков и планам их устранения: vCISO могут оценить риски кибербезопасности организации, разработать стратегии по снижению этих рисков и реализовать соответствующие меры кибербезопасности. Они также могут предоставить рекомендации по планам реагирования на инциденты, обеспечению непрерывности бизнеса и планированию аварийного восстановления.
• Коучинг совета директоров, руководства и группы безопасности. vCISO могут тесно сотрудничать с советом директоров, управленческой командой и командой безопасности, обеспечивая обучение, рекомендации и экспертные знания по вопросам кибербезопасности. Это включает в себя помощь организациям в понимании стратегических последствий рисков кибербезопасности, разработку политик и процедур кибербезопасности, а также обеспечение соблюдения передовых методов кибербезопасности.
• Оценка и выбор продуктов и услуг поставщиков: vCISO могут помочь организациям в оценке и выборе продуктов и услуг кибербезопасности, таких как межсетевые экраны, системы обнаружения вторжений, а также решения для управления информацией о безопасности и событиями (SIEM). Они также могут помочь в переговорах по контрактам и управлении поставщиками, чтобы гарантировать, что организации получают максимальную отдачу от своих инвестиций в кибербезопасность.
• Моделирование зрелости операций и процессов, возможностей и навыков команды инженеров: vCISO могут оценить уровень зрелости кибербезопасности организации и разработать планы по улучшению процессов, возможностей и навыков команд эксплуатации и инженеров. Это включает в себя проведение оценок кибербезопасности, внедрение механизмов кибербезопасности, а также предоставление программ обучения и развития персонала.
• Брифинги и обновления для совета директоров и руководства: vCISO могут предоставлять совету директоров и руководству регулярные брифинги и обновленную информацию о текущей ситуации в области кибербезопасности, возникающих угрозах и передовом опыте. Они также могут помочь в разработке программ повышения осведомленности о кибербезопасности и обучении сотрудников на всех уровнях организации.
• Планирование и анализ операционных и капитальных бюджетов: vCISO могут помочь в планировании и проверке операционных и капитальных бюджетов, связанных с кибербезопасностью. Это включает в себя выявление и определение приоритетности инвестиций в кибербезопасность, разработку экономически эффективных стратегий кибербезопасности и обеспечение выделения адекватных ресурсов для устранения рисков кибербезопасности.

Смотрите также

• Информационная безопасность
  • Управление информационной безопасностью
  • Управление информационной безопасностью
• совет директоров
• Главный специалист по данным
• Директор компании
• Руководитель информационной службы
• Главный риск-менеджер
• Главный офицер безопасности

Рекомендации

1. «Обследование глобального состояния информационной безопасности в 2018 году» . ИДГ . 08.12.2017 . Проверено 17 августа 2021 г.
2. Фрулингер, Джош (12 июня 2018 г.). «Имеет ли значение, кому подчиняется директор по информационной безопасности?». ПрайсуотерхаусКуперс . Архивировано из оригинала 4 апреля 2019 г. Проверено 17 августа 2021 г.{{cite web}}: CS1 maint: unfit URL (link)
3. Хаугли, Брайан (6 января 2024 г.). «Варианты структуры отчетности CISO» . Проверено 18 февраля 2024 г.
4. Дроле, Мишель (1 апреля 2015 г.). «Защитите свое будущее с помощью виртуального директора по информационной безопасности». Журнал ИнфоБезопасность . Проверено 17 августа 2021 г.
5. Хаугли, Брайан (22 августа 2022 г.). «Что такое vCISO? Опыт, политика и программы, необходимые в области кибербезопасности». YouTube . Проверено 18 февраля 2024 г.
6. Хаугли, Брайан (7 октября 2023 г.). «Что такое vCISO и как его нанять?» . Проверено 7 октября 2023 г.

Внешние ссылки

• «Подразделение CERT». Институт программной инженерии Университета Карнеги-Меллона . Проверено 17 августа 2021 г.
• «Управление рисками информационной безопасности: организация, миссия и взгляд на информационную систему». НИСТ . Март 2011 года . Проверено 17 августа 2021 г.
• КБ кибербезопасности