CISO as a Service или виртуальная команда по кибербезопасности

Риски и угрозы кибербезопасности входят в тройку лидеров во всех отраслях. Зачастую компании сталкиваются с тем, что сотрудники по безопасности не могут в полной мере решить проблемы кибербезопасности. Это связано с нехваткой квалифицированных кадров на рынке, огромным количеством областей экспертизы, динамичным развитием отрасли кибербезопасности и другими факторами.

Чтобы идти в ногу с трендами развития информационной безопасности, компании стараются нанять руководителя в сфере кибербезопасности (Chief Information Security Officer, CISO), который досконально знает все компоненты отрасли и особенности индустрии. Часто такая вакансия приобретает значение «Универсальный специалист по безопасности», а описание обязанностей включает практически спектр задач и работ в сфере кибербезопасности:

• создание и управление стратегией кибербезопасности
• планирование и создание программы кибербезопасности
• управление рисками кибербезопасности
• мониторинг соответствия с законодательными нормами
• разработка документации
• повышение осведомленности сотрудников в информационной безопасности
• Управление инцидентами кибербезопасности, руководство по реагированию
• Мониторинг безопасности ИТ активов, физической, сетевой безопасности
• Контроль и сопровождение внедрения программных и аппаратных средств обеспечения кибербезопасности
• Другие требования, которые компании посчитали применимыми к CISO

Для соответствия такому описанию, человеку нужны навыки не только опытного руководителя и знание специфики конкретной индустрии, но и опыт написания документации, глубокие технические знания, знания в сфере построения и сопровождения комплексной системы управления кибербезопасностью. Естественно, таких специалистов крайне мало и стоимость их услуг очень высока.

Именно поэтому, для многих малых и средних бизнесов привлечение квалифицированного CISO в штат зачастую просто невозможно, либо нерентабельно. Но даже если компания может это себе позволить, они могут просто не найти нужного человека, несмотря на усилия и предлагаемые условия работы.

Именно поэтому набирает популярность CISO as a Service – услуга, которую предоставляют сертифицированные и квалифицированные эксперты в области информационной безопасности. Благодаря сегодняшним возможностям удаленной работы CISOaaS не будет отличаться от деятельности «локального» CISO, за исключением физического присутствия на постоянной основе.

Нанимая «виртуального» CISO, компания решает:

• Проблему узкой профильности вакансии, получая экспертов с опытом во всех областях и на всех должностях (от менеджмента до технического специалиста)
• Проблему распределения нагрузки: нет огромного количества задач на одном человеке – работа выполняется квалифицированной командой
• Проблему единой точки знаний и отказа. Если штатный директор информационной безопасности компании выключается из работы – соответствующие процессы останавливаются и бизнес может понести убытки. С CISO as a Service исключается возможность недоступности экспертов.
• Проблему высокой стоимости услуг – в зависимости от специфики бизнеса, CISOaaS может обойтись на 75% дешевле, чем сотрудник в штате.
• Проблему необходимости дополнительных компетенций для реализации всех задач и процессов.

Аутсорсинг услуг информационной безопасности может касаться не только CISO, но и целой команды. Теперь, вместо поиска сотрудников для наполнения своей службы безопасности можно воспользоваться предложением «виртуальная команда кибербезопасности» — Virtual Cybersecurity Team.

Эксперты «виртуальной» команды берут на себя такие обязанности:

• Мониторинг состояния кибербезопасности в компании
• Поддержка процессов защиты данных, реагирования на определенный инциденты, управление угрозами и уязвимостями
• Управление ИТ активами компании
• Обеспечение соответствия с законодательством и международными стандартами безопасности (compliance)
• Построение процессов управления киберрисками
• Управление внутренними контролями информационной безопасности
• Поддержка в создании и обновлении документации в сфере кибербезопасности

Virtual security team имеет ряд преимуществ перед штатной командой, потому что помогает избавиться от трудностей поиска кадров, затрат на зарплаты и повышение квалификации, затрат во время «простоя» команды.

Таким образом, если компания решает воспользоваться услугами виртуальных CISO или команды безопасности, она получает сертифицированных специалистов, которые выполняют всю необходимую работу в области информационной безопасности, и платит только за реальные трудозатраты. Это позволяет компании:

1. Получить необходимую экспертизу во всех областях, не нанимая большой штат узкоспециализированых сотрудников
2. Радикально снизить затраты. Компания платит только за то, что ей нужно, будь то совет специалиста по повышению квалификации нынешнего персонала или проведение технической оценки защищенности.
3. Снизить бизнес-риски. Найм ключевого сотрудника — это важное решение и серьезное вложение. Ошибка может стоить компании пятикратной зарплаты CISO. При правильном выборе поставщика услуг виртуальных CISO или команды, риск небольшой, так как можно выбрать оптимальный уровень обслуживания из ряда предложений и разорвать отношения в любой момент, если потребности не будут удовлетворены.