З кого спитати? Хто такі CISO і чому в Україні нікому відповідати за кібербезпеку

Business HReformation 2018
Налаштування
  • Дуже маленький Маленький Стандартний Збільшений Великий
  • Стандартний Helvetica Segoe Georgia Times

Олександр Кардаков, засновник компанії “Октава Кіберзахист”

Поговоримо про головне. Воєнний стан в Україні ознаменувався крім усього іншого ще й рекомендаціями від державних контролюючих структур посилити кібербезпеку.

Грамотні розпорядження — це, звичайно, добре. Але я вам скажу, що виконувати ці розпорядження нікому. В українському бізнесі практично немає профільних менеджерів, відповідальних за кібербезпеку. В Європі, наприклад, на підприємствах існує позиція Головного менеджера з інформаційної безпеки — CISO, або Chief Information Security Officer. В Україні ж таку посаду можна відшукати менш ніж у 5% компаній. Як я рахував? Запитав у кількох десятків колег і журналістів, що це за звір такий заморський — CISO. Відповіли насилу 5% опитаних. Всі знають, хто такий директор з безпеки або ІТ-директор. Але термін “CISO” для більшості звучить, радше, як лайка. На тому ж LinkedIn знайшов максимум 20 профілів українських фахівців, в яких згадується позиція CISO. І здебільшого такі фахівці “живуть” у міжнародних компаніях.

При цьому, ви здивуєтеся, професії CISO вже 20 років!

CISO — це головний менеджер з інформаційної безпеки, який має вплив на рівні топ-менеджменту і забезпечує зв’язок між двома задачами — забезпеченням кібербезпеки та досягненням цілей бізнесу. І так само, як ІТ-директор не повинен обмежуватися функціями “начальника над серверами”, так і CISO не має бути обмежений суто прикладними завданнями на рівні захисту

ІТ-інфраструктури. Вся діяльність CISO спрямована на забезпечення безперервності бізнесу, створення умов для його безпечного зростання. CISO зобов’язаний мислити категоріями рішення бізнес-задач, зрозуміло, в розрізі кібер- та інформаційної безпеки.

Наведу перелік основних функціональних обов’язків CISO:

  • визначення принципів інформаційної безпеки (ІБ) і побудова стратегії ІБ. Моніторинг внутрішніх і зовнішніх загроз ІБ;
  • використання системи ІБ на основі оцінки ризиків для даних і встановлення достатніх вимог для їхнього захисту;
  • управління ризиками ІБ у рамках діяльності всіх дирекцій компанії, включаючи напрямки ІТ, та корпоративної мережі;
  • розробка, моніторинг і звітність менеджменту за ключовими показниками ІБ;
  • впровадження системи контролю ІБ для кожного структурного підрозділу компанії;
  • розробка процедур, що визначають контроль за виконанням встановлених вимог;
  • розробка і моніторинг виконання процесів ІБ і безпеки ІТ для дотримання відповідного рівня конфіденційності даних;
  • впровадження процесу управління інцидентами ІБ для своєчасного виявлення і контролю порушень ІБ;
  • визначення та впровадження процесів безпеки ІТ, що забезпечують захист ІТ-активів;
  • забезпечення поінформованості про ІБ менеджерів і співробітників компанії.
  • Як бачите, відповідальність не меньша, ніж у керівника служби безпеки, і далеко не всім до снаги.
  • Водночас в усьому світі це стало стандартом. В Україні цей процес свого часу пішов — після пам’ятного всім вірусу “Пєтя”, а потім знову зійшов нанівець. У підсумку, зараз у нас нікого призначити відповідальним за кібер- та інформаційну безпеку.
  • Поки не пізно, треба виховувати кадри. Тоді буде і кому завдання поставити, і з кого спитати.
  • На питання, хто відповідальний за інформаційну безпеку, відповідь одна — CISO!