Компании используют стратегию найма виртуального директора по информационной безопасности/кибербезопасности (vCISO) для решения задач, связанных с ролью CISO, вместо того, чтобы нанимать его внутрь компании.
Кто такой виртуальный директор по информационной безопасности/кибербезопасности (vCISO)?
vCISO - эксперт по кибербезопасности, который использует свой многолетний опыт, чтобы помочь компаниям разработать и управлять внедрением программы кибербезопасности. На верхнем уровне vCISO помогают разработать стратегию безопасности компании, а некоторые помогают ее внедрять. Внутренняя команда безопасности может выступать заказчиком услуги vCISO, или подчиняться vCISO, или работать с ним и его командой над внедрением программы безопасности. Кроме того, vCISO презентует состояние кибербезопасности компании совету директоров, исполнительному комитету, аудиторам или представителям регуляторов.
vCISO приносят пользу компаниям, так как помогают улучшить кибербезопасность, реализовывая следующие компоненты программы:
- Разработка долгосрочной программы развития кибербезопасности компании.
- Управление программой проектов или отдельными проектами кибербезопасности.
- Проведение внешних и внутренних аудитов, тестов на проникновение с использованием активных и пассивных методов оценки.
- Внедрение процесса управления и методики оценки стоимости рисков кибербезопасности.
- Создание подразделения кибербезопасности, поиск и найм экспертов.
- Создание документационной системы, разработка верхнеуровневых и низкоуровневых документов по кибербезопасности.
- Разработка программы повышение осведомленности, проведение тренингов и обучающих семинаров по кибербезопасности.
- Внедрение процесса управления инцидентами, проведение расследований инцидентов кибербезопасности.
- Обеспечение соответствия корпоративным, отраслевым и законодательным требованиям в области кибербезопасности.
Почему виртуальные CISO становятся популярными?
Идея виртуального CISO востребована в компаниях по нескольким причинам:
- Спрос на CISO — Кибербезопасность востребована в компаниях так как количество кибератак, утечек данных и сложность атак растет. Компаниям, которые внедряют комплексный набор средств контроля и технологий, необходим CISO. Используя услугу виртуального CISO компании быстро заполняет позицию CISO, без поиска кандидатов на рынке труда.
- CISO стоят дорого — по информации сайта HH.ru, зарплата среднего CISO 200-500 тысяч рублей в месяц. Практически каждая компания нуждается в CISO, но не каждая из них может себе позволить. Нанимая виртуального CISO компании избегают расходов на наем CISO в штат, оплачивают только услуги и время.
- Большинство vCISO опытнее — vCISO реализовывают программы кибербезопасности для компаний разных размеров из разных отраслей, что дает им получить разносторонний опыт.
- vCISO могут находиться где угодно — vCISO работает как консультант из любой точки мира, таким образом компании расширяют географию поиска, увеличивают воронку кандидатов, избегают ограничений локального рынка труда и не оплачивают расходы на релокацию кандидата.
- Оплата за результат — vCISO это подрядчик, который будет выполнять задачи на основе согласованного объема работ. Таким образом, вы платите за результат, который вы ожидаете.
Примеры использования vCISO
Преимущества выбора между vCISO и штатным CISO не всегда очевидны. Поэтому позвольте представить список из нескольких сценариев, когда vCISO будет отличным выбором:
- Поиск нового штатного CISO — Увольнение из компании действующего CISO часто несвоевременное и неожиданное событие и ставит под угрозу реализовать вовремя и с запланированными метриками программу кибербезопасности. Опытный виртуальный CISO может быстро подключиться к команде, провести анализ текущей стратегии и состояния кибербезопасности и помочь в найме, отборе и переходе на постоянную работу будущего штатного CISO.
- Создание комплексной программы кибербезопасности для малой или средней компании — Опытный штатный CISO на полный день дорог для компаний малого и среднего бизнеса. vCISO работает неполный рабочий день, имея опыт уровня enterprise разработает всестороннюю программу кибербезопасности, которую компания не смогла бы разработать если бы рассчитывала только на штатного CISO.
- Создание программы соответствия — Компании часто сталкиваются с новыми для них требованиями по кибербезопасности от регулятора или отраслевого стандарта, у них нет экспертизы по тому как организовать защиту компании в соответствии c ними, какие политики необходимо разработать и как организовать процессы. vCISO, специализирующийся на конкретном нормативном регулировании, может помочь разработать стратегию и план выполнения, отвечающие конкретным требованиям — требования Центрального Банка для финтех компаний и компаний банковского сектора, ФЗ-187 для компаний владельцев критической инфраструктуры, ФЗ-152 для компаний обрабатывающих персональные данные.
- Оптимизация расходов на кибербезопасность — То, что компания делала 6 месяцев назад для защиты от киберрисков, сегодня, уже не так эффективно. vCISO может помочь компаниям любого размера, взглянув на текущий бюджет, на то, как он расходуется, определить способы рационального расходования средств для создания экономически обоснованной киебребзопасности компании.
Кому стоит задуматься о найме виртуального CISO?
Причины, которые дадут некоторое представление о том, подходит ли компании виртуальный CISO:
- Компания располагает чувствительной информацией — Сегодня это применительно к каждой компании, независимо от размера, отрасли и уровня автоматизации. Вопрос заключается в том, достаточно ли серьезно компания относится к защите своих данных и ИТ инфраструктуры, готова она нанять эксперта для разработки и внедрения программы, чтобы обеспечить безопасность и сохранность ценных данных?
- У компании ограниченный бюджет — Те компании, которые ограничены в бюджете, рекомендуется использовать услугу vCISO. Стоимость vCISO оценивается в 30-40% от стоимости штатного CISO.
- У компании есть конкретные потребности в кибербезопасности — Возможно, что у компании нет задач для CISO на полный рабочий день, а она хочет решить несколько конкретных задач. К ним относятся разработка необходимых политик кибербезопасности, помощь в классификации данных, проекты по внедрению систем и процессов кибербезопасности, проведение оценки рисков и многое другое. Если задача заключается не в разработке и внедрении комплексной программы кибербезопасности, а только в отдельной части, vCISO - идеальный выбор.
- Компания требует специфических навыков — Не каждый CISO обладает одинаковым набором опыта, знаний, отраслевых компетенций и т.д. Это затрудняет поиск подходящего CISO. Решается эта задача наймом vCISO с компетенциями, которых нет в компании.
CISO или vCISO: кого из них выбрать?
Давайте начнем с одной основополагающей истины: если в компании есть ценная и конфиденциальная информация, вам необходима программа кибербезопасности в той или иной форме. А это значит, что вам нужен человек, стоящий у руля, который будет двигать программу вперед и управлять видением, стратегией и реализацией для достижения целей кибербезопасности компании. Вопрос о том, кого нанять - CISO или vCISO - в действительности сводится к стратегии компании (например, компании нужен кто-то долгосрочный, работающий только на вашу компанию, поэтому CISO - правильный выбор).
Если нет уверенности в правильности выбора, советуем начать с виртуального CISO, чтобы заложить основу и выяснить, есть ли внутренняя поддержка со стороны руководства или совета директоров для внедрения надлежащей программы кибербезопасности, а затем, при необходимости, работать над наймом штатного CISO для завершения работы.