BI.ZONE vCISO: опытный ИБ-руководитель с командой экспертов на аутсорсе

Любой компании требуется построение системы информационной безопасности, соответствующей уровню актуальных для нее киберугроз. При этом очевидно, что каждая организация обладает собственным набором чувствительной информации, перечнем критичных систем и приоритетных рисков, бюджетом и штатом специалистов ИБ. Нехватка кадров в этой области ощущается всё больше. В ответ на это BI.ZONE запускает сервис vCISO – услугу внешнего директора ИБ, с возможностью дополнительного привлечения команды профильных специалистов. Разбираемся в подробностях сервиса с экспертами BI.ZONE.

Многие компании разного масштаба сталкиваются с дефицитом квалифицированных кадров как в сфере ИТ, так и, в частности, в направлении кибербезопасности. По данным аналитиков, в России не хватает как минимум 100 тысяч специалистов ИБ (оценка Сбербанка, декабрь 2022), а всего два года назад эта цифра была в пять раз меньше – 20 тысяч. Причем это мировая тенденция: нехватка кадров на глобальном рынке ИБ составляет около 3,4 миллионов человек (оценка Cybersecurity Workforce Study, 2022).

Среди дефицитных позиций – как эксперты, которые занимаются консалтингом и вопросами соответствия законодательству, так и технические специалисты: инженеры, архитекторы и т. д. В большинстве случаев контроль над всеми защищаемыми ресурсами должен осуществлять компетентный топ-менеджер – директор по информационной безопасности (Chief information security officer, CISO), обладающий большим опытом. Кандидата на эту роль найти еще более сложно. В среднем в России подбор CISO в штат занимает от 4 до 6 месяцев.

 

 

BI.ZONE vCISO – ответ на нехватку управленцев в ИБ

«Дефицит кадров в ИБ возник в связи с большим количеством проектов, которые сейчас запустились, с учетом импортозамещения, развития новых систем, миграции на новые продукты. Для этого необходимо обеспечить кибербезопасность всех этих процессов, разработать комплекс организационно-технических мер, спланировать бюджеты. Компаниям нужен эксперт, который понимает всю специфику этого, у которого есть опыт и понимание того, как помочь бизнесу правильно выстроить стратегию с учетом всех аспектов кибербезопасности», – комментирует эксперт vCISO и архитектор решений в BI.ZONE Сергей Панин.

В ответ на этот вызов компания BI.ZONE в марте 2023 года запустила сервис BI.ZONE vCISO, который позволяет заказчику оперативно привлечь дополнительные ресурсы для комплексной киберзащиты и решения актуальных задач ИБ.

vCISO (внешний, или выделенный директор по ИБ) – это устоявшийся термин, который появился на Западе и постепенно входит в обиход в России и странах СНГ. vCISO может решить широкий спектр задач: помочь компании разобраться в вопросах кибербезопасности, наладить взаимодействие классической триады «люди-процессы-технологии», разработать стратегию развития ИБ, настроить взаимодействие команды ИБ с бизнесом и в целом – выстроить комплексную систему защиты от киберугроз у клиента.

 

 

«vCISO это менеджерская роль, он общается напрямую с руководством компании, с руководителями связанных подразделений – например ИТ, юридического департамента. Когда vCISO приходит в организацию, ему важно понять, как компания работает, чем она живет. На первых порах он именно погружается в бизнес-цели, бизнес-стратегию, проводит совещания, на которых совместно разбирается то, как выстроить защиту параллельно с текущими бизнес-процессами, чтобы безопасность не мешала компании зарабатывать деньги, а бизнес функционировал непрерывно», – добавляет владелец сервиса BI.ZONE vCISO Андрей Быков.

Структура сервиса BI.ZONE vCISO

Сервис BI.ZONE vCISO состоит из трех основных компонентов: эксперта уровня CISO, команды прикладных специалистов vOffice и средства автоматизации BI.ZONE Compliance Platform.

 

 

Эксперт уровня CISO – ядро сервиса. Это профессионал, который занимается управлением безопасностью, выстраиванием стратегии, приносит с собой колоссальный индустриальный опыт. Внешний CISO действует с позиции топ-менеджера: определяет этапы развития системы кибербезопасности, оценивает ее современное состояние и целевые показатели, перекладывает это в бюджеты, согласовывает их с руководством, интегрирует безопасность в существующие бизнес-процессы и бизнес-стратегию, занимается контролем процессов кибербезопасности, взаимодействует с регуляторами.

 

 

Прикладные разнопрофильные специалисты vOffice, подключаемые к проекту опционально, являются помощниками vCISO, находящимися под его управлением. Их задача – оперативно решить поставленную vCISO задачу. Они могут закрыть любой вопрос, связанный с кибербезопасностью, – начиная с обеспечения соответствия требованиям 152-ФЗ и заканчивая проектированием архитектуры кибербезопасности, внедрением средств защиты, их настройкой и сопровождением. В команде существуют также специалисты, которые помогут оперативно отреагировать на возможные инциденты, разобраться в проблеме, минимизировать последствия атаки, подготовить необходимые материалы для отчета.

 

 

Средство автоматизации BI.ZONE Compliance Platform – собственный продукт BI.ZONE, который помогает автоматизировать и оптимизировать рутинные процессы, снизить нагрузку на персонал и сформировать понятные, четкие метрики эффективности для руководства, доступные в режиме реального или близкого к реальному времени.

«BI.ZONE vCISO закрывает все задачи, связанные с безопасностью компании, на уровне полноценного подразделения кибербезопасности: начиная от управления и заканчивая прикладными задачами по настройке средств защиты, их сопровождению, мониторингу событий, разработке документов и т. д. При этом еще раз подчеркну, что без эксперта, стратега в роли vCISO этого сервиса в принципе существовать не может», – поясняет Андрей Быков.

Для кого предназначен сервис BI.ZONE vCISO

Специалисты BI.ZONE выделяют три типа компаний, которым подходит новый сервис.

Первый сценарий: в компании отсутствует директор по безопасности, а вопросами ИБ занимается ИТ-подразделение. Это довольно частая ситуация для быстрорастущих организаций: в процессе развития бизнеса компания может наладить процессы ИТ, запустить собственный бизнес-сервис, но безопасность оставить на перспективу. В таком случае BI.ZONE vCISO помогает правильно выстроить процессы ИБ «с нуля», подготовить стратегию и оперативно решить ключевые задачи, чтобы впоследствии двигаться по сформированному плану.

 

 

Второй сценарий: существует группа компаний с CISO в головной организации, который руководит подразделениями безопасности в дочерних организациях. Здесь vCISO может взять на себя управление безопасностью в дочерних организациях, подчиняясь непосредственно CISO головной организации, выстраивая вертикаль безопасности в единой прозрачной структуре.

Третий сценарий: у компании есть CISO, который справляется с задачами, но ей необходимо оперативно реализовать какой-то масштабный проект, построить какой-то процесс. В таком случае vCISO, при возможном участии vOffice, поможет в этом, а в дальнейшем будет подключаться при необходимости для донастройки и поддержки, синхронизируя свои действия с штатным CISO.

«Когда подбирается команда ИБ, у заказчика, как правило, есть понимание того, в какое направление он хочет больше углубиться: это может быть организационная или техническая составляющая, может быть универсальная команда. У нас есть и специалисты-универсалы, и менеджеры, и технические специалисты. До того, как стартует сервис, заказчик смотрит наше резюме, проводятся собеседования. Важен не только опыт конкретного человека, но и то, насколько люди подходят друг другу. Если есть понимание, установлен контакт, то в дальнейшем уже определяется пул работ и реализуется данная услуга. Таким образом – мы стремимся к универсальности, но всегда есть заточенность на определенном направлении vCISO», – поясняет Сергей Панин.

«В нашей команде несколько специалистов, которые выполняют роль vCISO, и они разбиты на группы по прикладным знаниям: кто-то больше технарь, кто-то – «рисковик», кто-то – за комплаенс. Но существует и отраслевая специфика: есть сотрудники, которые работали в кредитных организациях, в промышленности. Поэтому, когда мы предоставляем конечному заказчику резюме, он сам выбирает и понимает, что ему нужно», – добавляет Андрей Быков.

Рабочие стадии сервиса и преимущества BI.ZONE vCISO

«Жизненный цикл» vCISO у заказчика состоит из нескольких этапов, которые могут проходить последовательно, но в большинстве случаев накладываются друг на друга. При размещении vCISO в компании его первоочередная задача – разобраться с тем, что происходит на текущий момент, понять цели и задачи, бизнес потребности, бизнес-стратегию, ИТ-стратегию, на основе этого сформировать стратегию безопасности, выстроить доверительные отношения с руководством компании и со смежными подразделениями.

 

 

После этого vCISO начинает заниматься погружением в детали: как сейчас реализованы процессы ИБ, какие технологии и средства защиты используются и так далее. По этим данным формируется подробная дорожная карта для реализации стратегии ИБ, ее шаги перекладываются на бюджет, согласовываются с руководством.

Далее следует длительная, поэтапная практическая работа: построение системы ИБ и процессов, внедрение средств защиты, их настройка, сопровождение. Для этих задач может активно использоваться команда vOffice, а также внутренние специалисты организации.

Последним начинается этап определения метрик эффективности, которые помогают понять, правильно ли движется компания к достижению намеченных целей, а в случае отклонения – скорректировать подходы.

Отвечая на вопрос журналиста ICT-Online.ru, эксперты BI.ZONE уточнили, сколько времени требуется vCISO, чтобы первоначально погрузиться во все нюансы деятельности компании-клиента. Срок зависит от типа и размера компании, специфики ее деятельности, количества информационных систем, количества контрагентов, а также от внешних факторов, с которыми сталкивается организация. В целом этот процесс может занимать от месяца до трех.

Таким образом, в рамках услуги BI.ZONE vCISO специалист уровня CISO, обладающий огромным опытом в области ИБ, может включиться в работу максимально быстро, а также без лишних формальных процедур привлечь дополнительных профильных экспертов, которые оперативно решат актуальные задачи клиента.

 

 

«Конечно, компания должна сама для себя понять, комфортно ли ей работать с vCICO, или более уместно нанять человека в штат. Но всегда при этом нужно опираться на несколько факторов. Во-первых, специалист, выполняющий роль директора по безопасности, должен подтвердить свой профессионализм резюме, опытом, сертификатами. Компания BI.ZONE известный игрок на рынке, обладает всеми необходимыми лицензиями для осуществления такой деятельности. Важнейший момент – ответственность. Все договоренности, SLA между нами и клиентами – детально прорабатываются и фиксируются», – подводит итог Андрей Быков.

 

Автор: Андрей Блинов.

Тематики: Интеграция, Безопасность

Ключевые слова: BI.ZONE