Виртуальный CISO

 

Что такое виртуальный CISO (vCISO)?

 

Любая современная компания нуждается в защите информации, которая является конфиденциальной либо может представлять ценность для конкурентов или киберпреступников. Чтобы обеспечить защиту чувствительных и критических для бизнеса информационных активов и технологий, директор по информационной безопасности (CISO) должен разработать и поддерживать стратегию кибербезопасности компании, а также сопровождать проекты внедрения соответствующие информационных систем согласно данной стратегии.

Вместо того, чтобы нанимать CISO в штат, многие компании используют стратегию приобретения услуги виртуального директора по информационной безопасности (vCISO) для решения задач, связанных с ролью CISO.


Прежде всего vCISO – не один человек, это совокупность экспертов, использующих свой многолетний опыт, чтобы помочь компаниям эффективно и максимально быстро привести информационную безопасность в компании к необходимому уровню с учетом современных стандартов и актуальных угроз.

 

Если у компании есть своя команда специалистов по кибербезопасности, то она может или выступать непосредственным заказчиком услуги vCISO, или полностью подчиняться vCISO, или совместно работать с vCISO над реализацией конкретных проектов.

 

В зависимости от степени участия, vCISO может отчитываться совету директоров, аудиторам или представителям регуляторов о состоянии кибербезопасности компании.
 

 

Какие задачи решает vCISO?

 

В зону ответственности vCISO входит широкий спектр задач. Ниже приведены некоторые из них:
 

  • Создание и реализация на практике стратегии развития информационной безопасности.

  • Управление проектами информационной безопасности, в том числе проектами внедрения соответствующих информационных систем.

  • Организация проведения внешних и внутренних аудитов информационной безопасности, тестирования на проникновение.

  • Внедрение процесса управления и методики оценки стоимости рисков кибербезопасности.

  • Создание подразделения информационной безопасности, оказание экспертной поддержки при подборе персонала.

  • Приведение процессов к современным стандартам информационной безопасности.

  • Разработка нормативных документов по обеспечению информационной безопасности.

  • Организация проведения тренингов и обучающих семинаров по информационной безопасности среди персонала.

  • Организация проведения расследований инцидентов информационной безопасности.

  • Оптимизация расходов на кибербезопасность.
     

 

Чем vCISO лучше человека в штате? 


Во многих случаях использование vCISO сулит компании больше преимуществ, чем закрытие позиции CISO в штате. Например:

  • Найм кандидата. Количество профессиональных CISO на рынке ограничено, и рынок труда в этой области достаточно узкий и дефицитный, а если компании необходимо найти человека с необходимыми уровнем специфических компетенций, то сложность поиска и вовсе возрастает в разы. Вместе с тем, с возможностями vCISO компания не затрачивает никаких средств на найм, получая передовые практики в ИБ, просто заключив контракт на услугу.
  • Стоимость. Средняя зарплата CISO составляет сотни тысяч рублей в месяц без учета соц.пакета, обучения и аналогичных опций. Почти каждая компания нуждается в профессионализме CISO, однако далеко не каждая из них может себе это позволить. Воспользовавшись услугами vCISO, компании могут управлять своими расходами, оплачивая только реально предоставленные услуги и затраченное время, не считая стоимости и ценности экспертизы профессионалов, которые работают над их проектом.
  • Разносторонний опыт. vCISO аккумулируют богатый опыт сразу нескольких экспертов в области кибербезопасности, работающих с компаниями различного масштаба и сфер деятельности. Это позволяет им получить многогранное понимание современных вызовов информационной безопасности и выбирать только лучшие практики, которые апробированы.
  • Географическая доступность. vCISO выступают в роли консультантов, оперируя из любой точки мира. Это позволяет компаниям расширить географию поиска, избегая ограничений локального рынка труда и издержек на переезды.
  • Оплата за результат. vCISO действуют в соответствии с договором, выполняя задачи согласно предварительно обговоренному объему работ. Такой подход обеспечивает оплату за конкретные достигнутые результаты.
  • Легкость внедрения. vCISO – это та услуга, которую можно взять перед масштабным процессом перестройки и создания своего отдела ИБ, чтобы сформировать четкое понимание необходимых векторов развития.