Предлагаемый материал можно рассматривать как продолжение статьи “ Топ-менеджмент и ИБ: дружба поневоле“, в которой я, в частности, сетовал на отсутствие прямого представителя службы информационной безопасности в руководстве компаний. Очевидным кандидатом на эту роль можно рассматривать Business Information Security Officer (BISO).
Как ИБ стать стратегическим партнёром бизнесу?
Основная цель процессов ИТ и ИБ в компаниях – предоставление бизнесу оптимальных сервисов по обоснованной цене с учётом сопутствующих рисков. Управление этими рисками даёт бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, риски ИТ и ИБ во многих компаниях часто оказываются вторичными по отношению к бизнес-целям.
Вот почему для некоторых крупных компаний директора по информационным технологиям (CIO) и директора по информационной безопасности (CISO) уже недостаточно. Нужен тот, кто умеет “продавать” топ-менеджменту идеальную модель безопасной компании - "деловой" директор по информационной безопасности - Business Information Security Officer. Он должен объединить стратегию кибербезопасности с бизнес-целями компании. Для этого BISO необходимо не только обладать высокой осведомленностью в ключевых технологических тенденциях ИТ и ИБ, но и разбираться в бизнес-процессах компании.
Ставка на покупку компетенции в лице BISO
Роль BISO в достижении стратегических целей бизнеса всё еще экзотика для российских компаний. Было бы ошибкой ожидать, что введение должности BISO волшебным образом улучшит качество управления компанией — скорее это приведёт к созданию ещё одного центра затрат и влияния. Даже в зрелых организациях роль BISO воспринимается по-разному. Где-то он призван обеспечить за короткое время реализацию инициатив в области безопасности с учетом бизнес-контекста компании. Где-то он лишь звено в иерархической структуре реагирования и управления рисками, призванное обеспечить глубокой экспертизой в технологиях безопасности для оказания влияния на убеждения и взгляды топ–менеджмента компании.
Управление кибербезопасностью должно соответствовать бизнес-целям, и поэтому со временем, вероятно, должность BISO будет появляться во всё большем числе крупных компаний, так как владельцы бизнеса уже осознали непредсказуемость наступления кибер-рисков и необратимость негативных последствий от них.
BISO может стать не только стратегическим активом компании. Эффективное управление рисками, основанное на глубоком понимании затрат на ИТ и ИБ, поможет BISO грамотно распределить инвестиции в средства защиты технологического стека и в целом повысить эффективность команд, отвечающих за информационную безопасность.
Теоретически можно выбрать сколько угодно путей повышения киберустойчивости компании. Задача BISO добиться правильного баланса и способствовать тому, чтобы мероприятия по ИБ не концентрировались исключительно только на технологических аспектах безопасного выполнения бизнес-процессов.
Полная версия статьи - скоро в журнале "Information Security/Информационная безопасность".
