Масштаб кибератак диктует потребность в новых компетенциях при управлении компанией

Масштаб кибератак диктует потребность в новых компетенциях при управлении компанией


Предлагаемый материал можно рассматривать как продолжение статьи “ Топ-менеджмент и ИБ: дружба поневоле “, в которой я, в частности, сетовал на отсутствие прямого представителя службы информационной безопасности в руководстве компаний. Очевидным кандидатом на эту роль можно рассматривать Business Information Security Officer (BISO).

Как ИБ стать стратегическим партнёром бизнесу?

Основная цель процессов ИТ и ИБ в компаниях – предоставление бизнесу оптимальных сервисов по обоснованной цене с учётом сопутствующих рисков. Управление этими рисками даёт бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, риски ИТ и ИБ во многих компаниях часто оказываются вторичными по отношению к бизнес-целям.

Вот почему для некоторых крупных компаний директора по информационным технологиям (CIO) и директора по информационной безопасности (CISO) уже недостаточно. Нужен тот, кто умеет “продавать” топ-менеджменту идеальную модель безопасной компании - "деловой" директор по информационной безопасности - Business Information Security Officer. Он должен объединить стратегию кибербезопасности с бизнес-целями компании. Для этого BISO необходимо не только обладать высокой осведомленностью в ключевых технологических тенденциях ИТ и ИБ, но и разбираться в бизнес-процессах компании.


Ставка на покупку компетенции в лице BISO

Роль BISO в достижении стратегических целей бизнеса всё еще экзотика для российских компаний. Было бы ошибкой ожидать, что введение должности BISO волшебным образом улучшит качество управления компанией — скорее это приведёт к созданию ещё одного центра затрат и влияния. Даже в зрелых организациях роль BISO воспринимается по-разному. Где-то он призван обеспечить за короткое время реализацию инициатив в области безопасности с учетом бизнес-контекста компании. Где-то он лишь звено в иерархической структуре реагирования и управления рисками, призванное обеспечить глубокой экспертизой в технологиях безопасности для оказания влияния на убеждения и взгляды топ–менеджмента компании.

Управление кибербезопасностью должно соответствовать бизнес-целям, и поэтому со временем, вероятно, должность BISO будет появляться во всё большем числе крупных компаний, так как владельцы бизнеса уже осознали непредсказуемость наступления кибер-рисков и необратимость негативных последствий от них.

BISO может стать не только стратегическим активом компании. Эффективное управление рисками, основанное на глубоком понимании затрат на ИТ и ИБ, поможет BISO грамотно распределить инвестиции в средства защиты технологического стека и в целом повысить эффективность команд, отвечающих за информационную безопасность.

Теоретически можно выбрать сколько угодно путей повышения киберустойчивости компании. Задача BISO добиться правильного баланса и способствовать тому, чтобы мероприятия по ИБ не концентрировались исключительно только на технологических аспектах безопасного выполнения бизнес-процессов.

Полная версия статьи - скоро в журнале "Information Security/Информационная безопасность".

Alt text

Мы рассказываем о самых актуальных угрозах и событиях, которые оказывают влияние на обороноспособность стран, бизнес глобальных корпораций и безопасность пользователей по всему миру в нашем Yotube выпуске.

Валерий Естехин

Информационная безопасность глазами практикующего специалиста по ИБ (16+)