Как подобрать компетентного CISO: где искать, как оценивать, какие обязанности возложить

Генеральный директор осуществляет общее руководство, финансовый директор руководит финансами, IT-директор обеспечивает работоспособность информационных систем и их развитие. Кто ответственен за вопрос кибербезопасности? Ведь если нет ответственного за решение определенной задачи — добиться ее решения очень сложно.

Во всем мире уже довольно давно существует выделенная роль ведущего менеджера по информационной безопасности — CISO (Chief Information Security Officer). Что это за должность?

CISO отличается от "начальника отдела ИБ", в первую очередь тем, что это менеджер верхнего звена и должен мыслить категориями бизнеса, а не прикладных средств для решения узкопрофильных задач, таких как борьба с вирусами, фильтрация доступа в Интернет и других подобных.

Подпишитесь на канал DELO.UA

CISO — это директор по информационной безопасности, который должен обеспечивать связь целей бизнеса и задач обеспечения его кибербезопасности. Вся деятельность CISO должна быть направлена на обеспечение непрерывности бизнеса и создание условий его стабильного прогнозируемого развития.

Читайте также: Что такое центр управления кибербезопасностью (SOC) и зачем он нужен?

На CISO целесообразно возложить такие основные группы задач:

• Постоянное взаимодействие с высшим руководством (возможно и с владельцами) для обеспечения согласованного понимания целей и задач бизнеса и целей и задач обеспечения его кибербезопасности
• Формирование стратегии обеспечения кибербезопасности в разрезе целей, которые преследует бизнес
• Организация процессов анализа и управления рисками кибербезопасности в рамках всего бизнеса

"Уровень ответственности у CISO куда больше, чем у типичного "начальника отдела ИБ". Соответственно, требования к кандидату на такую должность тоже будут существенно отличаться. Здесь не будет идти речь о наличии "сертификатов о прохождении курсов повышения квалификации", основным требованием должна являться способность одновременно понимать язык бизнеса, язык технических специалистов и "уметь переводить", — считает специалист и технический директор компании "Октава Киберзахист" Алексей Швачка.

Конечно, найти такого человека — непростая задача. Однако, здесь стоит напомнить, что у каждого профильного руководителя в организации есть свои собственные показатели успешности (как принято говорить — КРІ) и все, что идет "довеском" к ним реализуется по остаточному принципу. Соответственно, если бизнес дорос до понимания необходимости решения задач обеспечения кибербезопасности, то и задачу подбора квалифицированного кандидата на должность CISO решить тоже придется.

Источник