Риски и угрозы кибербезопасности входят в тройку лидеров во всех отраслях. Зачастую компании сталкиваются с тем, что сотрудники по безопасности не могут в полной мере решить проблемы кибербезопасности. Это связано с нехваткой квалифицированных кадров на рынке, огромным количеством областей экспертизы, динамичным развитием отрасли кибербезопасности и другими факторами.
Чтобы идти в ногу с трендами развития информационной безопасности, компании стараются нанять руководителя в сфере кибербезопасности (Chief Information Security Officer, CISO), который досконально знает все компоненты отрасли и особенности индустрии. Часто такая вакансия приобретает значение «Универсальный специалист по безопасности», а описание обязанностей включает практически спектр задач и работ в сфере кибербезопасности:
- создание и управление стратегией кибербезопасности
- планирование и создание программы кибербезопасности
- управление рисками кибербезопасности
- мониторинг соответствия с законодательными нормами
- разработка документации
- повышение осведомленности сотрудников в информационной безопасности
- управление инцидентами кибербезопасности, руководство по реагированию
- мониторинг безопасности ИТ активов, физической, сетевой безопасности
- контроль и сопровождение внедрения программных и аппаратных средств обеспечения кибербезопасности
- другие требования, которые компании посчитали применимыми к CISO
Для соответствия такому описанию, человеку нужны навыки не только опытного руководителя и знание специфики конкретной индустрии, но и опыт написания документации, глубокие технические знания, знания в сфере построения и сопровождения комплексной системы управления кибербезопасностью. Естественно, таких специалистов крайне мало и стоимость их услуг очень высока.
Именно поэтому, для многих малых и средних бизнесов привлечение квалифицированного CISO в штат зачастую просто невозможно, либо нерентабельно. Но даже если компания может это себе позволить, они могут просто не найти нужного человека, несмотря на усилия и предлагаемые условия работы.
Именно поэтому набирает популярность CISO as a Service – услуга, которую предоставляют сертифицированные и квалифицированные эксперты в области информационной безопасности. Благодаря сегодняшним возможностям удаленной работы CISOaaS не будет отличаться от деятельности «локального» CISO, за исключением физического присутствия на постоянной основе.
Нанимая «виртуального» CISO, компания решает:
- проблему узкой профильности вакансии, получая экспертов с опытом во всех областях и на всех должностях (от менеджмента до технического специалиста)
- проблему распределения нагрузки: нет огромного количества задач на одном человеке – работа выполняется квалифицированной командой
- проблему единой точки знаний и отказа. Если штатный директор информационной безопасности компании выключается из работы – соответствующие процессы останавливаются и бизнес может понести убытки. С CISO as a Service исключается возможность недоступности экспертов.
- проблему высокой стоимости услуг – в зависимости от специфики бизнеса, CISOaaS может обойтись на 75% дешевле, чем сотрудник в штате.
- проблему необходимости дополнительных компетенций для реализации всех задач и процессов.
Аутсорсинг услуг информационной безопасности может касаться не только CISO, но и целой команды. Теперь, вместо поиска сотрудников для наполнения своей службы безопасности можно воспользоваться предложением «виртуальная команда кибербезопасности» — Virtual Cybersecurity Team.
Эксперты «виртуальной» команды берут на себя такие обязанности:
- мониторинг состояния кибербезопасности в компании
- поддержка процессов защиты данных, реагирования на определенный инциденты, управление угрозами и уязвимостями
- управление ИТ активами компании
- обеспечение соответствия с законодательством и международными стандартами безопасности (compliance)
- построение процессов управления киберрисками
- управление внутренними контролями информационной безопасности
- поддержка в создании и обновлении документации в сфере кибербезопасности
Virtual security team имеет ряд преимуществ перед штатной командой, потому что помогает избавиться от трудностей поиска кадров, затрат на зарплаты и повышение квалификации, затрат во время «простоя» команды.
Таким образом, если компания решает воспользоваться услугами виртуальных CISO или команды безопасности, она получает сертифицированных специалистов, которые выполняют всю необходимую работу в области информационной безопасности, и платит только за реальные трудозатраты. Это позволяет компании:
- получить необходимую экспертизу во всех областях, не нанимая большой штат узкоспециализированых сотрудников
- радикально снизить затраты. Компания платит только за то, что ей нужно, будь то совет специалиста по повышению квалификации нынешнего персонала или проведение технической оценки защищенности.
- снизить бизнес-риски. Найм ключевого сотрудника — это важное решение и серьезное вложение. Ошибка может стоить компании пятикратной зарплаты CISO. При правильном выборе поставщика услуг виртуальных CISO или команды, риск небольшой, так как можно выбрать оптимальный уровень обслуживания из ряда предложений и разорвать отношения в любой момент, если потребности не будут удовлетворены.
