1

CISO as a Service або віртуальна команда з кібербезпеки

Ризики та загрози кібербезпеки входять в трійку лідерів у всіх галузях діяльності. Часто компанії стикаються з тим, що власні співробітники не можуть в повній мірі віришити всі питання кібербезпеки. Це пов’язано з нестачею кваліфікованих кадрів на ринку, великою кількістю областей кібербезпеки, динамічним розвитком галузі кібербезпеки та іншими факторами.

Щоб іти в ногу із трендами розвитку інформаційної безпеки, компанії намагаються найняти в штат керівника в сфері кібербезпеки (Chief Information Security Officer, CISO), який достеменно знає усі компоненти галузі на особливості індустрії. Дуже часто така вакансія набуває значення «Універсальний спеціаліст в сфері безпеки», а опис обов’язків включає практично весь спектр задач і робіт в сфері кібербезпеки:

  • створення та управління стратегією кібербезпеки
  • планування та створення програми кібербезпеки
  • управління ризиками кібербезпеки
  • моніторинг відповідності законодавчим нормам
  • розробка документації
  • підвищення обізнаності співробітників в сфері інформаційної безпеки
  • управлення інцидентами безпеки та підготовка по реагуванню на них
  • моніторинг безпеки іт активів, фізичної та мережевої безпеки
  • контроля та супроводження впровадження програмних та апаратних засобів кібербезпеки
  • інші вимоги, що компанії вважають доцільними для ролі ciso

Щоб відповідати такому опису, людині потрібні навички не тільки досвідченого керівника і знання специфіки конкретної індустрії, але і досвід написання документації, глибокі технічні знання, знання в сфері створення і супроводження комплексної системи управління кібербезпекою. Звісно, таких спеціалістів вкрай мало і вартість послуг дуже висока.

Саме тому, для малого та середнього бізнесу залучення кваліфікованого CISO в штат може бути просто неможливим, або нерентабельним. Але, навіть, якщо компанія може собі це дозволити, вона може не знайти потрібну людину, не дивлячись на зусилля та пропоновані умови праці.

Через це набуває популярності CISO as a Service – послуга, яку надають сертифіковані та кваліфіковані експерти в сфері інформаційної безпеки. Завдяки сьогоднішнім можливостям віддаленої роботи CISOaaS не буде відрізнятися від діяльності «локального» CISO, за винятком фізичної присутності в офісі на постійній основі.

Залучаючи «віртуального» CISO компанія вирішує:

  • Проблему вузького профілю вакансії, отримуючи експертів із досвідом в багатьох сферах та на різних позиціях (від менеджменту до технічного спеціаліста)
  • Проблему розподілення навантаження: на одній людині не «висить» багато задач одночасно – робота виконується кваліфікованою командою
  • Проблему єдиної точки відмови та знань. Якщо штатний директор/менеджер виключається із роботи з будь-яких причин – відповідні процеси зупиняються, що може спричинити збитки для бізнесу. З CISO as a Service виключена можливість недоступності експертів
  • Проблему високої вартості послуг – в залежності від специфіки бізнесу, CISOaaS може коштувати до 75% дешевше, ніж співробітник в штаті
  • Проблему необхідності у додаткових компетенціях для реалізації усіх задач та процесів

Аутсорсинг послуг інформаційної безпеки може торкатися не тільки позиції CISO, а і команди в цілому. Тепер, замість пошуку співробітників для наповнення власної служби кібербезпеки, можна скористуватися пропозицією «віртуальна команда кібербезпеки» – Virtual Cybersecurity Team.

Експерти «віртуальної команди» беруть на себе наступні обов’язки:

  • моніторинг стану кібербезпеки в компанії
  • підтримка процесів захисту даних, реагування на певні інциденти, управління загрозами та вразливостями
  • управління іт активами компанії
  • забезпечення відповідності законодавчим нормам та міжнародним стандартам безпеки (compliance)
  • побудова і впровадження процесів управління кіберризиками
  • управління внутрішніми контролями інформаційної безпеки
  • підтримка в створенні і оновленні документації в сфері кібербезпеки

Virtual security team має набір переваг перед штатною командою, тому що допомагає позбутися труднощів у пошуку кадрів, витрат на заробітну платню і підвищення кваліфікації, витрат на час «простою» команди.

Таким чином, якщо компанія вирішує скористатися послугами віртуальних CISO або команди кібербезпеки, вона отримує сертифікованих спеціалістів, які виконують усю необхідну роботу в сфері інформаційної безпеки, а оплачує лише реальні трудовитрати. Це дозволяє компанії:

  1. Отримати необхідну експертизу у всіх областях, не наймаючи великий штат вузькопрофільних співробітників.
  2. Радикально знизити витрати. Компанія платить лише за те, що їй необхідно, неважливо, пораду спеціаліста по підвищенню обізнаності персоналу або проведення технічної оцінки захищеності.
  3. Знизити бізнес ризики. Прийом на роботу ключового співробітника – важливе рішення та серйозна інвестиція. Помилка може вартувати компанії багатократної зарплати CISO. При правильному виборі постачальника послуг віртуального CISO чи команди, ризик невеликий, так як можна вибрати оптимальний рівень обслуговування із пропонованих та розірвати відношення у будь-який момент, якщо це необхідно.

Related Posts

card__image

Data breaches and cyber attacks in May 2020 – up to 9 billion records

Вибачте цей текст доступний тільки на “Російська”. For the sake of viewer convenience, the content is shown below in the alternative language. You may click the link to switch the active language. Май 2020 запомнится нам не только ежедневными дождями, но и шквалом утечек данных и кибератак. 8 801 171 594, почти 9 миллиардов записей […]

card__image

Case Study: Online Fraud and Cyber Hygiene

Вибачте цей текст доступний тільки на “Англійська і “Російська”. For the sake of viewer convenience, the content is shown below in this site default language. You may click one of the links to switch the site language to another available language. What’s wrong? Recently Kateryna Kobernik, editor-in-chief of Ukrainian magazine “Babel”, ordered a tablet on […]

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *