Исследование: Новые обязанности для нового CISO
 
2017/12/27 10:07:13

Директор по информационной безопасности
Chief Information Security Officer, CISO

По мере развития информационных технологий, роль руководителя по информационной безопасности предприятия (CISO, Chief Information Security Officer) меняется. Руководители компаний различных размеров стали лучше осознавать всю важность информационной безопасности, чем когда-либо ранее, и, следовательно, CISO все чаще стали присутствовать среди членов советов директоров предприятий. Новый бизнес-контекст в силу прорывных технологических разработок (например, Интернет вещей и развитие облаков), наряду с ростом уровня угроз, требует серьезных изменений от руководителей по безопасности, таких как соответствие бизнес-целей возможностям реагирования на потребности информационной безопасности. Хотя профиль руководителей по ИБ все еще остается техническим, его связь с бизнес-целями требует определенных способностей и более широкого видения бизнеса.

Содержание

Исследования

2017: Новые обязанности для нового CISO

С ростом числа кибератак и уровня опасности кражи конфиденциальных данных из компаний, работа нового CISO приобретает новую роль, ранее не встречающуюся. Согласно исследованию Ponemon Institute, 67% руководителей ИБ ответственны за разработку и внедрение стратегий и инициатив по безопасности своих компаний. Эта цифра показывает возрастающий уровень влияния, подтверждая, что CISO трансформируется из просто ответственного за свою ИТ-зону в ключевого советника для топ-менеджеров предприятия.

В вышеупомянутом исследовании 60% респондентов заявили, что их организация рассматривает безопасность как один из главных своих приоритетов. Способность предотвращать и реагировать на атаки в настоящее время имеет огромное значение для компаний, которые начинают ценить задачи CISO по повышению осведомленности об информационной безопасности среди других сотрудников предприятия и их адекватному обучению, а также инвестиции в инструменты ИБ для обнаружения потенциальных угроз.

Интеграция бизнеса и технологий, имеющие место во время цифровой революции, - это создание более сложных экосистем для компаний и их сотрудников, занимающихся вопросами безопасности. CISO теперь должен работать в соответствии с потребностями предприятия и преследовать те же цели, как и другие топ-менеджеры предприятия. 69% респондентов в исследовании Ponemon считают, что назначение директора по безопасности с корпоративной ответственностью является фундаментальным моментом для компании. CISO будущего должен отчитываться о своей деятельности внутри организации, рассчитывать бюджет и строго следовать в его рамках, а также реализовывать бизнес-тактики в соответствии с целями предприятия.

И давайте не будем забывать об их ответственности за обеспечение постоянной работы ИТ-сервисов в любое время, а также их ответственности за целостность корпоративных данных. Таким образом, новый CISO должен снижать неизбежный риск утечки данных, защищая конфиденциальность пользователей и клиентов, а также соответствуя всем законодательным требованиям[1].

Большинство сотрудников в сфере информационной безопасности имеют технический профиль, связанный с изучением компьютерных дисциплин. Это имеет смысл, принимая во внимание необходимость четкого понимания вопросов, связанных с программированием, и более эффективной работы со своими подопечными на техническом уровне. Однако CISO будущего должен иметь бизнес-видение и быть способным влиять на выбранное направление работы компании, обладая лидерскими качествами и навыками межличностного общения и стратегического развития. CISO будущего также должен уметь разрабатывать бизнес-планы и модели работы, способствующие развитию бренда предприятия, включая не только техническую сторону информационной безопасности, но также и ее существенную человеческую сторону.

CISO сделал свой серьезный путь в организации спустя годы, в течение которых его роль рассматривалась как второстепенная, так что такое признание должно приветствоваться экспертами по безопасности в качестве замечательной возможности. Такая эволюция, которая теперь требует объединения технических, юридических, нормативных и коммуникативных знаний, демонстрирует сдвиг в сторону глобальной экосистемы, которая гораздо больше признает всю важность информационной безопасности. Пришло время пересмотреть себя и признать, что традиционная ИТ-роль уже более не существует. А вы готовы стать CISO будущего?

2017: Члены правления не воспринимают ИБ как приоритетное направление развития

По данным исследования Fortinet, опубликованным в октябре 2017 года, в организациях по всему миру, штат которых насчитывает более 250 сотрудников, почти половина ИТ-руководителей полагает, что руководящий состав организаций не уделяет надлежащего внимания вопросу обеспечения информационной безопасности, несмотря на происходящие резонансные кибератаки. Тем не менее, многие ИТ-специалисты убеждены, что переход к облаку, являющийся одним из этапов процесса корпоративной цифровой трансформации, приведет к тому, что обеспечение безопасности станет приоритетным направлением.

Обеспечение ИБ — пока не приоритет

По данным Fortinet, 48% ИТ-руководителей полагают, что ИТ-безопасность пока не входит в число вопросов, стоящих на повестке дня совета директоров. Тем не менее, это не влияет на бюджет: в 61% организаций расходы на обеспечение безопасности составляют более 10% ИТ-бюджета. Это достаточно высокий показатель. 71% опрошенных респондентов сообщили об увеличении выделенного на обеспечение ИТ-безопасности бюджета по сравнению с 2016 годом. При этом ИТ-руководители убеждены, что информационная безопасность должна войти в число приоритетных задач в сфере управления. По мнению 77% респондентов, ИТ-безопасность должна стать предметом пристального внимания руководящего состава.

Факторы повышения приоритетности вопросов безопасности

Исследование позволило выявить три ключевых фактора, способствующих переходу информационной безопасности в разряд приоритетных направлений.

Рост количества нарушений безопасности и международных кибератак

За последние два года 85% организаций столкнулись с нарушениями безопасности. Наиболее распространенными технологиями атак (47% респондентов) стали вредоносное ПО и программы-вымогатели. 49% ИТ-руководителей заявили, что международные кибератаки, например WannaCry, привели к повышению приоритетности направления ИТ-безопасности. Сфера безопасности привлекает внимание руководящего состава в связи с такими факторами, как масштабность и направленность международных кибератак. Теперь вопросы безопасности обсуждаются не только в ИТ-отделах.

Повышение давления со стороны регулирующих структур

Как сообщили 34% респондентов, другим важным фактором, привлекающим внимание руководящего состава, является рост количества нормативных требований. Например, в скором времени на территории Европейского союза вступит в силу документ GDPR («Общие положения о защите данных»), предусматривающий существенные штрафы. Безусловно, эти тенденции представляют интерес для руководящего состава организаций.

Переход к облачным технологиям

Для многих организаций переход к облаку является частью процесса цифровой трансформации. 74% ИТ-руководителей выразили уверенность в том, что вопросы безопасности облака приобретают приоритетное значение. 77% респондентов также заявили, что обеспечение безопасности облака, наряду с вложениями в развитие поддерживающих эту функцию инфраструктур безопасности, становится задачей первостепенной важности для руководящего состава. В связи с этим половина опрошенных респондентов (50%) в течение ближайших 12 месяцев планируют инвестировать средства в обеспечение облачной безопасности.

Методология исследования

Глобальное исследование корпоративной безопасности Fortinet за 2017 год было проведено по заказу компании Fortinet независимой компанией Loudhouse, занимающейся анализом рынков. Целью исследования был анализ изменения взглядов на вопросы корпоративной безопасности в июле/августе 2017 года. В глобальном исследовании, ориентированном на ИТ-руководителей, в обязанности которых входит обеспечение ИТ-безопасности, принял участие 1801 анонимный респондент из 16 стран (США, Канада, Франция, Великобритания, Германия, Испания, Италия, Ближний Восток, ЮАР, Польша, Корея, Австралия, Сингапур, Индия, Гонконг, Индонезия). Респонденты, принявшие участие в интернет-анкетировании, не знали о целях спонсора исследования.

2012: Эволюция корпоративных служб информационной безопасности и их руководителей

Исследование IBM начала 2012 года показывает отчетливую эволюцию корпоративных служб информационной безопасности и их руководителей: происходит переход от исполнения функций технической поддержки к стратегическому управлению бизнесом – несмотря на то, что в настоящее время лишь один из четырех опрошенных директоров по ИБ играет стратегическую роль в своей компании.

В рамках первого исследования роли CISO центр IBM Center for Applied Insights опросил свыше 130 директоров по информационной безопасности и выявил три типа руководителей этой категории с точки зрения готовности к устранению уязвимостей защиты, а также общего уровня развития корпоративной системы безопасности. Тип директора по ИТ-безопасности, получивший название "Influencer" и представленный почти четвертой частью всех респондентов, характеризуется непосредственным влиянием на бизнес-стратегию компании. Руководители этой категории, как правило, показывали себя более уверенными и подготовленными, чем их коллеги, отнесенные к типам "Protector" (занимаются исключительно техническими и организационными вопросами информационной защиты) и "Responder" (несут ответственность за ИТ-безопасность, но не имеют влияния на принятие решений).

Всем директорам корпоративных служб безопасности приходится решать сложнейшую задачу по защите наиболее ценных активов компании – денег, данных о клиентах, интеллектуальной собственности и бренда. Почти две трети опрошенных CISO заявили о том, что за последние два года внимание к вопросам ИБ выросло: серии широкомасштабных атак и утечек конфиденциальной информации убеждают высший менеджмент компаний в ключевой роли безопасности на современном предприятии. Более половины респондентов сочли обеспечение мобильной безопасности самой приоритетной технической задачей в ближайшие два года. Почти две трети ожидают увеличения расходов на информационную безопасность в следующие два года, а 87% из них предполагают, что это рост будет выражаться двузначными цифрами.

Если раньше задача CISO заключалась в реагировании на случаи нарушения безопасности, то сегодня роль директора по безопасности меняется в направлении более разумного и всестороннего управления рисками – от «тушения пожаров» к их предотвращению. CISO, отнесенных к категории `Influencer` и отличающихся участием в стратегическом управлении, выделяют следующие характеристики:

  • Безопасность рассматривается как необходимое для бизнеса (а не только и не столько для технологий) условие, — Одной из главных особенностей лидирующих компаний является внимание ее руководителей и совета директоров к вопросам ИБ. Безопасность в таких организациях является не случайной темой совещаний, а их неотъемлемой частью, и во все большей степени становится элементом корпоративной культуры. Так, 60% организаций из числа передовых сообщили, что вопросы безопасности обсуждаются их советами директоров на постоянной основе – в сравнении с лишь 22% из группы менее «продвинутых» в информационной защите организаций. Прогрессивные руководители осознают необходимость более полной информированности о рисках, и поэтому они гораздо больше сконцентрированы на образовательных инициативах, взаимодействии и распространении сведений об ИБ в масштабе предприятия. Дальновидные службы информационной безопасности нередко выступают за создание специального комитета по управлению безопасностью для реализации системного подхода к вопросам ИБ, охватывающего правовые и финансовые аспекты, бизнес-операции и кадровые ресурсы предприятия. В 68% из опрошенных передовых организаций уже действуют подобные комитеты по управлению рисками — в сравнении с 26% из группы менее развитых в вопросах безопасности компаний.
  • Оценка достигнутых результатов и принятие решений на основе данных — Как показало исследование, 59% опрошенных компаний из категории лидирующих (по сравнению с 26% из группы менее продвинутых организаций) используют типовые системы показателей для анализа эффективности мер по укреплению информационной безопасности. Более продвинутую в отношении рисков ИБ культуру могут помочь сформировать отслеживание уровня осведомленности и компетентности персонала, его способности справляться с будущими угрозами, а также интеграция новых технологий. Наряду с этим, автоматизированный мониторинг стандартизованных показателей позволяет CISO сосредоточиться на более общих системных рисках.
  • Разделение бюджетной ответственности с руководителями высшего звена — Исследование показало, что в большинстве организаций бюджет службы информационной безопасности обычно контролируют главные директора по информационным технологиям (CIO). Однако в организациях с самым высоким рейтингом успешности управление инвестициями чаще осуществляется при участии бизнес-руководителей. В наиболее передовых организациях главные исполнительные директора (CEO) в точно такой же степени занимаются вопросами бюджета службы информационной безопасности, как и ИТ-директора. У менее прогрессивных организаций зачастую вообще отсутствует источник финансирования ИБ в виде отдельной статьи бюджета, что свидетельствует о менее дальновидном, фрагментарном подходе к обеспечению безопасности. Согласно результатам исследования, у 71% опрошенных лидирующих организаций (по сравнению с 27% из группы менее прогрессивных организаций) есть отдельная статья бюджета на поддержку информационной безопасности.

«Результаты исследования свидетельствуют о появлении нового класса CISO, которые участвуют в разработке стратегии компании, добиваясь упреждающего и комплексного подхода к вопросам информационной безопасности, — подчеркнул Дэвид Джарвис (David Jarvis), автор отчета об исследовании и старший консультант IBM Center for Applied Insights. — Мы видим, что образ CISO постепенно приобретает свою функциональную завершенность, как это было с ролью CFO в 1970-х и CIO в 1980-х годах – спектр выполняемых ими задач включает все больше стратегических, а не технических вопросов. Эти изменения говорят о том, насколько для различных компаний возросла важность ИТ-безопасности».

Рекомендации по развитию стратегической роли руководителя по ИБ на предприятии

Создание более надежной и действенной системы информационной безопасности, по мнению IBM, невозможно без формирования CISO плана действий, соответствующего текущим возможностям и направленного на решение самых насущных задач. Отчет предлагает основанные на результатах исследования рекомендации по обеспечению развития корпоративной системы ИБ на основе текущего уровня ее развития.

Например, участники исследования, отнесенные к категории "Responder", могут выйти за рамки тактических задач, создав отдельную должность и функцию руководителя по информационной безопасности (наподобие CISO), собрав комитет по безопасности и рискам, оценивая достигнутые успехи в укреплении безопасности, а также автоматизируя рутинные операции по поддержке безопасности, чтобы выделить больше времени и ресурсов для внедрения инноваций в области безопасности.

«Обеспечение безопасности в современном мире цифровых коммуникаций связано с рядом новых проблем, но их решение может быть существенно упрощено благодаря внедрению инновационных методов и реализации более комплексного и всестороннего подхода, — отметил Марк ван Задельхоф (Marc van Zadelhoff), автор отчета и вице-президент подразделения IBM Security Systems по стратегии. — CISO, уделяющие этим вопросам больше внимания, могут значительно повысить эффективность бизнес-процессов и достичь ощутимых успехов в создании информированной, гибкой и хорошо подготовленной к будущим угрозам корпоративной культуры».

Место ИБ в целевой структуре

ИБ как часть корпоративной культуры

Смотрите также

Примечания