Кто должен отвечать за кибербезопасность: собственный отдел ИБ или аутсорсинг?
При выборе исполнителей, ответственных за кибербезопасность, важно учитывать контекст
Информационная безопасность становится важной частью цифровой трансформации бизнеса. За прошедший год было издано несколько правовых актов, направленных на повышение уровня кибербезопасности российских компаний. Один из них, Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», затрагивает более 500 тысяч отечественных организаций.
При построении эффективной защиты необходимо ориентироваться на принципы и подходы результативной кибербезопасности. На этом пути топ-менеджеры среднего, малого бизнеса и даже стартапов встают перед выбором: нанять собственный отдел ИБ или отдать все аутсорсерам. Рекомендациями о том, как принять правильное решение, эксперты Positive Technologies поделились во время открытого образовательного проекта #Агент250.
Какие факторы влияют на выбор
Кибербезопасностью в организации, помимо собственного отдела ИБ, могут заниматься аутсорсинговые компании или штатные IT-специалисты. При этом нельзя однозначно сказать, какой из этих вариантов лучше. В каждом отдельном случае топ-менеджменту при выборе ответственных за ИБ необходимо обращать внимание как минимум на три фактора:
- Финансовые условия. Создавать внутри компании отдельную службу ИБ недешево. Руководству следует посчитать, сопоставимы ли такие расходы с возможным ущербом от реализации недопустимых событий — случаев, возникающих в результате действий злоумышленников и делающих невозможным достижение операционных и стратегических целей или приводящих к длительному нарушению основной деятельности организации.
- Требования законодательства. Согласно Федеральному закону «О персональных данных», российские компании, будь то индивидуальные предприниматели или представители крупного бизнеса, должны иметь в штате выделенного специалиста по ИБ.
- Важность кибербезопасности для компании. Топ-менеджменту необходимо определить, насколько приоритетна для бизнеса кибербезопасность. Например, в тех случаях, когда нужно обеспечить круглосуточный режим работы, удобнее привлекать аутсорсеров, они могут заниматься мониторингом и реагировать на инциденты в любое время суток. Либо можно применять гибридный формат: 40 часов в неделю защищать компанию будут штатные сотрудники, а все остальное время, включая выходные и праздничные дни, — внешние специалисты.
При выборе исполнителей, ответственных за кибербезопасность, важно учитывать контекст. Например, если инцидент в компании произошел сегодня, то правильным решением будет обратиться к аутсорсерам: они могут незамедлительно приступить к работе и минимизировать ущерб. Формирование отдела по ИБ, в свою очередь, может занять несколько месяцев. Киберпреступники за это время кратно увеличат наносимый вред.
Кто должен контролировать кибербезопасность в компании
Вне зависимости от того, по какому пути пошла компания, в ней должен быть человек, ответственный за построение безопасности. На эту роль подходит vCISO — бизнес-консультант, который имеет большой опыт и обладает навыками выстраивания результативной кибербезопасности. Его основная задача — отвечать за результат построения процессов ИБ. Он может как создать отдел ИБ, так и курировать аутсорсинговую компанию.
Функции vCISO схожи с компетенциями заместителя генерального директора, назначенного согласно 250 Указу, за одним исключением: последний работает в штате, а vCISO — приглашенный специалист, выполняющий свои обязанности на контрактной основе. Этот вариант подходит для тех компаний, которые пока не готовы инвестировать в назначение CISO — руководителя службы безопасности.
Как оценить эффективность отдела ИБ
Основная метрика эффективности работы специалистов по ИБ — это не отчеты или SLA, а готовность компании участвовать в программе багбаунти. Это специализированная платформа, где этичные хакеры (багхантеры) могут проверить, насколько хорошо защищена IT-система организации, и попытаться реализовать недопустимые для нее события. Привлечение багхантеров позволит бизнесу найти уязвимые места без какого-либо ущерба для его деятельности и нивелировать возможные последствия действий злоумышленников.
Этот проект не имеет сроков завершения, к нему привлекается неограниченное число этичных хакеров. Участники таких программ получают вознаграждение только в случае принятия отчета. Суммы выплат существенно ниже возможного ущерба компаний в результате действий киберпреступников. Багбаунти — единственный способ объективно оценить уровень защищенности, но для этого важно привлекать экспертов извне.
В условиях увеличения числа инцидентов кибербезопасности российским компаниям важно делиться опытом друг с другом. Если представители крупного бизнеса всегда тесно контактировали между собой, то сегодня в задачу обеспечения всеобщей безопасности должны быть вовлечены организации среднего, малого бизнесов и даже стартапов. Для ее решения отрасль кибербезопасности создает все условия: от технологических разработок до обучающих видео, чек-листов и различных методик. Противостоять злоумышленникам вместе — это удобно, эффективно и результативно. Подписывайтесь на живое комьюнити в телеграм «Указ 250 — Польза» и создавайте безопасный бизнес.
Фото на обложке: Gorodenkoff /
Реклама
АО «Позитив Текнолоджиз»
erid: 4CQwVszH9pUhpzvKTcb
- 1 $75 млн на то, чтобы хакать быстрее. Стартап Xbow меняет киберрынок Робот-хакер возглавил топ кибербезопасности 26 июня 2025, 17:51
- 2 По бизнесу бьет фейковый ИИ — вредонос под видом ChatGPT вырос на 175% Число этих зловредов увеличилось на 48 и 175% соответственно 25 июня 2025, 19:12
- 3 За прошлый год «Яндекс» обработал 1,5 млрд звонков Компания подвела итоги 2024 года 17 июня 2025, 18:12
- 4 «Билайн» начал прерывать звонки при получении кодов от «Госуслуг» Или от банковского приложения 10 июня 2025, 12:27