Кто должен отвечать за кибербезопасность: собственный отдел ИБ или аутсорсинг?
При выборе исполнителей, ответственных за кибербезопасность, важно учитывать контекст
Информационная безопасность становится важной частью цифровой трансформации бизнеса. За прошедший год было издано несколько правовых актов, направленных на повышение уровня кибербезопасности российских компаний. Один из них, Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», затрагивает более 500 тысяч отечественных организаций.
При построении эффективной защиты необходимо ориентироваться на принципы и подходы результативной кибербезопасности. На этом пути топ-менеджеры среднего, малого бизнеса и даже стартапов встают перед выбором: нанять собственный отдел ИБ или отдать все аутсорсерам. Рекомендациями о том, как принять правильное решение, эксперты Positive Technologies поделились во время открытого образовательного проекта #Агент250.
Какие факторы влияют на выбор
Кибербезопасностью в организации, помимо собственного отдела ИБ, могут заниматься аутсорсинговые компании или штатные IT-специалисты. При этом нельзя однозначно сказать, какой из этих вариантов лучше. В каждом отдельном случае топ-менеджменту при выборе ответственных за ИБ необходимо обращать внимание как минимум на три фактора:
- Финансовые условия. Создавать внутри компании отдельную службу ИБ недешево. Руководству следует посчитать, сопоставимы ли такие расходы с возможным ущербом от реализации недопустимых событий — случаев, возникающих в результате действий злоумышленников и делающих невозможным достижение операционных и стратегических целей или приводящих к длительному нарушению основной деятельности организации.
- Требования законодательства. Согласно Федеральному закону «О персональных данных», российские компании, будь то индивидуальные предприниматели или представители крупного бизнеса, должны иметь в штате выделенного специалиста по ИБ.
- Важность кибербезопасности для компании. Топ-менеджменту необходимо определить, насколько приоритетна для бизнеса кибербезопасность. Например, в тех случаях, когда нужно обеспечить круглосуточный режим работы, удобнее привлекать аутсорсеров, они могут заниматься мониторингом и реагировать на инциденты в любое время суток. Либо можно применять гибридный формат: 40 часов в неделю защищать компанию будут штатные сотрудники, а все остальное время, включая выходные и праздничные дни, — внешние специалисты.
При выборе исполнителей, ответственных за кибербезопасность, важно учитывать контекст. Например, если инцидент в компании произошел сегодня, то правильным решением будет обратиться к аутсорсерам: они могут незамедлительно приступить к работе и минимизировать ущерб. Формирование отдела по ИБ, в свою очередь, может занять несколько месяцев. Киберпреступники за это время кратно увеличат наносимый вред.
Кто должен контролировать кибербезопасность в компании
Вне зависимости от того, по какому пути пошла компания, в ней должен быть человек, ответственный за построение безопасности. На эту роль подходит vCISO — бизнес-консультант, который имеет большой опыт и обладает навыками выстраивания результативной кибербезопасности. Его основная задача — отвечать за результат построения процессов ИБ. Он может как создать отдел ИБ, так и курировать аутсорсинговую компанию.
Функции vCISO схожи с компетенциями заместителя генерального директора, назначенного согласно 250 Указу, за одним исключением: последний работает в штате, а vCISO — приглашенный специалист, выполняющий свои обязанности на контрактной основе. Этот вариант подходит для тех компаний, которые пока не готовы инвестировать в назначение CISO — руководителя службы безопасности.
Как оценить эффективность отдела ИБ
Основная метрика эффективности работы специалистов по ИБ — это не отчеты или SLA, а готовность компании участвовать в программе багбаунти. Это специализированная платформа, где этичные хакеры (багхантеры) могут проверить, насколько хорошо защищена IT-система организации, и попытаться реализовать недопустимые для нее события. Привлечение багхантеров позволит бизнесу найти уязвимые места без какого-либо ущерба для его деятельности и нивелировать возможные последствия действий злоумышленников.
Этот проект не имеет сроков завершения, к нему привлекается неограниченное число этичных хакеров. Участники таких программ получают вознаграждение только в случае принятия отчета. Суммы выплат существенно ниже возможного ущерба компаний в результате действий киберпреступников. Багбаунти — единственный способ объективно оценить уровень защищенности, но для этого важно привлекать экспертов извне.
В условиях увеличения числа инцидентов кибербезопасности российским компаниям важно делиться опытом друг с другом. Если представители крупного бизнеса всегда тесно контактировали между собой, то сегодня в задачу обеспечения всеобщей безопасности должны быть вовлечены организации среднего, малого бизнесов и даже стартапов. Для ее решения отрасль кибербезопасности создает все условия: от технологических разработок до обучающих видео, чек-листов и различных методик. Противостоять злоумышленникам вместе — это удобно, эффективно и результативно. Подписывайтесь на живое комьюнити в телеграм «Указ 250 — Польза» и создавайте безопасный бизнес.
Фото на обложке: Gorodenkoff /
Реклама
АО «Позитив Текнолоджиз»
erid: 4CQwVszH9pUhpzvKTcb
-
Партнёрский материал Онлайн-инкассация: как превратить наличную выручку в рабочий капитал 01 июня 2026, 10:00
-
Автомобили Как машина для гонок стала символом тихих денег: история Bentley 09 июля 2026, 02:55
-
Автомобили Как приручить итальянского быка: история Lamborghini 07 июля 2026, 19:50
-
Автомобили От авиационных двигателей до электромобилей: история BMW 04 июля 2026, 10:16
-
Бизнес Не из гаража, а почти из холодильника: история Geely 01 июля 2026, 14:58
-
Личное Из фарцовщика в создателя дизайн-завода Flacon: как Николай Матушевский дважды бросал свой бизнес и начинал с нуля 05 мая 2026, 12:09
-
Личное Оливер Блюме. Немецкий инженер, который должен снова сделать Volkswagen великим 09 июля 2026, 21:27
-
Личное Сундар Пичаи. Как эмигрант из Индии за 11 лет прошёл путь от продакт-менеджера до CEO Google 08 июля 2026, 23:19
-
Искусственный интеллект OpenAI открыла доступ к GPT-5.6 — пользователям стали доступны сразу три новые версии ИИ-модели 09 июля 2026, 21:52
-
Бизнес «Шоколадница» меняет формат бизнеса — сеть откажется от единой концепции кофеен 09 июля 2026, 19:40
-
Маркетплейсы Wildberries поднял тарифы на перевозку товаров между складами — комиссия выросла в 2–6 раз 09 июля 2026, 18:40
-
Бизнес Книжные издательства нарастили доходы и продажи в 2026 году — при этом бумажные тиражи уменьшились на 26% 09 июля 2026, 15:10
-
Маркетинг Рекламный рынок столкнулся с перегревом: брендам не хватает внимания аудитории 09 июля 2026, 14:33
-
Россия Минцифры усилит контроль за SIM-картами и массовыми звонками — расходы операторов уже оценили в 3 млрд ₽ 08 июля 2026, 18:30
-
Бизнес В России хотят разработать стратегию экологического машиностроения до 2040 года — для поддержки отрасли 08 июля 2026, 14:00
-
Недвижимость На первоначальный взнос по ипотеке нужно 13 зарплат — накопить на квартиру стало проще из-за роста зарплат 09 июля 2026, 20:30