Кто должен отвечать за кибербезопасность: собственный отдел ИБ или аутсорсинг?

Какие факторы влияют на выбор

Кибербезопасностью в организации, помимо собственного отдела ИБ, могут заниматься аутсорсинговые компании или штатные IT-специалисты. При этом нельзя однозначно сказать, какой из этих вариантов лучше. В каждом отдельном случае топ-менеджменту при выборе ответственных за ИБ необходимо обращать внимание как минимум на три фактора:

3. Финансовые условия. Создавать внутри компании отдельную службу ИБ недешево. Руководству следует посчитать, сопоставимы ли такие расходы с возможным ущербом от реализации недопустимых событий — случаев, возникающих в результате действий злоумышленников и делающих невозможным достижение операционных и стратегических целей или приводящих к длительному нарушению основной деятельности организации.
4. Требования законодательства. Согласно Федеральному закону «О персональных данных», российские компании, будь то индивидуальные предприниматели или представители крупного бизнеса, должны иметь в штате выделенного специалиста по ИБ.
5. Важность кибербезопасности для компании. Топ-менеджменту необходимо определить, насколько приоритетна для бизнеса кибербезопасность. Например, в тех случаях, когда нужно обеспечить круглосуточный режим работы, удобнее привлекать аутсорсеров, они могут заниматься мониторингом и реагировать на инциденты в любое время суток. Либо можно применять гибридный формат: 40 часов в неделю защищать компанию будут штатные сотрудники, а все остальное время, включая выходные и праздничные дни, — внешние специалисты.

При выборе исполнителей, ответственных за кибербезопасность, важно учитывать контекст. Например, если инцидент в компании произошел сегодня, то правильным решением будет обратиться к аутсорсерам: они могут незамедлительно приступить к работе и минимизировать ущерб. Формирование отдела по ИБ, в свою очередь, может занять несколько месяцев. Киберпреступники за это время кратно увеличат наносимый вред.

Кто должен контролировать кибербезопасность в компании

Вне зависимости от того, по какому пути пошла компания, в ней должен быть человек, ответственный за построение безопасности. На эту роль подходит vCISOVirtual Chief Information Security Officer, vCISO — виртуальный директор по кибербезопасности. — бизнес-консультант, который имеет большой опыт и обладает навыками выстраивания результативной кибербезопасности. Его основная задача — отвечать за результат построения процессов ИБ. Он может как создать отдел ИБ, так и курировать аутсорсинговую компанию.

Функции vCISO схожи с компетенциями заместителя генерального директора, назначенного согласно 250 Указу, за одним исключением: последний работает в штате, а vCISO — приглашенный специалист, выполняющий свои обязанности на контрактной основе. Этот вариант подходит для тех компаний, которые пока не готовы инвестировать в назначение CISO — руководителя службы безопасности.

Как оценить эффективность отдела ИБ

Основная метрика эффективности работы специалистов по ИБ — это не отчеты или SLAService Level Agreement, SLA — сроки выполнения задач по реагированию. , а готовность компании участвовать в программе багбаунти. Это специализированная платформа, где этичные хакеры (багхантеры) могут проверить, насколько хорошо защищена IT-система организации, и попытаться реализовать недопустимые для нее события. Привлечение багхантеров позволит бизнесу найти уязвимые места без какого-либо ущерба для его деятельности и нивелировать возможные последствия действий злоумышленников.

Этот проект не имеет сроков завершения, к нему привлекается неограниченное число этичных хакеров. Участники таких программ получают вознаграждение только в случае принятия отчета. Суммы выплат существенно ниже возможного ущерба компаний в результате действий киберпреступников. Багбаунти — единственный способ объективно оценить уровень защищенности, но для этого важно привлекать экспертов извне.

В условиях увеличения числа инцидентов кибербезопасности российским компаниям важно делиться опытом друг с другом. Если представители крупного бизнеса всегда тесно контактировали между собой, то сегодня в задачу обеспечения всеобщей безопасности должны быть вовлечены организации среднего, малого бизнесов и даже стартапов. Для ее решения отрасль кибербезопасности создает все условия: от технологических разработок до обучающих видео, чек-листов и различных методик. Противостоять злоумышленникам вместе — это удобно, эффективно и результативно. Подписывайтесь на живое комьюнити в телеграм «Указ 250 — Польза» и создавайте безопасный бизнес.

Фото на обложке: Gorodenkoff / Shutterstock

Реклама
АО «Позитив Текнолоджиз»
erid: 4CQwVszH9pUhpzvKTcb