Информационная безопасность становится важной частью цифровой трансформации бизнеса. За прошедший год было издано несколько правовых актов, направленных на повышение уровня кибербезопасности российских компаний. Один из них, Указ Президента РФ № 250 «О дополнительных мерах по обеспечению информационной безопасности Российской Федерации», затрагивает более 500 тысяч отечественных организаций.
При построении эффективной защиты необходимо ориентироваться на принципы и подходы результативной кибербезопасности. На этом пути топ-менеджеры среднего, малого бизнеса и даже стартапов встают перед выбором: нанять собственный отдел ИБ или отдать все аутсорсерам. Рекомендациями о том, как принять правильное решение, эксперты Positive Technologies поделились во время открытого образовательного проекта #Агент250.
Какие факторы влияют на выбор
Кибербезопасностью в организации, помимо собственного отдела ИБ, могут заниматься аутсорсинговые компании или штатные IT-специалисты. При этом нельзя однозначно сказать, какой из этих вариантов лучше. В каждом отдельном случае топ-менеджменту при выборе ответственных за ИБ необходимо обращать внимание как минимум на три фактора:
- Финансовые условия. Создавать внутри компании отдельную службу ИБ недешево. Руководству следует посчитать, сопоставимы ли такие расходы с возможным ущербом от реализации недопустимых событий — случаев, возникающих в результате действий злоумышленников и делающих невозможным достижение операционных и стратегических целей или приводящих к длительному нарушению основной деятельности организации.
- Требования законодательства. Согласно Федеральному закону «О персональных данных», российские компании, будь то индивидуальные предприниматели или представители крупного бизнеса, должны иметь в штате выделенного специалиста по ИБ.
- Важность кибербезопасности для компании. Топ-менеджменту необходимо определить, насколько приоритетна для бизнеса кибербезопасность. Например, в тех случаях, когда нужно обеспечить круглосуточный режим работы, удобнее привлекать аутсорсеров, они могут заниматься мониторингом и реагировать на инциденты в любое время суток. Либо можно применять гибридный формат: 40 часов в неделю защищать компанию будут штатные сотрудники, а все остальное время, включая выходные и праздничные дни, — внешние специалисты.
При выборе исполнителей, ответственных за кибербезопасность, важно учитывать контекст. Например, если инцидент в компании произошел сегодня, то правильным решением будет обратиться к аутсорсерам: они могут незамедлительно приступить к работе и минимизировать ущерб. Формирование отдела по ИБ, в свою очередь, может занять несколько месяцев. Киберпреступники за это время кратно увеличат наносимый вред.
Кто должен контролировать кибербезопасность в компании
Вне зависимости от того, по какому пути пошла компания, в ней должен быть человек, ответственный за построение безопасности. На эту роль подходит vCISO — бизнес-консультант, который имеет большой опыт и обладает навыками выстраивания результативной кибербезопасности. Его основная задача — отвечать за результат построения процессов ИБ. Он может как создать отдел ИБ, так и курировать аутсорсинговую компанию.
Функции vCISO схожи с компетенциями заместителя генерального директора, назначенного согласно 250 Указу, за одним исключением: последний работает в штате, а vCISO — приглашенный специалист, выполняющий свои обязанности на контрактной основе. Этот вариант подходит для тех компаний, которые пока не готовы инвестировать в назначение CISO — руководителя службы безопасности.
Как оценить эффективность отдела ИБ
Основная метрика эффективности работы специалистов по ИБ — это не отчеты или SLA, а готовность компании участвовать в программе багбаунти. Это специализированная платформа, где этичные хакеры (багхантеры) могут проверить, насколько хорошо защищена IT-система организации, и попытаться реализовать недопустимые для нее события. Привлечение багхантеров позволит бизнесу найти уязвимые места без какого-либо ущерба для его деятельности и нивелировать возможные последствия действий злоумышленников.
Этот проект не имеет сроков завершения, к нему привлекается неограниченное число этичных хакеров. Участники таких программ получают вознаграждение только в случае принятия отчета. Суммы выплат существенно ниже возможного ущерба компаний в результате действий киберпреступников. Багбаунти — единственный способ объективно оценить уровень защищенности, но для этого важно привлекать экспертов извне.
В условиях увеличения числа инцидентов кибербезопасности российским компаниям важно делиться опытом друг с другом. Если представители крупного бизнеса всегда тесно контактировали между собой, то сегодня в задачу обеспечения всеобщей безопасности должны быть вовлечены организации среднего, малого бизнесов и даже стартапов. Для ее решения отрасль кибербезопасности создает все условия: от технологических разработок до обучающих видео, чек-листов и различных методик. Противостоять злоумышленникам вместе — это удобно, эффективно и результативно. Подписывайтесь на живое комьюнити в телеграм «Указ 250 — Польза» и создавайте безопасный бизнес.
Фото на обложке: Gorodenkoff /
Реклама
АО «Позитив Текнолоджиз»
erid: 4CQwVszH9pUhpzvKTcb
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
-
Пройти курс «Просто о сложном: первые шаги в бизнесe»
- 1 Роскомнадзор обучит сотрудников навыкам киберразведки
- 2 Цифровой паспорт: нужна ли сервисам принудительная привязка к «Госуслугам»
- 3 Правительство рассмотрит пакет поправок по борьбе с кибермошенниками
- 4 Искусственный интеллект в руках мошенников: новая эра подделки документов