Для информации: Почему вашему бизнесу нужен директор по информационной безопасности

Опубликовано: 1 Апреля, 2023
Для информации: Почему вашему бизнесу нужен директор по информационной безопасности

Нет двух организаций с одинаковой внутренней структурой, ролями и должностями персонала. Предусмотрительный бизнес-лидер знает, что он должен создавать роль только в том случае, если в этом есть необходимость. Например, многие малые предприятия не имеют штатных юристов. Они считают более эффективным, чтобы этим занимался внешний юрист, привлекаемый по мере необходимости. Таким образом, каждая должность в организации должна быть хорошо продумана и ее актуальность должна быть установлена до того, как кто-то будет назначен соответствующим образом. Это затруднительное положение, в котором оказались многие предприятия, когда дело доходит до должности директора по информационной безопасности (CISO).

Если верить новостям, каждому бизнесу нужен директор по информационной безопасности. Кажется, каждую неделю сообщения о крупной утечке данных, ставящей под угрозу конфиденциальные данные миллионов пользователей, попадают в заголовки международных газет. Пострадавшие компании не только должны справиться с огромным ударом по своей репутации, но и должны быстро работать над устранением любых пробелов, заверяя клиентов и общественность в том, что они делают все, чтобы такой инцидент больше не повторился.

Данные — один из самых важных активов современной организации, и их безопасность неприкосновенна. Также была волна далеко идущих правил безопасности данных, таких как GDPR, которые усилили давление на руководителей бизнеса, чтобы они уделяли первостепенное внимание защите информации о клиентах. В связи с этим все больше предприятий рассматривают возможность найма директора по информационной безопасности. Но как узнать, нужен ли вашему бизнесу директор по информационной безопасности?

1. Сложный ландшафт угроз

Потребности в кибербезопасности крошечного стартапа электронной коммерции с десятками клиентов не того же порядка, что и у глобального банка с тысячами сотрудников и миллионами клиентов. Таким образом, возможно, в большей степени, чем что-либо еще, сложность вашего ландшафта угроз безопасности должна быть основным соображением при выборе директора по информационной безопасности.

Сложность не обязательно является синонимом масштаба. Небольшие организации, такие как поставщики антивирусного программного обеспечения, не могут позволить себе сбой в своих средствах управления безопасностью. Они должны уделять больше внимания безопасности, чем средняя организация. В этом случае наличие директора по информационной безопасности будет иметь решающее значение для вынесения вопросов безопасности на первый план и в центр обсуждений при принятии решений.

2. История нарушений безопасности

Назначение директора по информационной безопасности после нарушения безопасности может показаться чем-то вроде закрытия двери конюшни после того, как лошадь убежала. Однако хакеры, как и все остальные, хотели бы приложить как можно меньше усилий, чтобы получить максимальную отдачу. Организация, в системы которой они уже проникали, может стать подходящей целью для атаки, прежде чем они перейдут на более неизведанную территорию.

Нет никакой гарантии, что атакуемый объект примет меры, необходимые для закрытия всех лазеек. Здесь было бы полезно назначить директора по информационной безопасности. Бизнес может поручить кому-то смягчить ущерб от взлома и обеспечить комплексное устранение пробелов. Кроме того, CISO заверяет клиентов, что бизнес делает все возможное, чтобы предотвратить повторение.

3. Усиление атак на конкурентов или отрасль в целом

Изображение 274
Шаттерсток

Для предприятий, которые никогда не сталкивались с инцидентами в сфере ИТ-безопасности, наем директора по информационной безопасности кажется бессмысленным. Существует предположение, что система, которая никогда не подвергалась взлому, является достаточно безопасной. Напротив, причина, по которой ваши системы не пострадали, может заключаться в том, что они еще не попали в поле зрения решительного злоумышленника.

Одним из признаков того, что вскоре вы можете стать мишенью, является волна атак на системы предприятий той же отрасли. Хотя у вас и у ваших конкурентов разные политики, процедуры, процессы и системы, вероятно, существуют определенные технологии, используемые многими предприятиями отрасли. Таким образом, как только хакеры взломают защиту одного игрока, они смогут использовать эти знания для запуска успешной атаки на аналогичные организации.

4. Отсутствие сопричастности или координации в вопросах безопасности

У некоторых предприятий отличная командная работа, отличная координация и сильное индивидуальное чувство ответственности, которое позволяет добиться цели, даже если нет конкретного человека или отдела, ответственного за выполнение определенной роли. В таких компаниях может не быть необходимости нанимать директора по информационной безопасности, поскольку между ИТ и бизнес-группами существует твердая приверженность обеспечению быстрого выявления и решения проблем безопасности.

К сожалению, не все организации наделены такой гармонией и чувством долга. Проблемы с безопасностью могут остаться незамеченными, потому что никто не занимается их устранением. В таких случаях директор по информационной безопасности помогает управлять процессом, устранять пробелы и уменьшать количество конфликтов.

5. Отсутствие навыков лидерства в сфере ИТ-безопасности

Изображение 10010
Шаттерсток

На рынке не хватает специалистов по кибербезопасности. Открытые позиции намного превосходят имеющиеся таланты. Это само по себе свидетельствует о том, что ваши ИТ-специалисты, не занимающиеся вопросами безопасности, вполне могут не обладать навыками, необходимыми для решения проблем ИТ-безопасности.

Если вашей организации посчастливилось иметь технического директора, ИТ-директора или главного операционного директора, которые хорошо разбираются в вопросах ИТ-безопасности и могут обеспечить четкое и последовательное руководство, то наем директора по информационной безопасности излишен. С другой стороны, если вам трудно определить какого-либо одного технического или операционного руководителя как надежного лидера и чемпиона в области кибербезопасности, то найм или назначение директора по информационной безопасности будет иметь решающее значение.

6. Проблемы регулирования

Такие отрасли, как финансовые услуги и здравоохранение, строго регулируются. Часто ожидается, что предприятия, работающие в этих секторах, будут иметь гораздо более высокие стандарты безопасности данных, чем средняя организация. Хотя регулирующие органы могут не обязательно требовать, чтобы у таких предприятий был директор по информационной безопасности, потенциальные последствия несоблюдения требований к безопасности данных могут вынудить бизнес назначить его.

Регуляторные, юридические, финансовые и репутационные издержки несоблюдения требований могут быть намного выше, чем вознаграждение и льготы, которые они предлагают директору по информационной безопасности.

Вам нужен какой-нибудь CISO

Независимо от того, назначено ли у вас конкретное лицо в качестве директора по информационной безопасности или вы считаете более практичным назначать существующего руководителя, такого как ИТ-директор, главный операционный директор, технический директор или директор по безопасности, компания должна обеспечить адекватную управленческую поддержку информационной безопасности. По мере того, как кибератаки становятся все более изощренными, безопасность ваших данных и систем становится слишком важной, чтобы ее можно было оставлять на волю случая.

Кибер-безопасность

РЕКОМЕНДУЕМЫЕ СТАТЬИ

Информационная безопасность и системная IT-интеграция
27 Июня, 2024
Брандмауэр в ИТ-системе
15 Апреля, 2023
Почему одного брандмауэра недостаточно? Что такое IDS и почему их стоит иметь?
15 Апреля, 2023
Новые функции безопасности Internet Explorer 6.0 с браузером .NET Server по умолчанию
15 Апреля, 2023
Виртуальная частная сеть
15 Апреля, 2023
Microsoft ISA Server, часть II — функции брандмауэра, правила политики публикации
15 Апреля, 2023
Стратегия Microsoft в отношении .NET
15 Апреля, 2023
SSH
15 Апреля, 2023