Вопросы, на которые вы должны ответить, прежде чем нанимать директора по информационной безопасности

Когда вы нанимаете CISO? Это сложный вопрос, но с ним сталкивается все больше и больше предприятий. Должность директора по информационной безопасности становится важной ролью на предприятиях с большим объемом ИТ и становится все более актуальной даже для небольших фирм. В то время как большинство предприятий уже осознают необходимость иметь на борту выделенных архитекторов безопасности, директор по информационной безопасности — это следующий уровень организационной приверженности информационной безопасности не только на операционном, но и на стратегическом уровне.

Компании создают свои группы по информационной безопасности органично, хотя им необходимо учитывать отраслевые правила и проблемы информационной безопасности. Один из подходов, принятых предприятиями, заключается в создании должности директора по информационной безопасности. В обязанности этого человека входит управление повседневными методами и операциями по обеспечению безопасности, помимо внесения периодических улучшений в программу безопасности.

С другой стороны, на директора по информационной безопасности возложена гораздо большая и широкая ответственность за создание организационной философии и видения информационной безопасности, взаимодействие со всеми отделами, ведущими к внедрению, и управление транспортным средством организации через политическую волокиту, которая делает информационную безопасность такой проблемой для реализации.

Блицкриг вопросов

Как мы уже говорили, решение о найме директора по информационной безопасности принять непросто, и самые большие вопросы связаны со сроками, методом, вознаграждением и текущим уровнем информационной безопасности. Вероятно, возникнут следующие вопросы: Должны ли мы нанять директора по информационной безопасности и повысить его или ее до роли директора по информационной безопасности? Повышаем ли мы нашего внутреннего лидера по кибербезопасности до должности директора по информационной безопасности? Должны ли мы рассмотреть решения CISO как услуга? У нас не было нарушений безопасности, из-за которых можно было бы потерять сон — нужен ли нам директор по информационной безопасности?

Ответы, конечно, не однозначны. Одно можно сказать наверняка — вы не хотите ждать крупного взлома, прежде чем нанять директора по информационной безопасности. В 2013 году компании Target потребовался толчок всей жизни, чтобы привлечь на борт директора по информационной безопасности. Другие ритейлеры должны были извлечь уроки из этого масштабного нарушения, и вы тоже должны это сделать.

Теперь давайте дадим вам еще один набор вопросов, которые помогут вам ответить, нужен ли вашему предприятию сейчас директор по информационной безопасности или нет.

Есть ли у вашего стола в зале заседаний место для директора по информационной безопасности?

Упрощенно вопрос таков: готово ли ваше предприятие к тому, чтобы руководитель высшего звена взаимодействовал и работал непосредственно с директором по технологиям, директором по информационным технологиям и даже директором по маркетингу и финансам? Привлечение директора по информационной безопасности равнозначно признанию информационной безопасности в качестве основного элемента организационной структуры. Высшие должностные лица вашего предприятия должны будут почти ежедневно работать с директором по информационной безопасности и участвовать в программах, которые он или она внедряет и реализует. Это вызывает максимальную поддержку и одобрение со стороны всех отделов предприятия, поскольку влияние быстро распространится по иерархии предприятия, изменяя способ взаимодействия людей с технологиями. Если вы убеждены, что ваше предприятие находится в состоянии и находится на стадии, которая идеально подходит для прихода директора по информационной безопасности, действуйте.

Достаточно ли у вас оперативной огневой мощи?

Самая большая ошибка, которую вы можете совершить в процессе найма директора по информационной безопасности (даже при принятии решения о его найме), — это позволить вашим требованиям и опасениям, связанным с операционными аспектами информационной безопасности, помешать принятию решения. Первая линия действий директора по информационной безопасности будет заключаться в создании организационного видения и миссии в отношении информационной безопасности, а затем в тесном сотрудничестве с руководителями отделов и руководителями, чтобы постоянно вести предприятие к повышению уровня информационной безопасности. От вашего директора по информационной безопасности не требуется заниматься рутинными операционными аспектами информационной безопасности (даже планированием на уровне команды и внедрением в конкретных подразделениях). Должностная инструкция и ключевые области результатов, которые вы разрабатываете для роли директора по информационной безопасности, должны четко указывать, что этому человеку будет доверена информационная безопасность предприятия — все.

Подготовьтесь к автономии в стиле работы CISO

Будь то из-за правил, регулирующих вашу отрасль, горького недавнего опыта нарушений безопасности, желания подражать лучшим в своей сфере деятельности или из-за исхода текущего лидерства в области информационной безопасности на вашем предприятии — если вы решили чтобы нанять директора по информационной безопасности, вы должны решить, можете ли вы предоставить полную автономию директору по информационной безопасности и как он или она хочет выполнять свою работу. Политические и культурные проблемы, связанные с управлением такой распространенной функцией, как информационная безопасность, огромны, и вашему директору по информационной безопасности потребуется определенная автономия и гибкость, чтобы все заработало. Стоит дать вашему предприятию два-три месяца после того, как директор по информационной безопасности присоединится к конюшням, чтобы принять решение о механизме административной отчетности, чтобы сбалансировать подотчетность и автономию.

Может ли нарушение безопасности разрушить ваш бизнес?

Огонь — лучший учитель в тушении огня, но такой подход не работает с информационной безопасностью. Оглянитесь вокруг, и вы обнаружите предприятия и малые и средние предприятия в пределах вашего промышленного пространства, которые дорого заплатили за свою небрежность в отношении информационной безопасности. Если вы убеждены, что обучение на рабочем месте больше не является лучшим способом борьбы с рисками информационной безопасности, самое время подумать об услугах директора по информационной безопасности. Если средства мониторинга информационной безопасности и отчетности вашего предприятия предполагают снижение уровня работоспособности, пришло время начать процесс найма директора по информационной безопасности. Кроме того, если вы работаете в отрасли, где нарушение безопасности может разрушить ваш бизнес (в частности, финансы, оборона и здравоохранение), не теряйте времени — воспользуйтесь услугами директора по информационной безопасности прямо сейчас.

Готово ли предприятие изменить способ работы с данными и вычислениями?

Чтобы добиться далеко идущих результатов и добиться успеха в области информационной безопасности, директору по информационной безопасности необходимо будет разработать программы, лучшие практики и механизмы, которые изменят то, как ваши люди работают с технологиями и данными. Предприятие, которое взяло на себя задачу обновления и улучшения своих методов обеспечения информационной безопасности, может максимально использовать услуги директора по информационной безопасности. В противном случае вам лучше сначала установить операционные механизмы и помочь информировать внутренних заинтересованных лиц о необходимости согласования с передовыми методами информационной безопасности, прежде чем нанимать человека на работу.