Jump to content

Главный специалист по информационной безопасности

Директор по информационной безопасности (CISO) — это руководитель высшего звена в организации, ответственный за разработку и поддержание видения, стратегии и программы предприятия для обеспечения адекватной защиты информационных активов и технологий. Директор по информационной безопасности руководит персоналом в выявлении, разработке, внедрении и поддержании процессов на предприятии для снижения рисков, связанных с информацией и информационными технологиями (ИТ). Они реагируют на инциденты, устанавливают соответствующие стандарты и меры контроля, управляют технологиями безопасности и руководят разработкой и внедрением политик и процедур. Директор по информационной безопасности также обычно отвечает за соответствие информации (например, контролирует реализацию сертификации ISO/IEC 27001 для организации или ее части). Директор по информационной безопасности также отвечает за защиту частной информации и активов компании, включая данные клиентов и потребителей. Директор по информационной безопасности работает с другими руководителями, чтобы обеспечить ответственный и этичный рост компании.

Обычно влияние директора по информационной безопасности распространяется на всю организацию. Обязанности могут включать, помимо прочего:

Наличие директора по информационной безопасности или аналогичной функции в организациях стало стандартной практикой в ​​бизнесе, правительстве и некоммерческих организациях. К 2009 году примерно в 85% крупных организаций был руководитель службы безопасности, по сравнению с 56% в 2008 году и 43% в 2006 году. [ нужна ссылка ] . В 2018 году исследование глобального состояния информационной безопасности 2018 (GSISS), совместное исследование, проведенное директорами по информационным технологиям, директорами по безопасности и PwC, [1] [2] пришли к выводу, что 85% предприятий имеют директора по информационной безопасности или его эквивалент. Роль директора по информационной безопасности расширилась и теперь включает риски, возникающие в бизнес-процессах , информационной безопасности, конфиденциальности клиентов и т. д. В результате сейчас наблюдается тенденция к отказу от включения функции директора по информационной безопасности в ИТ-группу. В 2019 году только 24% директоров по информационной безопасности подчиняются директору по информационным технологиям (CIO), 40% подчиняются непосредственно главному исполнительному директору (CEO), а 27% подчиняются генеральному директору и подчиняются совету директоров. Включение функции директора по информационной безопасности в структуру отчетности директора по информационным технологиям считается неоптимальным, поскольку существует вероятность конфликта интересов и поскольку обязанности этой роли выходят за рамки обязанностей ИТ-группы. Структура отчетности директора по информационной безопасности может варьироваться в зависимости от размера организации, отрасли, нормативно-правовой базы и профиля рисков. Однако важность информационной безопасности в современном бизнесе повысила роль директора по информационной безопасности до должности старшего уровня. [3]

В корпорациях тенденция такова, что директора по информационной безопасности имеют сильный баланс деловой хватки и технологических знаний. Директора по информационной безопасности часто пользуются большим спросом, а их вознаграждение сопоставимо с другими должностями высшего уровня, которые также имеют аналогичную корпоративную должность .

Типичный директор по информационной безопасности имеет нетехнические сертификаты (например, CISSP и CISM ), хотя директор по информационной безопасности с техническим образованием будет обладать расширенным набором технических навыков. Другое типичное обучение включает в себя управление проектами для управления программой информационной безопасности, финансовый менеджмент (например, наличие аккредитованной степени MBA) для управления бюджетами информационной безопасности, а также мягкие навыки для управления разнородными командами менеджеров по информационной безопасности, директоров по информационной безопасности, аналитиков безопасности, инженеров безопасности. и менеджеры по технологическим рискам. В последнее время, учитывая участие директора по информационной безопасности в вопросах конфиденциальности, такие сертификаты, как CIPP очень востребованы .

Недавним событием в этой области стало появление «виртуальных» CISO (vCISO, также называемых «частичным CISO»). [4] [5] Эти директора по информационной безопасности работают на совместной или дробной основе для организаций, которые могут быть недостаточно большими, чтобы поддерживать штатного исполнительного директора по информационной безопасности, или которые по ряду причин могут пожелать иметь специализированного внешнего руководителя, выполняющего эту роль. vCISO обычно выполняют те же функции, что и традиционные CISO, а также могут выступать в качестве «временного» CISO, в то время как компания, обычно использующая традиционного CISO, ищет замену. [6] Ключевые области, в которых vCISO могут поддерживать организацию, включают:

  • Консультирование по всем формам киберрисков и планам их устранения: vCISO могут оценить риски кибербезопасности организации, разработать стратегии по снижению этих рисков и реализовать соответствующие меры кибербезопасности. Они также могут предоставить рекомендации по планам реагирования на инциденты, обеспечению непрерывности бизнеса и планированию аварийного восстановления.
  • Коучинг совета директоров, руководства и группы безопасности: vCISO могут тесно сотрудничать с советом директоров, управленческой командой и командой безопасности, обеспечивая обучение, рекомендации и экспертные знания по вопросам кибербезопасности. Это включает в себя помощь организациям в понимании стратегических последствий рисков кибербезопасности, разработку политик и процедур кибербезопасности, а также обеспечение соблюдения передовых методов кибербезопасности.
  • Оценка и выбор продуктов и услуг поставщиков: vCISO могут помочь организациям в оценке и выборе продуктов и услуг кибербезопасности, таких как межсетевые экраны, системы обнаружения вторжений, а также решения для управления информацией о безопасности и событиями (SIEM). Они также могут помочь в переговорах по контрактам и управлении поставщиками, чтобы гарантировать, что организации получают максимальную отдачу от своих инвестиций в кибербезопасность.
  • Моделирование зрелости операций и процессов, возможностей и навыков команды инженеров: vCISO могут оценить уровень зрелости кибербезопасности организации и разработать планы по улучшению процессов, возможностей и навыков команд эксплуатации и инженеров. Это включает в себя проведение оценок кибербезопасности, внедрение механизмов кибербезопасности, а также предоставление программ обучения и развития персонала.
  • Брифинги и обновления для совета директоров и руководства: vCISO могут предоставлять совету директоров и руководству регулярные брифинги и обновленную информацию о текущей ситуации в области кибербезопасности, возникающих угрозах и передовом опыте. Они также могут помочь в разработке программ повышения осведомленности о кибербезопасности и обучении сотрудников на всех уровнях организации.
  • Планирование и анализ операционных и капитальных бюджетов: vCISO могут помочь в планировании и проверке операционных и капитальных бюджетов, связанных с кибербезопасностью. Это включает в себя выявление и определение приоритетности инвестиций в кибербезопасность, разработку экономически эффективных стратегий кибербезопасности и обеспечение выделения адекватных ресурсов для устранения рисков кибербезопасности.

См. также [ править ]

Ссылки [ править ]

  1. ^ «Обзор состояния информационной безопасности в мире в 2018 году» . ИДГ . 08.12.2017 . Проверено 17 августа 2021 г.
  2. ^ Фрулингер, Джош (12 июня 2018 г.). «Имеет ли значение, кому подчиняется директор по информационной безопасности?» . ПрайсуотерхаусКуперс . Архивировано из оригинала 4 апреля 2019 г. Проверено 17 августа 2021 г. {{cite web}}: CS1 maint: неподходящий URL ( ссылка )
  3. ^ Хаугли, Брайан (6 января 2024 г.). «Варианты структуры отчетности CISO» . Проверено 18 февраля 2024 г.
  4. ^ Дроле, Мишель (1 апреля 2015 г.). «Защитите свое будущее с помощью виртуального директора по информационной безопасности» . Журнал ИнфоБезопасность . Проверено 17 августа 2021 г.
  5. ^ Хаугли, Брайан (22 августа 2022 г.). «Что такое vCISO? Опыт, политика и программы, необходимые в области кибербезопасности» . Ютуб . Проверено 18 февраля 2024 г.
  6. ^ Хаугли, Брайан (7 октября 2023 г.). «Что такое vCISO и как его нанять?» . Проверено 7 октября 2023 г.

Внешние ссылки [ править ]

Arc.Ask3.Ru: конец переведенного документа.
Arc.Ask3.Ru
Номер скриншота №: 10591ef2218f363a121dc914896cd493__1708251000
URL1:https://arc.ask3.ru/arc/aa/10/93/10591ef2218f363a121dc914896cd493.html
Заголовок, (Title) документа по адресу, URL1:
Chief information security officer - Wikipedia
Данный printscreen веб страницы (снимок веб страницы, скриншот веб страницы), визуально-программная копия документа расположенного по адресу URL1 и сохраненная в файл, имеет: квалифицированную, усовершенствованную (подтверждены: метки времени, валидность сертификата), открепленную ЭЦП (приложена к данному файлу), что может быть использовано для подтверждения содержания и факта существования документа в этот момент времени. Права на данный скриншот принадлежат администрации Ask3.ru, использование в качестве доказательства только с письменного разрешения правообладателя скриншота. Администрация Ask3.ru не несет ответственности за информацию размещенную на данном скриншоте. Права на прочие зарегистрированные элементы любого права, изображенные на снимках принадлежат их владельцам. Качество перевода предоставляется как есть. Любые претензии, иски не могут быть предъявлены. Если вы не согласны с любым пунктом перечисленным выше, вы не можете использовать данный сайт и информация размещенную на нем (сайте/странице), немедленно покиньте данный сайт. В случае нарушения любого пункта перечисленного выше, штраф 55! (Пятьдесят пять факториал, Денежную единицу (имеющую самостоятельную стоимость) можете выбрать самостоятельно, выплаичвается товарами в течение 7 дней с момента нарушения.)