BI.ZONE vCISO: опытный ИБ-руководитель с командой экспертов на аутсорсе

Многие компании разного масштаба сталкиваются с дефицитом квалифицированных кадров как в сфере ИТ, так и, в частности, в направлении кибербезопасности. По данным аналитиков, в России не хватает как минимум 100 тысяч специалистов ИБ (оценка Сбербанка, декабрь 2022), а всего два года назад эта цифра была в пять раз меньше – 20 тысяч. Причем это мировая тенденция: нехватка кадров на глобальном рынке ИБ составляет около 3,4 миллионов человек (оценка Cybersecurity Workforce Study, 2022).

Среди дефицитных позиций – как эксперты, которые занимаются консалтингом и вопросами соответствия законодательству, так и технические специалисты: инженеры, архитекторы и т. д. В большинстве случаев контроль над всеми защищаемыми ресурсами должен осуществлять компетентный топ-менеджер – директор по информационной безопасности (Chief information security officer, CISO), обладающий большим опытом. Кандидата на эту роль найти еще более сложно. В среднем в России подбор CISO в штат занимает от 4 до 6 месяцев.

BI.ZONE vCISO – ответ на нехватку управленцев в ИБ

«Дефицит кадров в ИБ возник в связи с большим количеством проектов, которые сейчас запустились, с учетом импортозамещения, развития новых систем, миграции на новые продукты. Для этого необходимо обеспечить кибербезопасность всех этих процессов, разработать комплекс организационно-технических мер, спланировать бюджеты. Компаниям нужен эксперт, который понимает всю специфику этого, у которого есть опыт и понимание того, как помочь бизнесу правильно выстроить стратегию с учетом всех аспектов кибербезопасности», – комментирует эксперт vCISO и архитектор решений в BI.ZONE Сергей Панин.

В ответ на этот вызов компания BI.ZONE в марте 2023 года запустила сервис BI.ZONE vCISO, который позволяет заказчику оперативно привлечь дополнительные ресурсы для комплексной киберзащиты и решения актуальных задач ИБ.

vCISO (внешний, или выделенный директор по ИБ) – это устоявшийся термин, который появился на Западе и постепенно входит в обиход в России и странах СНГ. vCISO может решить широкий спектр задач: помочь компании разобраться в вопросах кибербезопасности, наладить взаимодействие классической триады «люди-процессы-технологии», разработать стратегию развития ИБ, настроить взаимодействие команды ИБ с бизнесом и в целом – выстроить комплексную систему защиты от киберугроз у клиента.

«vCISO это менеджерская роль, он общается напрямую с руководством компании, с руководителями связанных подразделений – например ИТ, юридического департамента. Когда vCISO приходит в организацию, ему важно понять, как компания работает, чем она живет. На первых порах он именно погружается в бизнес-цели, бизнес-стратегию, проводит совещания, на которых совместно разбирается то, как выстроить защиту параллельно с текущими бизнес-процессами, чтобы безопасность не мешала компании зарабатывать деньги, а бизнес функционировал непрерывно», – добавляет владелец сервиса BI.ZONE vCISO Андрей Быков.

Структура сервиса BI.ZONE vCISO

Сервис BI.ZONE vCISO состоит из трех основных компонентов: эксперта уровня CISO, команды прикладных специалистов vOffice и средства автоматизации BI.ZONE Compliance Platform.

Эксперт уровня CISO – ядро сервиса. Это профессионал, который занимается управлением безопасностью, выстраиванием стратегии, приносит с собой колоссальный индустриальный опыт. Внешний CISO действует с позиции топ-менеджера: определяет этапы развития системы кибербезопасности, оценивает ее современное состояние и целевые показатели, перекладывает это в бюджеты, согласовывает их с руководством, интегрирует безопасность в существующие бизнес-процессы и бизнес-стратегию, занимается контролем процессов кибербезопасности, взаимодействует с регуляторами.

Прикладные разнопрофильные специалисты vOffice, подключаемые к проекту опционально, являются помощниками vCISO, находящимися под его управлением. Их задача – оперативно решить поставленную vCISO задачу. Они могут закрыть любой вопрос, связанный с кибербезопасностью, – начиная с обеспечения соответствия требованиям 152-ФЗ и заканчивая проектированием архитектуры кибербезопасности, внедрением средств защиты, их настройкой и сопровождением. В команде существуют также специалисты, которые помогут оперативно отреагировать на возможные инциденты, разобраться в проблеме, минимизировать последствия атаки, подготовить необходимые материалы для отчета.

Средство автоматизации BI.ZONE Compliance Platform – собственный продукт BI.ZONE, который помогает автоматизировать и оптимизировать рутинные процессы, снизить нагрузку на персонал и сформировать понятные, четкие метрики эффективности для руководства, доступные в режиме реального или близкого к реальному времени.

«BI.ZONE vCISO закрывает все задачи, связанные с безопасностью компании, на уровне полноценного подразделения кибербезопасности: начиная от управления и заканчивая прикладными задачами по настройке средств защиты, их сопровождению, мониторингу событий, разработке документов и т. д. При этом еще раз подчеркну, что без эксперта, стратега в роли vCISO этого сервиса в принципе существовать не может», – поясняет Андрей Быков.

Для кого предназначен сервис BI.ZONE vCISO

Специалисты BI.ZONE выделяют три типа компаний, которым подходит новый сервис.

Первый сценарий: в компании отсутствует директор по безопасности, а вопросами ИБ занимается ИТ-подразделение. Это довольно частая ситуация для быстрорастущих организаций: в процессе развития бизнеса компания может наладить процессы ИТ, запустить собственный бизнес-сервис, но безопасность оставить на перспективу. В таком случае BI.ZONE vCISO помогает правильно выстроить процессы ИБ «с нуля», подготовить стратегию и оперативно решить ключевые задачи, чтобы впоследствии двигаться по сформированному плану.

Второй сценарий: существует группа компаний с CISO в головной организации, который руководит подразделениями безопасности в дочерних организациях. Здесь vCISO может взять на себя управление безопасностью в дочерних организациях, подчиняясь непосредственно CISO головной организации, выстраивая вертикаль безопасности в единой прозрачной структуре.

Третий сценарий: у компании есть CISO, который справляется с задачами, но ей необходимо оперативно реализовать какой-то масштабный проект, построить какой-то процесс. В таком случае vCISO, при возможном участии vOffice, поможет в этом, а в дальнейшем будет подключаться при необходимости для донастройки и поддержки, синхронизируя свои действия с штатным CISO.

«Когда подбирается команда ИБ, у заказчика, как правило, есть понимание того, в какое направление он хочет больше углубиться: это может быть организационная или техническая составляющая, может быть универсальная команда. У нас есть и специалисты-универсалы, и менеджеры, и технические специалисты. До того, как стартует сервис, заказчик смотрит наше резюме, проводятся собеседования. Важен не только опыт конкретного человека, но и то, насколько люди подходят друг другу. Если есть понимание, установлен контакт, то в дальнейшем уже определяется пул работ и реализуется данная услуга. Таким образом – мы стремимся к универсальности, но всегда есть заточенность на определенном направлении vCISO», – поясняет Сергей Панин.

«В нашей команде несколько специалистов, которые выполняют роль vCISO, и они разбиты на группы по прикладным знаниям: кто-то больше технарь, кто-то – «рисковик», кто-то – за комплаенс. Но существует и отраслевая специфика: есть сотрудники, которые работали в кредитных организациях, в промышленности. Поэтому, когда мы предоставляем конечному заказчику резюме, он сам выбирает и понимает, что ему нужно», – добавляет Андрей Быков.

Рабочие стадии сервиса и преимущества BI.ZONE vCISO

«Жизненный цикл» vCISO у заказчика состоит из нескольких этапов, которые могут проходить последовательно, но в большинстве случаев накладываются друг на друга. При размещении vCISO в компании его первоочередная задача – разобраться с тем, что происходит на текущий момент, понять цели и задачи, бизнес потребности, бизнес-стратегию, ИТ-стратегию, на основе этого сформировать стратегию безопасности, выстроить доверительные отношения с руководством компании и со смежными подразделениями.

После этого vCISO начинает заниматься погружением в детали: как сейчас реализованы процессы ИБ, какие технологии и средства защиты используются и так далее. По этим данным формируется подробная дорожная карта для реализации стратегии ИБ, ее шаги перекладываются на бюджет, согласовываются с руководством.

Далее следует длительная, поэтапная практическая работа: построение системы ИБ и процессов, внедрение средств защиты, их настройка, сопровождение. Для этих задач может активно использоваться команда vOffice, а также внутренние специалисты организации.

Последним начинается этап определения метрик эффективности, которые помогают понять, правильно ли движется компания к достижению намеченных целей, а в случае отклонения – скорректировать подходы.

Отвечая на вопрос журналиста ICT-Online.ru, эксперты BI.ZONE уточнили, сколько времени требуется vCISO, чтобы первоначально погрузиться во все нюансы деятельности компании-клиента. Срок зависит от типа и размера компании, специфики ее деятельности, количества информационных систем, количества контрагентов, а также от внешних факторов, с которыми сталкивается организация. В целом этот процесс может занимать от месяца до трех.

Таким образом, в рамках услуги BI.ZONE vCISO специалист уровня CISO, обладающий огромным опытом в области ИБ, может включиться в работу максимально быстро, а также без лишних формальных процедур привлечь дополнительных профильных экспертов, которые оперативно решат актуальные задачи клиента.

«Конечно, компания должна сама для себя понять, комфортно ли ей работать с vCICO, или более уместно нанять человека в штат. Но всегда при этом нужно опираться на несколько факторов. Во-первых, специалист, выполняющий роль директора по безопасности, должен подтвердить свой профессионализм резюме, опытом, сертификатами. Компания BI.ZONE известный игрок на рынке, обладает всеми необходимыми лицензиями для осуществления такой деятельности. Важнейший момент – ответственность. Все договоренности, SLA между нами и клиентами – детально прорабатываются и фиксируются», – подводит итог Андрей Быков.