Журнал "Information Security/ Информационная безопасность" #1, 2021

Поэтому такие BISO-популяризаторы долго в компаниях не задерживаются. Но риск быть непонятым не особенно беспокоит этот тип BISO, ведь всегда можно найти себе применение в другой компании, которой требуется "опытный и харизматичный" человек на эту долж- ность. Осознание внутренней противоречивости роли BISO Приходя в новую компанию, BISO, как правило, находит повсюду факторы риска и недостатки в инфраструктуре, в ИТ-архитектуре, в кадровом, финан- совом, юридическом обеспечении пер- сонала компании, о чем немедленно докладывает руководству. И это может насторожить бизнес. С одной стороны, по мнению руко- водства, BISO должен демонстрировать свое понимание бережливого бизнеса, стратегии, возможностей роста, куль- туры, финансового управления затра- тами. С другой стороны, реальность такова, что без параноидального стремления к безопасности компанию рано или поздно взломают. В настоящий момент мы наблюдаем революцию в области ком- муникаций и удаленной работы, а фокус деятельности у многих компаний сме- стился в онлайн. Можно также с уверен- ностью сказать, что у каждого онлайн- сервиса существуют риски в процессах, влияющие на ценность услуги на разных стадиях жизненного цикла. Условия деятельности компании, влияющие на безопасность: l практически каждый сервис можно монетизировать (монетизации активов в результате действий внутренних и внешних злоумышленников либо в результате кибератак); l ошибки в стратегии защиты онлайн- сервисов обойдутся компании слишком дорого (атаки вирусов-шифровальщи- ков); l обеспечение непрерывности бизне- са – задача всех основных и обслужи- вающих подразделений компании (убыт- ки, понесенные в результате простоя ИТ-систем, не могут быть ниже, чем убытки, нанесенные прерыванием биз- нес-процессов, которые эти ИТ-системы обеспечивают); l все возможные коммуникационные каналы и онлайн-сервисы компании могут подвергаться атакам злоумыш- ленников. BISO должен одинаково влиять и на персонал, и на руководство, чтобы не допустить игнорирования рекомендаций специалистов по кибербезопасности. Область ИБ пока не сформировалась в головах руководителей как самостоя- тельная сфера по примеру ИТ, бухгал- терии, управления персоналом, пожар- ной безопасности. Также отношения с ИТ у ИБ иногда бывают очень вязкие из-за нежелания ИТ-службы вносить изменения в ИТ-инфраструктуру по чьей- то указке. Все перечисленное приводит к тому, что ИБ-службе подчас очень трудно доказать, какая уязвимость точно при- ведет к краху ИТ-инфраструктуры (доми- нирующие в данный момент угрозы могут быть пересмотрены и опровергну- ты в будущем, после появления новых технологий или открытия каких-нибудь уязвимостей) и что текущие измене- ния – как реакция на актуальные уязви- мости – не вносятся своевременно. Другими словами, существует оче- видное несоответствие между недоволь- ством бизнеса величиной постоянных затрат на создание необходимой без- опасной инфраструктуры и тем, как видит эти процессы BISO. Ставка на покупку компетенции в лице BISO Роль BISO в достижении стратегиче- ских целей бизнеса все еще экзотика для российских компаний. Было бы ошибкой ожидать, что введение долж- ности BISO волшебным образом улучшит качество управления компанией, скорее это приведет к созданию еще одного центра затрат и влияния. Даже в зрелых организациях роль BISO воспринимается по-разному. Где-то он призван обеспе- чить за короткое время реализацию инициатив в области безопасности с учетом бизнес-контекста компании. Где- то он лишь звено в иерархической струк- туре реагирования и управления риска- ми, призванное использовать свою значительную экспертизу в технологиях безопасности для оказания влияния на убеждения и взгляды топ-менеджмента компании. Управление кибербезопасностью должно соответствовать бизнес-целям, и поэтому со временем, вероятно, долж- ность BISO будет появляться во все большем числе крупных компаний, так как владельцы бизнеса уже осознали непредсказуемость наступления кибер- рисков и необратимость негативных последствии от них. BISO может стать не только стратеги- ческим активом компании. Эффективное управление рисками, основанное на глу- боком понимании затрат на ИТ и ИБ, поможет BISO грамотно распределить инвестиции в средства защиты техноло- гического стека и в целом повысить эффективность команд, отвечающих за информационную безопасность. Теоретически можно выбрать сколько угодно путей повышения киберустойчи- вости компании. Задача BISO – добиться правильного баланса и способствовать тому, чтобы мероприятия по ИБ не кон- центрировались исключительно на тех- нологических аспектах безопасного выполнения бизнес-процессов. l • 31 УПРАВЛЕНИЕ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Современный бизнес ждет от руководителя подразде- ления информационной безопасности (CISO) умения выстраивать процессы информационной безопасности и управлять техническими специалистами, а также спо- собности продавать функционал ИБ другим структурным подразделениям компании, а иногда и контрагентам. Однако ввиду того, что традиционно на должность CISO рассматриваются профессионалы, имеющие прежде всего технический бэкграунд, инженерные компетенции и техническое образование (что находит свое отражение в том числе и в требованиях регуляторов), возникает потребность в новой роли, Business Information Security Officer (BISO). В целом практика включения роли BISO в мире не нова, но следует отметить, что BISO в подавляющем большинстве случаев – это не директор и не руководитель самостоя- тельного подразделения, что, в общем-то, и следует из содержания самой аббревиатуры, BISO – это Officer, а не Chief и не Head. Поэтому наиболее эффективно, на мой взгляд, рассматривать BISO как советника, консультанта по вопросам ИБ или менеджера по ИБ, как это и бывает во многих международных компаниях. С практической точки зрения я бы рекомендовал рас- сматривать на роль BISO профессионала с хорошим управ- ленческим бэкграундом и управленческим образованием (возможно, степенью МВА) на позиции заместителя или советника для CISO, имеющего хороший техни- ческий бэкграунд. Именно на этой должности BISO и сможет эффективно выполнять роль связующего звена, про которое говорит автор статьи. Кроме того, в этом случае BISO и CISO будут хорошо дополнять друг друга, компенсируя свои слабые стороны и используя сильные, что решит многие вопросы, обозначенные автором статьи. l Константин Саматов, член Правления АРСИБ (Ассоциация руководителей служб информационной безопасности) Комментарий эксперта