Контакты
Подписка 2025

Business Information Security Officer – востребованный герой нашего времени

Валерий Естехин, 28/04/21

Основная цель процессов ИТ и ИБ в компаниях – это предоставление бизнесу оптимальных сервисов по обоснованной цене с учетом сопутствующих рисков. Управление этими рисками дает бизнесу разумную гарантию, что не реализуется такой сценарий, который сможет существенным образом повлиять на достижение компанией стратегических целей. К сожалению, ИТ- и ИБ-риски во многих компаниях часто оказываются вторичными по отношению к бизнес-целям.

Автор: Валерий Естехин, эксперт по вопросам информационной безопасности, автор блога estekhin.blogspot.ru

Как ИБ стать стратегическим партнером бизнесу?

Для некоторых крупных компаний уже недостаточно директора по информационным технологиям (CIO) и директора по информационной безопасности (CISO). Нужен тот, кто умеет "продавать" топ-менеджменту идеальную модель безопасной компании, а именно деловой директор по информационной безопасности – Business Information Security Officer (BISO). Он должен объединить стратегию кибербезопасности с бизнес-целями компании. Для этого BISO необходимо не только обладать высокой осведомленностью в ключевых технологических тенденциях ИТ и ИБ, но и разбираться в бизнес-процессах компании.

Основные задачи BISO:

  • понимать реальную экономику бизнеса;
  • способствовать включению информационной безопасности во внутреннюю культуру бизнеса;
  • переводить технические вопросы ИТ и ИБ в русло бизнес-требований;
  • четко и эффективно общаться как с технологическими, так и с деловыми партнерами, выступая в качестве контактного лица – советника по вопросам ИБ;
  • способствовать соблюдению политик и нормативных требований ИБ;
  • управлять рисками ИБ с учетом их:
    - финансового воздействия на компанию;
    - регуляторного воздействия на компанию;
    - воздействия на репутацию компании;
    - воздействия на операционную деятельность компании;
  • способствовать обмену информацией, достижению эффективных рабочих отношений на всех уровнях с целью повышения устойчивости компании к внешним и внутренним угрозам;
  • контролировать эффективность инициатив в области кибербезопасности с целью минимизации потерь от реализации существующих ИТ- и ИБ-рисков;
  • предоставлять бизнесу тотальный срез по всем ИТ- и ИБ-рискам портфеля ИТуслуг компании, влияющим на цели и задачи бизнеса;
  • знать структуру и динамику затрат на ИТ и ИБ у конкурентов.

Что же такого может BISO в отличие от CISO?

BISO отводится роль связующего звена между топ-менеджментом, бизнес-подразделениями, ИТ-службой и службой информационной безопасности (ИБ). BISO может помочь бизнесу в достижении целей, представляя эффективную стратегию безопасности, дорожную карту работ и проектов по ИБ на будущее.

Нанимали – веселились, посчитали – прослезились Итак, руководитель компании принял решение нанять очаровавшего его на собеседовании своими сертификатами делового директора по кибербезопасности и вполне обоснованно ожидает, что тот обеспечит надежную защиту бизнеса от внешних и внутренних угроз за разумную цену и в разумные сроки.

Однако при этом никто не гарантирует BISO, что проведение им последовательных шагов в направлении укрепления кибербезопасности компании непременно станет "историей успеха".

Варианты финала могут быть разные.

Риск не оправдать надежд

Во-первых, BISO может потребоваться "своя" команда. Это может повлечь раздувание штата. Через пару месяцев вдруг окажется, что новый директор нанял себе целый штат помощников с целью изучения известных техник, тактик и инструментов атакующих для проактивного обнаружения угроз и поэтапного укрепления защищенности компании. Так компания попадает в экзистенциальный ад исследования безопасности, где ее ИТ-инфраструктуру ломают самыми изощренными способами, привлекая разные команды пентестеров. При этом число уволенных за косяки сотрудников удваивается каждый квартал.

Многоотраслевой "спец на час"

Во-вторых, для BISO существует риск стать директором-популяризатором ("директором на час") ключевых задач бизнеса, связанных с кибербезопасностью компании. Такой BISO будет без конца штамповать блестящие презентации в PowerPoint с манящими заголовками: "Зачем нужна ИБ и какой она должна быть?"; "Что от ИБ ждет бизнес?"; "Как реально защитить организацию и ее активы от киберпреступников, сотрудников и промышленного шпионажа?"; "Какие средства защиты и проекты по ИБ реально нужны и почему?"; "Как не "перекрутить гайки" с безопасностью?"; "Чем грозят бизнесу токсичные законодательные инициативы регуляторов?" и т.д. Но все то, что он способен привнести в компанию на своем "юношеском задоре", по причине того же "юношеского задора" по желанию руководства может в одночасье рухнуть.

Поэтому такие BISO-популяризаторы долго в компаниях не задерживаются.

Но риск быть непонятым не особенно беспокоит этот тип BISO, ведь всегда можно найти себе применение в другой компании, которой требуется "опытный и харизматичный" человек на эту должность.

Осознание внутренней противоречивости роли BISO

Приходя в новую компанию, BISO, как правило, находит повсюду факторы риска и недостатки в инфраструктуре, в ИТ-архитектуре, в кадровом, финансовом, юридическом обеспечении персонала компании, о чем немедленно докладывает руководству. И это может насторожить бизнес.

С одной стороны, по мнению руководства, BISO должен демонстрировать свое понимание бережливого бизнеса, стратегии, возможностей роста, культуры, финансового управления затратами.

С другой стороны, реальность такова, что без параноидального стремления к безопасности компанию рано или поздно взломают. В настоящий момент мы наблюдаем революцию в области коммуникаций и удаленной работы, а фокус деятельности у многих компаний сместился в онлайн. Можно также с уверенностью сказать, что у каждого онлайн-сервиса существуют риски в процессах, влияющие на ценность услуги на разных стадиях жизненного цикла.

Условия деятельности компании, влияющие на безопасность:

  • практически каждый сервис можно монетизировать (монетизации активов в результате действий внутренних и внешних злоумышленников либо в результате кибератак);
  • ошибки в стратегии защиты онлайн-сервисов обойдутся компании слишком дорого (атаки вирусов-шифровальщиков);
  • обеспечение непрерывности бизнеса – задача всех основных и обслуживающих подразделений компании (убытки, понесенные в результате простоя ИТ-систем, не могут быть ниже, чем убытки, нанесенные прерыванием бизнес-процессов, которые эти ИТ-системы обеспечивают);
  • все возможные коммуникационные каналы и онлайн-сервисы компании могут подвергаться атакам злоумышленников.

BISO должен одинаково влиять и на персонал, и на руководство, чтобы не допустить игнорирования рекомендаций специалистов по кибербезопасности.

Область ИБ пока не сформировалась в головах руководителей как самостоятельная сфера по примеру ИТ, бухгалтерии, управления персоналом, пожарной безопасности. Также отношения с ИТ у ИБ иногда бывают очень вязкие из-за нежелания ИТ-службы вносить изменения в ИТ-инфраструктуру по чьей-то указке.

Все перечисленное приводит к тому, что ИБ-службе подчас очень трудно доказать, какая уязвимость точно приведет к краху ИТ-инфраструктуры (доминирующие в данный момент угрозы могут быть пересмотрены и опровергнуты в будущем, после появления новых технологий или открытия каких-нибудь уязвимостей) и что текущие изменения – как реакция на актуальные уязвимости – не вносятся своевременно.

Другими словами, существует очевидное несоответствие между недовольством бизнеса величиной постоянных затрат на создание необходимой безопасной инфраструктуры и тем, как видит эти процессы BISO.

Ставка на покупку компетенции в лице BISO

Роль BISO в достижении стратегических целей бизнеса все еще экзотика для российских компаний. Было бы ошибкой ожидать, что введение должности BISO волшебным образом улучшит качество управления компанией, скорее это приведет к созданию еще одного центра затрат и влияния. Даже в зрелых организациях роль BISO воспринимается по-разному. Где-то он призван обеспечить за короткое время реализацию инициатив в области безопасности с учетом бизнес-контекста компании. Гдето он лишь звено в иерархической структуре реагирования и управления рисками, призванное использовать свою значительную экспертизу в технологиях безопасности для оказания влияния на убеждения и взгляды топ-менеджмента компании.

Управление кибербезопасностью должно соответствовать бизнес-целям, и поэтому со временем, вероятно, должность BISO будет появляться во все большем числе крупных компаний, так как владельцы бизнеса уже осознали непредсказуемость наступления киберрисков и необратимость негативных последствии􀀀 от них.

BISO может стать не только стратегическим активом компании. Эффективное управление рисками, основанное на глубоком понимании затрат на ИТ и ИБ, поможет BISO грамотно распределить инвестиции в средства защиты технологического стека и в целом повысить эффективность команд, отвечающих за информационную безопасность.

Теоретически можно выбрать сколько угодно путей повышения киберустойчивости компании. Задача BISO – добиться правильного баланса и способствовать тому, чтобы мероприятия по ИБ не концентрировались исключительно на технологических аспектах безопасного выполнения бизнес-процессов.

Комментарий эксперта

Константин Саматов, член Правления АРСИБ (Ассоциация руководителей служб информационной безопасности)

Современный бизнес ждет от руководителя подразделения информационной безопасности (CISO) умения выстраивать процессы информационной безопасности и управлять техническими специалистами, а также способности продавать функционал ИБ другим структурным подразделениям компании, а иногда и контрагентам.

Однако ввиду того, что традиционно на должность CISO рассматриваются профессионалы, имеющие прежде всего технический бэкграунд, инженерные компетенции и техническое образование (что находит свое отражение в том числе и в требованиях регуляторов), возникает потребность в новой роли, Business Information Security Officer (BISO).

В целом практика включения роли BISO в мире не нова, но следует отметить, что BISO в подавляющем большинстве случаев – это не директор и не руководитель самостоятельного подразделения, что, в общем-то, и следует из содержания самой аббревиатуры, BISO – это Officer, а не Chief и не Head. Поэтому наиболее эффективно, на мой взгляд, рассматривать BISO как советника, консультанта по вопросам ИБ или менеджера по ИБ, как это и бывает во многих международных компаниях.

С практической точки зрения я бы рекомендовал рассматривать на роль BISO профессионала с хорошим управленческим бэкграундом и управленческим образованием (возможно, степенью МВА) на позиции заместителя или советника для CISO, имеющего хороший технический бэкграунд. Именно на этой должности BISO и сможет эффективно выполнять роль связующего звена, про которое говорит автор статьи. Кроме того, в этом случае BISO и CISO будут хорошо дополнять друг друга, компенсируя свои слабые стороны и используя сильные, что решит многие вопросы, обозначенные автором статьи.

Темы:УправлениеЖурнал "Информационная безопасность" №1, 2021BISO

Программа мероприятий
по информационной безопасности
на ТБ Форуме 2025
Крокус Экспо | 11-13 февраля 2025

Посетить
Обзоры. Спец.проекты. Исследования
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля 2025
Получите комментарии экспертов на ТБ Форуме 2025
Статьи по той же темеСтатьи по той же теме

  • Кризисный менеджмент в информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В данной статье рассмотрим, что такое кризисный менеджмент и как его принципы соотносятся с классическим циклом PDCA, обеспечивая системный подход к управлению информационной безопасностью.
  • Ключевые индикаторы риска: как ими правильно пользоваться
    Кирилл Чекудаев, ведущий консультант по информационной безопасности RTM Group
    Ключевые индикаторы риска (КИР) необходимо корректно определить, и на этом этапе, как показывает практика, у многих организаций финансового сектора возникают проблемы.
  • Секьюритизация сотрудников: практики и инструменты в интересах безопасности организации
    Кирилл Шалеников, руководитель проектов в интеграторе Angara Security
    Security Awareness – неотъемлемая часть стратегии информационной безопасности для любой организации. Обученные сотрудники способствуют созданию более защищенной среды и снижают риски для потери данных и репутации компании. Инвестиции в обучение и повышение осведомленности сотрудников могут оказаться одной из наиболее эффективных мер по обеспечению безопасности информации.
  • Ключевые показатели эффективности для подразделений информационной безопасности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    В практической деятельности у руководителей cлужб информационной безопасности часто возникают проблемы, связанные с оценкой эффективности возглавляемого ими подразделения.
  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?

Хотите участвовать?

Выберите вариант!

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
13 февраля | Подходы и инструменты управления процессом РБПО
Узнайте на ТБ Форуме 2025!

More...
ТБ Форум 2025
13 февраля. Отечественные ИТ-системы и российское ПО
Жми, чтобы участвовать

More...