В условиях ускоренной цифровизации экономики и активного внедрения компаниями новейших решений в сфере обеспечения безопасности своих информационных активов, должность Директора по информационной безопасности (или CISO) становится одной из самых востребованных на современном рынке труда.

 

Вопрос в том, готовы ли компании предоставлять своим CISO и подразделениям, отвечающим за обеспечение информационной безопасности, достаточные ресурсы и бюджет, позволяющие снижать риски возникновения кибератак.

Компания Thycotic, поставщик решений в области привилегированного управления доступом, опубликовала отчет «Путь к успеху для команд по информационной безопасности: как измерять результаты, согласовывать бюджет и избегать стресса»[1], в котором говорится о трудностях, с которыми сталкиваются современные CISO, и о факторах, позволяющих выстроить работу ИБ подразделений максимально эффективно.

 

Основные выводы данного исследования следующие:

№1 Руководителям служб ИБ и их командам необходимо не только внедрять новые актуальные технические решения, но и выстраивать свои стратегии с учетом интересов бизнеса. Это позволит нивелировать проблемы, связанные с недостатком опытного персонала и ограниченностью бюджетов.

3 основных препятствия на пути к успеху в сфере ИБ:

35% - недостаток квалифицированного персонала;

34% - неконтролируемые уязвимости в системе безопасности;

34% - ограниченность бюджета, выделяемого на нужды безопасности

 

№2 Использование показателей, демонстрирующих важность реализации инициатив в области кибербезопасности для достижения общих целей бизнеса – это наиболее надежный способ получить требуемый бюджет на нужды ИБ. Основной секрет состоит в том, чтобы стать «ключевой опорой» и «двигателем» бизнеса.

89% респондентов ответили, что у их департамента имеются измеримые цели/показатели ИБ;

45% CISO заявили, то не имеют представления о том, как реализация инициатив в области ИБ повлияла на общие показатели компании;

30% не считают приоритетным изучение влияния инициатив в сфере ИБ (после того, как они были реализованы) на бизнес в целом.

В 48% случаев бюджет на ИБ выделялся, как свидетельство того, что реализация предыдущих инициатив была успешной.

52% опрошенных заявили, что недостижение целевых показателей негативно сказывалось на репутации департамента ИБ, приводило к учащению переработок (в 38% случаев) и к сокращению бюджетов на нужды безопасности (33%).

 

№3. Руководителям направлений ИБ необходимо развивать лидерские качества, которые позволят выстроить эффективный диалог со своей командой и мотивировать сотрудников.

42% опрошенных CISO отметили, что видят наибольшую трудность в соблюдении многочисленных и постоянно увеличивающихся регуляторных требований и правил комплаенса.

45% руководителей сталкиваются с трудностью удержания команды ИБ, поскольку сотрудники подвергаются многочисленным стрессам, вынуждены работать сверхурочно и при этом им не хватает поддержки со стороны руководства.

 

Авторы исследования пришли к выводу о том, что один из ключевых мотиваторов для сотрудников в сфере ИБ – осознание важности своей роли в качестве «телохранителя» бизнеса.

Для CISO, в свою очередь, даны следующие рекомендации:

- Быть примером позитивного отношения к своей работе, несмотря на то, что зачастую она связана с негативным опытом;

- Интегрировать безопасность в корпоративную культуру организации, выстроить систему отчетности и уведомлений о компьютерных инцидентах.

- Наладить эффективную коммуникацию с руководством компании и с руководителями отдельных направлений. Выстраивать стратегию в области ИБ с учетом общих интересов бизнеса, придерживаться принципов бизнес-этики.

 

Таким образом, роль руководителей направления информационной безопасности в компаниях является одной из ключевых, поскольку их основная задача состоит в том, чтобы найти баланс между обеспечением безопасности организации, с одной стороны, и созданием условий для роста и развития бизнеса – с другой.