Директор по информационной безопасности ( CISO ) является исполнительным высшего уровня в пределах организации , ответственной за создание и поддержание корпоративного видения, стратегии и программы для обеспечения информационных ресурсов и технологий надлежащим образом защищены. Директор по информационной безопасности (CISO) руководит сотрудниками по выявлению, разработке, внедрению и поддержке процессов на предприятии для снижения рисков, связанных с информационными технологиями (ИТ). Они реагируют на инциденты, устанавливают соответствующие стандарты и средства контроля, управляют технологиями безопасности и руководят установлением и внедрением политик и процедур. Директор по информационной безопасности также обычно отвечает за соблюдение требований, связанных с информацией (например, контролирует внедрение для достиженияСертификация ISO / IEC 27001 для организации или ее части). CISO также отвечает за защиту конфиденциальной информации и активов компании, включая данные клиентов и потребителей. Директор по информационной безопасности (CISO) работает с другими руководителями, чтобы обеспечить рост компании ответственным и этичным образом.
Обычно влияние директора по информационной безопасности распространяется на всю организацию. Обязанности могут включать, но не ограничиваться:
- Группа реагирования на компьютерные чрезвычайные ситуации / группа реагирования на инциденты компьютерной безопасности
- Кибербезопасность
- Аварийное восстановление и управление непрерывностью бизнеса
- Управление идентификацией и доступом
- Конфиденциальность информации
- Информация соответствие нормативным требованиям (например, США PCI DSS , FISMA , GLBA , HIPAA , Великобритания Закон о защите данных 1998 ; Канада PIPEDA , Европа GDPR )
- Управление информационными рисками
- Информационная безопасность и информационное обеспечение
- Центр управления информационной безопасностью (ISOC)
- Контроль информационных технологий для финансовых и других систем
- ИТ-расследования, цифровая криминалистика , обнаружение электронных данных
Наличие директора по информационной безопасности или аналогичной функции в организациях стало стандартной практикой в коммерческих, государственных и некоммерческих организациях. К 2009 году примерно 85% крупных организаций имели руководителей по безопасности, по сравнению с 56% в 2008 году и 43% в 2006 году. В 2018 году Global State of Information Security Survey 2018 (GSISS), совместный опрос, проведенный ИТ-директором и CSO , и PwC [1] пришли к выводу, что 85% предприятий имеют директора по информационной безопасности или эквивалент. Роль CISO расширилась и теперь включает риски, связанные с бизнес-процессами , информационной безопасностью, конфиденциальностью клиентов и т. Д. В результате сейчас наблюдается тенденция к тому, чтобы больше не встраивать функцию CISO в ИТ-группу. В 2019 году только 24% директоров по информационной безопасности подчиняются главному информационному директору (CIO), 40% подчиняются непосредственно главному исполнительному директору (CEO), а 27% не подчиняются генеральному директору и отчитываются перед советом директоров. Включение функции CISO в структуру отчетности ИТ-директора считается неоптимальным, поскольку существует вероятность конфликта интересов и поскольку обязанности этой роли выходят за рамки характера обязанностей ИТ-группы.
В корпорациях существует тенденция к тому, чтобы директора по информационным технологиям имели сильный баланс между деловой хваткой и техническими знаниями. Директора по информационной безопасности часто пользуются большим спросом, и их вознаграждение сопоставимо с другими должностями высшего руководства, которые также имеют аналогичное корпоративное звание .
Типичный CISO имеет нетехнические сертификаты (например, CISSP и CISM ), хотя CISO, имеющий технический опыт, будет иметь расширенный набор технических навыков. Другое типичное обучение включает в себя управление проектами для управления программой информационной безопасности, финансовый менеджмент (например, наличие аккредитованной MBA) для управления бюджетами информационной безопасности и soft-skills для руководства разнородными командами менеджеров по информационной безопасности, директоров по информационной безопасности, аналитиков по безопасности, инженеров по безопасности. и менеджеры по технологическим рискам. В последнее время, учитывая участие CISO в вопросах конфиденциальности, очень востребованы сертификаты, такие как CIPP .
Недавним развитием в этой области стало появление «виртуальных» CISO (vCISO, также называемых «Fractional CISO»). [2] Эти директора по информационной безопасности работают на совместной или частичной основе в организациях, которые могут быть недостаточно большими для поддержки штатного исполнительного директора по информационной безопасности, или которые могут пожелать по ряду причин иметь специализированного внешнего исполнительного директора, выполняющего эту роль. . vCISO обычно выполняют функции, аналогичные традиционным CISO, а также могут действовать как «временные» CISO, пока компания, обычно использующая традиционный CISO, ищет замену. Ключевые области, в которых vCISO могут поддерживать организацию, включают: [3]
- Консультации по всем формам киберрисков и планы по их устранению
- Коучинг совета директоров, управленческой команды и группы безопасности
- Оценка и выбор продуктов и услуг поставщика
- Операции по моделированию зрелости и процессы, возможности и навыки группы инженеров
- Брифинги и обновления для совета директоров и управленческой команды
- Планирование и анализ операционного и капитального бюджета
Смотрите также
Рекомендации
- ^ "Глобальное исследование состояния информационной безопасности" . PricewaterhouseCoopers . Проверено 25 мая 2019 .
- ^ https://www.infosecurity-magazine.com/opinions/secure-your-future-with-a-virtual/
- ^ https://www.sidechannel.com/virtual-ciso
Внешние ссылки
- Руководство для руководителей информационной безопасности
- Сертификат - Организационная безопасность
- Кто такой директор по информационной безопасности?
- NIST - Управление (PDF)