Директор по информационной безопасности - Chief information security officer

Директор по информационной безопасности ( CISO ) является исполнительным высшего уровня в пределах организации , ответственной за создание и поддержание корпоративного видения, стратегии и программы для обеспечения информационных ресурсов и технологий надлежащим образом защищены. Директор по информационной безопасности (CISO) руководит сотрудниками по выявлению, разработке, внедрению и сопровождению процессов на предприятии для снижения рисков, связанных с информацией и информационными технологиями (ИТ). Они реагируют на инциденты, устанавливают соответствующие стандарты и средства контроля, управляют технологиями безопасности и руководят установлением и внедрением политик и процедур. Директор по информационной безопасности также обычно отвечает за соответствие информации (например, контролирует внедрение для получения сертификата ISO / IEC 27001 для организации или ее части). CISO также отвечает за защиту конфиденциальной информации и активов компании, включая данные клиентов и потребителей. Директор по информационной безопасности (CISO) работает с другими руководителями, чтобы обеспечить рост компании ответственным и этичным образом.

Обычно влияние директора по информационной безопасности распространяется на всю организацию. Обязанности могут включать, но не ограничиваться:

• Группа реагирования на компьютерные чрезвычайные ситуации / группа реагирования на инциденты компьютерной безопасности
• Кибер-безопасности
• Аварийное восстановление и управление непрерывностью бизнеса
• Управление идентификацией и доступом
• Конфиденциальность информации
• Информация соответствие нормативным требованиям (например, США PCI DSS , FISMA , GLBA , HIPAA , Великобритания Закон о защите данных 1998 ; Канада PIPEDA , Европа GDPR )
• Управление информационными рисками
• Информационная безопасность и информационное обеспечение
• Центр управления информационной безопасностью (ISOC)
• Контроль информационных технологий для финансовых и других систем
• ИТ-расследования, цифровая криминалистика , обнаружение электронных данных

Наличие директора по информационной безопасности или аналогичной функции в организациях стало стандартной практикой в ​​коммерческих, государственных и некоммерческих организациях. К 2009 году примерно 85% крупных организаций имели руководителей по безопасности, по сравнению с 56% в 2008 году и 43% в 2006 году. В 2018 году Global State of Information Security Survey 2018 (GSISS), совместное исследование, проведенное ИТ-директором и CSO , и PwC пришли к выводу, что 85% предприятий имеют директора по информационной безопасности или его эквивалент. Роль CISO расширилась и теперь включает риски, связанные с бизнес-процессами , информационной безопасностью, конфиденциальностью клиентов и т. Д. В результате сейчас наблюдается тенденция к тому, чтобы больше не встраивать функцию CISO в ИТ-группу. В 2019 году только 24% директоров по информационной безопасности подчиняются главному информационному директору (CIO), 40% подчиняются непосредственно генеральному директору (CEO), а 27% не подчиняются генеральному директору и отчитываются перед советом директоров. Встраивание функции CISO в структуру отчетности ИТ-директора считается неоптимальным, поскольку существует вероятность конфликта интересов и потому, что обязанности этой роли выходят за рамки характера обязанностей ИТ-группы.

В корпорациях есть тенденция к тому, что директора по информационной безопасности (CISO) обладают сильным балансом деловой хватки и технических знаний. Директора по информационной безопасности часто пользуются большим спросом, и их вознаграждение сопоставимо с другими должностями высшего руководства, которые также имеют аналогичное корпоративное звание .

Типичный CISO имеет нетехнические сертификаты (например, CISSP и CISM ), хотя CISO, имеющий технический опыт, будет иметь расширенный набор технических навыков. Другое типичное обучение включает в себя управление проектами для управления программой информационной безопасности, финансовый менеджмент (например, наличие аккредитованного MBA) для управления бюджетами информационной безопасности и мягкие навыки для руководства разнородными командами менеджеров по информационной безопасности, директоров по информационной безопасности, аналитиков по безопасности, инженеров по безопасности. менеджеры по технологическим рискам. В последнее время, учитывая участие CISO в вопросах конфиденциальности, очень востребованы сертификаты, такие как CIPP .

Недавним развитием в этой области стало появление «виртуальных» CISO (vCISO, также называемых «Fractional CISO»). Эти директора по информационной безопасности работают на совместной или частичной основе в организациях, которые могут быть недостаточно большими для поддержки штатного исполнительного директора по информационной безопасности, или которые, возможно, пожелают по ряду причин иметь специализированного внешнего исполнительного директора, выполняющего эту роль. vCISO обычно выполняют функции, аналогичные традиционным CISO, а также могут выполнять функции «временного» CISO, в то время как компания, обычно использующая традиционный CISO, ищет замену. Ключевые области, в которых vCISO могут поддерживать организацию, включают:

• Консультации по всем формам киберрисков и планы по их устранению
• Коучинг совета директоров, управленческой команды и группы безопасности
• Оценка и выбор продуктов и услуг поставщика
• Операции по моделированию зрелости и процессы, возможности и навыки группы инженеров
• Брифинги и обновления для совета директоров и управленческой команды
• Планирование и анализ операционного и капитального бюджета

Смотрите также

• Информационная безопасность
  • Управление информационной безопасностью
  • Управление информационной безопасностью
• Совет директоров
• Главный специалист по данным
• Директор компании
• Руководитель информационной службы
• Директор по рискам
• Начальник службы безопасности

использованная литература

внешние ссылки

• «Подразделение CERT» . Институт программной инженерии Университета Карнеги-Меллона . Проверено 17 августа 2021 .
• Птица, Брэд (21.04.2020). "Кто такой директор по информационной безопасности?" . Офис директора по информационной безопасности . Проверено 17 августа 2021 .
• «Управление рисками информационной безопасности: организация, миссия и взгляд на информационную систему» . NIST . Март 2011 . Проверено 17 августа 2021 .