Директор по подписке: как vCISO помогает компаниям справляться с киберугрозами в условиях нехватки ИБ-специалистов

О дефиците квалифицированных кадров в ИБ-отрасли говорят уже давно. В ответ на запрос компаний, в российских университетах появилось много программ для подготовки кадров по кибербезопасности. Но, молодые специалисты выпустятся только через несколько лет. К тому же им понадобится время, чтобы набраться опыта и «дорасти» до руководящей должности. А пока компаниям приходится самостоятельно искать способы справляться с нехваткой ИБ-кадров.

Один из них — привлечь многопрофильного специалиста со стороны или воспользоваться услугой vCISO. В статье рассказываем, что это за услуга, какие задачи она решает и каким компаниям она подойдет.

Что делает vCISO

Virtual Chief Information Security Officer или vCISO — виртуальный директор по кибербезопасности. Также термином vCISO или CISO-as-a-Service называют комплекс услуг, который предоставляют эксперты по информационной безопасности на контрактной основе.

Андрей Тимошенко

Директор по развитию компании «Информзащита»

Грамотных руководителей с хорошим опытом и умением управлять комплексными процессами и системами не хватает во всех отраслях, в том числе и в сфере информационной безопасности. Со временем будет расти спрос на тех, кто смог успешно пережить серьезные кибератаки и хорошо был к ним готов. Если же руководитель ИБ на деле оказывается «бумажным безопасником», то у него не всегда получается организовать реальную результативную защиту информационных активов. В таких случаях возникает необходимость во внешней экспертизе.

Виртуальный директор по кибербезопасности — это внештатный топовый эксперт или команда экспертов, которых компания привлекает для решения своих задач. Функции vCISO совпадают с обязанностями внутреннего директора по информационной безопасности. В зависимости от потребностей и возможностей компании vCISO может помочь следующими способами:

• Провести внутренний и внешний аудит защиты, пентестинг;
• Разработать стратегию развития кибербезопасности;
• Управлять проектами по информационной безопасности;
• Сформировать ИБ-отдел;
• Внедрить процесс управления рисками;
• Разработать необходимые документы по кибербезопасности: регламенты, процедуры и политики;
• Разработать программу обучения кибербезопасности для сотрудников:
• Внедрить процесс реагирования на инциденты;
• Расследовать инциденты;
• Обеспечить соответствие компании требованиям в области кибербезопасности.

Таким образом vCISO может заменить целый отдел кибербезопасности. При этом vCISO может подчиняться руководству компании-заказчика, директору IT-отдела или штатному директору по кибербезопасности.

Когда нужен vCISO

Количество кибератак на российские организации возрастает. Аналитики МТС RED SOC в 2023 году выявили более 50 тысяч инцидентов — на 43% больше, чем за предыдущий год. А это значит, что любая компания, вне зависимости от размера и значения, может оказаться под угрозой и нуждается в хорошей защите. При этом две трети отечественных компаний заявили, что столкнулись с нехваткой ИБ-кадров, а 24% — рассказали, не могут подобрать российские ИБ-решения для своих задач.

Юрий Драченин

Заместитель гендиректора Staffcop («Атом безопасность», входит в ГК СКБ Контур)

Да, действительно, дефицит топ-менеджеров в ИБ существует, и проблема не ограничивается только этой группой. Из-за участившихся мошеннических и террористических действий, законодательство ужесточило требования к специалистам по ИБ. Например, для организаций критической инфраструктуры руководить ИБ может только заместитель руководителя.

К таким специалистам предъявляются строгие требования: обязательное профессиональное образование в сфере ИБ, стаж работы не менее 5 лет и повышение квалификации каждые три года. Поскольку программа обучения по ИБ относительно новая и раньше не была востребована, у многих специалистов отсутствует необходимый опыт для занятия должности CISO.

В России спрос на топ-менеджеров и руководителей в ИБ-сфере высок, как и во всем мире. Но после указа Президента Российской Федерации № 250, по которому большинство отечественных компаний должны иметь ИБ-отделы, возникла нехватка и специалистов middle, middle+ уровней в области информационной безопасности. Чтобы решить проблему дефицита кадров, организации прибегают к помощи vCISO.

Дмитрий Шкуропат

Руководитель направления защиты информации облачного провайдера «НУБЕС» (Nubes) Nubes

Привлечение со стороны человека, который обладает необходимыми компетенциями и построил не одну эффективную систему информационной безопасности является логичным. Соответственно, услуги  vCISO определенным спросом пользуются. Среди наших клиентов как минимум несколько компаний привлекали внешнего консультанта по вопросам отладки процессов в области ИБ. При этом, по нашим оценкам, спрос на эту услугу сейчас в разы больше, чем рынок готов предложить.

Как правило, компании прибегают к услуге vCISO по трем причинам:

1. Нет ИБ-отдела или своего директора по кибербезопасности. Бывает, что в небольшой компании вопросами кибербезопасности не занимаются вовсе или функцию защиты выполняет IT-отдел. Чтобы не нанимать дорогостоящего специалиста в штат, организация использует руководителя на аутсорсе. Он выстраивает стратегию защиты с нуля, устанавливает стандарты и регламенты, готовит сотрудников.
2. Не хватает топ-менеджеров в филиалах. Директору по безопасности в группе организаций необходимо делегировать ряд задач по управлению дочерними подразделениями. Холдинг может воспользоваться услугой vCISO, чтобы выстроить кибербезопасность в дочерних компаниях, привести в порядок процессы и документацию.
3. Не хватает ресурсов для определенных задач. Сейчас компании столкнулись с проблемой и импортозамещения. Им нужно успеть до 2025 года полностью перейти на отечественное ПО. При этом не всегда хватает компетенций или ресурсов подобрать подходящее программное обеспечение в соответствии с их потребностями и возможностями. В этом случае vISO можно привлечь на время, чтобы решить вопрос с софтом.

По оценкам экспертов рынок услуг vCISO пока не сформирован.

Виктор Бобыльков

CISO MTS Web Services

Рынок выглядит как несформированный — нет понимания «модели продаж», позиционирования по сегментам, стандартного пакета услуг, понимания «ожиданий заказчика». Зачастую vCISO используется в больших группах компаний, когда из материнской компании они выделяются для курирования информационной безопасности в дочерних зависимых обществах. Либо компании вынуждены обращаться в интеграторы, которые выделяют vCISO для ведения и контроля работ по информационной безопасности.

Привлечение виртуального директора имеет ряд преимуществ. Компания получает доступ к экспертизе, экономит время на поиск топового специалиста и финансы на его содержание. Особенно, если организация небольшая, а специалист нужен на время.

Риски vCISO

Привлечение внешнего эксперта может казаться, на первый взгляд, оптимальным выбором в условиях нехватки топ-менеджеров в ИБ-отрасли и режима экономии бюджета компании. Но нужно помнить, что услуга vCISO имеет ряд недостатков. Так, например, виртуальному директору может не хватить опыта работы на стороне заказчика для эффективного решения задач компании. Кроме этого виртуальный CISO может быть недостаточно глубоко погружен в процессы компании и ее специфику, в отличие от штатного сотрудника.

Андрей Тимошенко

Директор по развитию компании «Информзащита»

Виртуальный CISO не несет ответственность за свои рекомендации и его инициативы носят рекомендательный характер, в отличие от внутреннего CISO, который состоит в штате и несет ответственность за защиту компании. Внутренний CISO при этом должен хорошо разбираться в своей компании, в ее бизнес-процессах, информационных системах, ИТ инфраструктуре, критичных данных, чтобы понимать, что нужно защищать и какие есть уязвимые места.

Чтобы внешний консультант хорошо разбирался в специфике клиента — в рисках, присущих данному конкретному бизнесу, ИТ инфраструктуре, бизнес-процессах, существующих слабых местах в системе защиты, необходимо время, чтобы он в это погрузился. Таких людей называют техническими аккаунт-менеджерами или ТАМ. ТАМы выделяются, как правило, на одного клиента или группу компаний и глубоко в них погружаются. Со временем они начинают разбираться в ИБ заказчика комплексно и системно, начинают видеть всю картину целиком и в этом заключается их ценность. Если количество и масштаб проектов у одного клиента начинает увеличиваться, то такая роль формируется сама собой, это уже становится необходимостью.

Выводы

Рынок услуг vCISO в России еще формируется. В условиях дефицита топ-менеджеров в отрасли кибербезопасности vCISO представляет собой эффективное решение для организаций, которые хотят обеспечить высокий уровень информационной безопасности без найма сотрудника в штат.

Виртуальный директор по информационной безопасности имеет ряд преимуществ: снижение затрат, доступ к экспертизе и независимую оценку. К минусам vCISO можно отнести возможный недостаток опыта, незнание специфики конкретной компании, а также более низкую степень ответственности.

Использование услуг vCISO является перспективным направлением для организаций, желающих оптимизировать свои ресурсы и обеспечить надежную защиту информации.