Знакомьтесь, CISO компаний The Fortune 100
Являясь все еще относительно новой для менеджерского класса, роль директора по информационной безопасности (CISO) получает большое распространение в наше время, когда широкомасштабные атаки заставляют компании пересмотреть свое отношение к безопасности. А также задуматься над тем, достаточно ли они вкладывают сил и ресурсов в предотвращение утечек. Более чем в половине компаний CISO стоят во главе всей безопасности и даже Белый Дом США (возможно, с опозданием) подумывает о своем первом федеральном CISO. Так пишет Эмили Джонсон (Emily Johnson), редактор UBM Americas. Ее статья, размещенная на ресурсе http://www.darkreading.com посвящена масштабному исследованию Digital Guardian.
По мере того как CISO занимает постоянное место за столом директоров, возникают вопросы – какими качествами должен обладать кандидат на данную позицию. Компания по защите данных Digital Guardian изучила типичные черты сегодняшнего CISO компаний из списка The Fortune 100.
Вероятно, нет ничего удивительного, но по статистике Digital Guardian большинство CISO - мужчины. Почти 89% представителей сильного пола занимают эту должность. Цифра отражает гендерное распределение на рынке информационной безопасности. «Есть демографические улучшения по мере роста рынка, но для изменения соотношений на менеджерских позициях потребуется время», - говорит Сало Файер (Salo Fajer), CTO Digital Guardian.
Одна из характеристик, которую выделяет Файер, является количество CISO с высшим бизнес-образованием, пришедших в сферу информационной безопасности. Согласно отчету, его имеют 40%, в то время как диплом в сфере информационных технологий/безопасности и компьютерных наук имеют 27% и 23% CISO соответственно. «Это не удивительно, если принимать во внимание тот факт, что менеджеру необходимо строить бизнес-модель, рассчитывая риски и думая о безопасности», - говорит Файер.
Если 59% CISO ранее работали в ИТ и ИБ коммерческих предприятий, то почти 20% CISO пришли из правительственных или военных структур. Файер видит в этом закономерность. Он считает, что CISO вынуждены максимально внимательно подходить к безопасности и должны смотреть дальше линии обороны. Опыт работы в государственных или военных структурах помогает директору по ИБ усиливать навыки группы реагирования на инциденты.
Однако, большинство CISO еще не успели наработать большой опыт. Так, 80% директоров по ИБ находятся на своих позициях менее пяти лет.
Файер уверен, что в организациях усиливается отношение к безопасности как к необходимости, а не просто как к подмножеству ИТ.
Также он считает, что существуют несколько характеристик, которые не продемонстрированы в исследовании, но являются не менее обязательными для успеха CISO в компании. В них входит соблюдение баланса между потребностями бизнеса и безопасностью, знание регламентов и процедур расследования.
Наличие деловой хватки, понимание проблем, которые могут создать нарушения информационной безопасности для бизнеса в целом, являются самыми важными навыками для CISO. Близорукий взгляд, защита интересов только своего подразделения просто не подходят для директора по ИБ.
Перевод: Дмитрий Зимнев
Комментарий Алексея Лукацкого, бизнес-консультанта Cisco
Интересно читать статью, написанную женщиной, в которой первый поднимаемый вопрос - как много мужчин среди CISO. При этом сама статья, к сожалению, так и не отвечает на вопрос о том, кто такие руководители служб ИБ в Fortune 100. Исследуется возраст, образование, гендерное разделение, прошлые места работы... Но совершенно упущены из ввиду вопросы, которые и было бы интересно узнать. Подчиненность CISO, нужные навыки, основные задачи, частота встреч с топ-менеджментом, размер выделенного бюджета, типовые задачи, структура службы ИБ... Учитывая, что компании из Fortune 100 являются в некотором роде примером для многих, было бы интересно увидеть ответы именно на эти вопросы. Хотя для их сбора нужно провести гораздо более серьезное исследование, чем провела компания Digital Guardian.