Среди специалистов в области защиты данных особенно ценятся талантливые менеджеры и организаторы, поскольку именно они выстраивают и контролируют всю инфраструктуру кибербезопасности. Любой из «безопасников» со временем может дорасти до должности директора (руководителя) по информационной безопасности, или CISO.
Кто такой CISO
CISO расшифровывается как Chief Information Security Officer, то есть ведущий «Специалист по информационной безопасности». В западной корпоративной культуре такой человек относится к C-level, то есть топ-менеджменту и, как правило, возглавляет отдел или целое подразделение ИБ. Это в целом соответствует должности директора, или заместителя главного директора, по информационной безопасности.
Правда, есть некоторые нюансы: в отечественных реалиях директор по ИБ может только курировать вопросы кибербезопасности и руководить, в западной практике CISO чаще отвечает за развитие всего направления ИБ и принимает стратегические решения, связанные с защитой данных компании.
Причем, чем больше структура корпорации, в которой работает CISO, тем обширнее обязанности. По факту он может влиять на бизнес-процессы в компании и принимать стратегические управленческие решения, которые касаются защиты данных
Если обобщить, то директора по ИБ решает три ключевые задачи:
- Разработка и реализация стратегии информационной безопасности компании;
- Контроль доступа к конфиденциальной информации;
- Обеспечение соблюдения требований законодательства в области защиты данных.
Обязанности директора по информационной безопасности
Круг вопросов, которыми занимается CISO, может различаться — это зависит от отрасли и масштабов деятельности компании. В общих чертах обязанности специалиста таковы:
- Стратегия кибербезопасности компании и увязывание ее с бизнес-целями компании, а также актуальными угрозами;
- Приведение всей документации по ИБ в нормативное состояние и соответствие нормам законодательства;
- Аналитика и оценка рисков в области кибербезопасности, разработка планов реагирования на угрозы и минимизации последствий будущих атак;
- Руководство командой ИБ, организация внутреннего обучения персонала и участие в развитии корпоративной культуры по тематике безопасной работы с данными;
- Межотраслевое и внутрикорпоративное взаимодействие, совместная работа с юридическим, финансовым отделом, разработчиками (если речь идет об IT-компании) и службой информационной безопасности.
Личностные качества и навыки CISO
Поскольку директор по информационной безопасности — это один из ключевых управленцев, то и требования к его навыкам крайне высоки. Их можно разбить на несколько категорий:
1. Техническая экспертиза
- Глубокое понимание различных областей кибербезопасности, включая сетевую безопасность, безопасность приложений, безопасность конечных устройств и безопасность облачных технологий;
- Профессионализм в выявлении, оценке и смягчении рисков, а также проведение регулярных оценок рисков и уязвимостей;
- Опыт в разработке и управлении планами реагирования на инциденты, включая обнаружение, анализ, локализацию, ликвидацию, восстановление и послепроисшественные мероприятия;
- Знание технологий безопасности, таких как межсетевые экраны, системы обнаружения/предотвращения вторжений (IDS/IPS), системы управления безопасностью информации и событий (SIEM) и технологии шифрования;
- Способность собирать, анализировать и действовать на основе разведывательной информации о угрозах для предвидения и смягчения потенциальных угроз безопасности;
- Знание безопасных практик кодирования, тестирования безопасности приложений и жизненного цикла разработки с учетом безопасности (SDLC);
- Понимание отраслевых стандартов и нормативных требований, таких как ISO 27001, NIST, GDPR, HIPAA и других, актуальных для организации.
2. Аналитические навыки
- Способность анализировать большие объемы данных о безопасности для выявления тенденций, аномалий и потенциальных инцидентов безопасности.
- Знание инструментов и методов цифровой криминалистики для расследования инцидентов безопасности и сбора доказательств.
3. Стратегическое планирование
- Опыт в разработке и внедрении комплексных стратегий информационной безопасности, соответствующих бизнес-целям;
- Способность создавать и применять политики, процедуры и стандарты безопасности в организации.
4. Проект-менеджмент
- Навыки в управлении проектами безопасности, включая планирование, выполнение, мониторинг и завершение;
- Опыт в бюджетировании инициатив по кибербезопасности, навык эффективного планирования и распределения ресурсов.
5. Лидерские качества
- Способность четко объяснять сложные концепции безопасности не техническим заинтересованным сторонам, включая руководство и членов правления;
- Опыт в руководстве и наставничестве команд безопасности, формирование культуры осведомленности о безопасности и сотрудничества.
6. Сертификация в области информационной безопасности
- Наличие соответствующих сертификаций, таких как CISSP (Certified Information Systems Security Professional), CISM (Certified Information Security Manager), CEH (Certified Ethical Hacker) или других, подтверждающих экспертизу в области информационной безопасности;
- Знание законодательства и стандартов в области защиты данных, в том числе 149-ФЗ, 152-ФЗ, 98-ФЗ, 63-ФЗ, 187-ФЗ, РД и подзаконных актов, ГОСТ, ISO, NIST, CIS Controls, PCI DSS.7. Деловые качества.
7. Деловые качества
- Понимание и умение придерживаться стратегии непрерывного развития бизнеса;
- Кризис-менеджмент после возможных катастроф утечки или кражи данных;
- Понимание бизнес-процессов. Способность сопрягать инициативы по безопасности с бизнес-целями и операционными потребностями организации.
Где учиться на директора по информационной безопасности (CISO)
Как уже понятно, у специалиста такого уровня должен быть многолетний практический опыт в сфере инфобезопасности и защиты данных. А это означает многоступенчатую систему обучения:
- Высшее образование по направлениям, связанным с ИБ и информационными технологиями (бакалавриат и опционально магистратура);
- Специализированные курсы и техническая сертификация по уже упомянутым программам: CISSP, CISA, CISM, а также CGEIT (Certified in the Governance of Enterprise IT).
- MBA с уклоном в информационную безопасность. Программы, которые комбинируют менеджмент со сферой защиты данных. Есть также отдельная международная сертификация IAC IT-Leadership, разработанная специально для менеджеров в области ИБ;
- Участие в практических конференциях и семинарах по тематике инфобезопасности, а также членство в профессиональных сообществах, таких как ISACA, (ISC)², EC-Council и других.
Карьерные перспективы директора по информационной безопасности
Должность CISO считается наивысшей во всей иерархии информационной безопасности, так что по сути это потолок в карьере. Однако CISO может открыть собственный бизнес по аудиту и обеспечению информационной безопасности.
Зарплата директора по информационной безопасности в 2024 году
Топ-менеджеры в области ИБ всегда ценный актив для компании, поэтому о зарплате с ними предпочитают договариваться персонально. И, разумеется, это всегда суммы с пятью, а нередко и с шестью нулями. У директоров по информационной безопасности есть свой KPI, который также влияет на уровень заработка.
Так, в США средняя годовая зарплата CISO составляет 594 тысячи долларов, а вместе с бонусами может доходить до 971 тысячи в год. В переводе на российские реалии CISO с должным опытом корпоративного управления может легко зарабатывать 3,5 млн. рублей ежемесячно.
Плюсы и минусы специальности
| Плюсы | Минусы |
|
|
