Возможно кто-то слышал о такой должности, возможно нет, но необходимость в компании специалиста CISO сложно переоценить. Он крайне необходим в активно развивающемся мире технологий.
Кто такой CISO и зачем он нужен в компании?
По простому — это директор по IT-безопасности на предприятии. Хотя часто эту роль выполняет всеми понятный человек — такой себе вездесущий и всемогущий СисАдмин.
Вот по понятию СисАдмин — всем понятно кто это. Он и почту корпоративную должен настроить и пропуск электронный выписать сотруднику и хостинг оплатить.
Еще часто можно CISO заменяют на CIO или CSO.
Одна их главных проблем директора по IT-безопасности на сегодня
— это не понимание основных бизнес-процессов в самой компании. То есть большая часть специалистов отдела IT-безопасности сильно оторвана от других отделов развития, маркетинга или управления (в том числе финансов). И только крупные компании начинают понимать, что зоны ответственности влияния CISO просто обязаны пересекаться с другими отделами и руководителями.
И вот почему.
В то время, когда удаленный сотрудник заходит в админку сайта интернете-магазина с домашнего ПК, где у него ранее был установлен софт например по майнингу или крякнутая игра, специалист из IT-безопасности компании должен об этом знать, выдать инструкцию, как заходить, или выдать ноутбук рабочий и защитный, либо заходить через удаленное управление на рабочий АК, находящийся в офисе и соответственно защищенный от многих проникновений.
Либо тот же дизайнер веб-ресурса, которому необходимо подключится к серверу из дома (часто по ftp-протоколу) и просто сменить пару фотографий. Но он дизайнер и он совсем забыл, что недавно посещал с этого ПК сайты с пикантным содержанием и нажимал там же на некоторые рекламные баннеры, которые почему-то вызывали много pop-up вкладок. И то, что кому на другом конце интернет-кабеля теперь доступны куки, хранящиеся в его браузере, где сохранены пароли доступа на хостинг.
Одна из важных задач CISO
как раз и состоит в том, чтобы точно составить список возможных угроз потери данных (например, взломать сайт через DDoS атаку), список людей, имеющих доступ к этим данным, список оборудования (ПК, ноутбуки и смартфоны), с которых заходят сотрудники в защищенную зону хранения важной информации компании.
Это может быть база клиентов, их платежные данные, список адресов доставки или номеров мобильных телефонов или выписки с банковских счетов. Даже такая банальная задача, как проверка сайта на безопасность перед запуском рекламы, редко появляется в списке необходимых проектов.
Один из самых сложных вызовов в будущем для такой должности, как специалист IT-безопасности — это не только понимать техническую часть своей работы, но и понимать язык финансового отдела, отдела маркетинга и управления компанией. Все чаще на совещаниях в крупных компаниях присутствуют сотрудники IT-безопасности, как необходимость погружать их в общие бизнес-процессы, которые все чаще и чаще соприкасаются с безопасностью данных все компании.
С каждым годом развивающаяся компания только наращивает кол-во хранимых данных. И если еще 10 лет назад, главными активами компании были товары, помещения и люди, то сейчас данные о тех же товарах и сотрудниках становится более значимой в оценке активов. Наличие сайта, домена, информации на хостинге, личные данные сотрудников, торговые марки, патенты, сертификаты, логистика и документооборот уверенно шагают в сторону накопления информации и данных о компании. А значит и их хранение, защита и обработка выходит на более значимый уровень для компании в целом.