Пришло время vCISO

Рост числа атак и уход западных компаний изменили российский рынок кибербезопасности. Разбираемся, почему же сейчас становятся востребованы «виртуальные» директора по информационной безопасности.

Дефицит специалистов на российском рынке информационной безопасности оценивается в 30-50 тысяч человек. А столкнуться с их нехваткой могут порядка 100 тысяч российских компаний. Это – мнение экспертов, комментировавших Указ Президента страны о дополнительных мерах по обеспечению информационной безопасности в России.

Армине Погосян, HR-директор Группы компаний Innostage, специализирующейся в области информационной безопасности, отмечает, многие компании – как частные, так и государственные, самым непосредственным образом столкнулись с кадровой проблемой.

«В последние месяцы нам стало гораздо сложнее закрывать растущую потребность в новых специалистах в области ИБ, – говорит она. – Новые требования к обеспечению информационной безопасности еще сильнее усложняют и без того существующий дефицит на рынке труда и задачу удержания сотрудников, которые подвергаются самым настоящим атакам со стороны хедхантеров».

Заметим, что речь идет обо всех ИБ-специалистах. Но, по словам Погосян, особенно остро будет ощущаться нехватка ИБ-руководителей.

Как указ Президента меняет рынок ИБ

Нехватка безопасников на рынке труда существует давно. Причины очевидны – от нехватки выпускников вузов с профильной специализацией и до постоянного роста спроса из-за усложнения инфраструктур организаций и возрастания числа угроз и кибер-инцидентов.

Указ Президента России от 1 мая № 250 только усугубил ситуацию на рынке труда в сфере ИБ — он предписывает государственным органам, госкомпаниям, системообразующим предприятиям, организациям, управляющим объектами критической информационной инфраструктуры назначить заместителя главы, ответственного за информационную безопасность.

Свое влияние на рынок оказал и Указ главы государства от 30 марта №166, запретивший использование иностранного ПО на объектах КИИ. А это требование, вкупе с санкциями, поставило предприятия, попавшие под требования документа перед необходимостью немедленной разработки и внедрения новых архитектур, а следовательно, назначения лиц, ответственных за организацию их защиты. Таким образом, директора по информационной безопасности (CISO), и без того «штучные» специалисты, стали уникальными.

Для того, чтобы показать уникальность таких специалистов как CISO, достаточно упомянуть, что в учебных программах российских вузов либо слабо раскрыты, либо вовсе не предусмотрены такие разделы ИБ, как SOC, ГосСОПКА, защита АСУ ТП, критическая информационная инфраструктура. Выпускники университетов не имеют навыков проведения (а значит и отражения) различных сетевых атак. Да и сами программы обучения очень быстро устаревают и не отражают актуальной ситуации на рынке технологий.

Только в 2022 году российские вузы стали сотрудничать с национальным киберполигоном, который позволяет развивать у студентов необходимые навыки. Но это означает, что первых квалифицированных выпускников российский рынок ИБ получит не ранее, чем через пять лет.

Последствия санкций

Но ситуацию на рынке осложняет не только кадровый дефицит. На первый взгляд, ситуация в сегменте ИБ-решений для решения задачи импортозамещения выглядела не столь критично, как в других сферах. В России работают компании, которые накопили серьезнейшие компетенции в сфере информационной безопасности, они выпускают множество самых разных продуктов, доступных заказчикам уже сегодня.

При этом в отдельных сегментах российские разработки пока отстают от уровня зарубежных аналогов. Да, уход с нашего рынка иностранных вендоров стимулирует разработку новых решений, причем одновременно российские вендоры могут пересмотреть подходы к применению своего ПО, пересмотреть архитектуру выпускаемых решений. Но все это потребует времени. А до тех пор в отдельных сегментах ИБ-софта (в качестве примера можно привести сегмент сканеров защищенности веб-приложений) будет наблюдаться явная нехватка предложения.

Кто такие vCISO

Нехватка специалистов, готовых к работе в должности директора по информационной безопасности, – не новость. Еще в 2017 году был принят 187-ФЗ «О безопасности критической информационной инфраструктуры Российской Федерации». Реакцией рынка на него стал спрос не только на самих CISO, но и на услугу, способную решить проблему нехватки таких специалистов.

Речь идет о vCISO – услуге «виртуального» директора по информационной безопасности, в роли которого выступает внешний эксперт, помогающий заказчикам разрабатывать ИБ-системы и управлять ими. При этом заказчик может либо вовсе не иметь собственной команды безопасников, либо взаимодействовать с vCISO по отдельным направлениям работы.

vCISO решают множество задач. В сфере его ответственности – разработка программ кибербезопасности и управление профильными проектами, проведение аудитов инфраструктуры и управление угрозами, внедрение процесса управления ИБ и оценка рисков, управление ИБ -службой и ее развитие, разработка программ развития персонала с точки зрения норм информационной безопасности. Наконец, vCISO отвечает за взаимодействие с высшим менеджментом организации, а также за обеспечение соответствия ИБ политикам любого уровня, от корпоративных и отраслевых, до регуляторных.

Почему vCISO становятся популярны

Найти на кадровом рынке специалиста, способного взять на себя все эти функции – задача нетривиальная. Более того, стоят они очень дорого: зарплата CISO может превышать 500 тысяч рублей, и содержание его даже для крупной компании будет очень накладным.

Использование услуги vCISO позволяет сэкономить и на найме, и на зарплате. Более того, оплата услуг «виртуального ИБ-директора» напрямую связывается с результатами его работы, которые четко прописываются в SLA.

Наконец, квалификация vCISO подтверждена и провайдером услуги, который берет на себя ответственность за ее качество, и предыдущим опытом работы аутстаффингового специалиста. Более того, в распоряжении vCISO – команда специалистов, работающих на стороне провайдера, всегда готовая к работе.

Иными словами, в пользу vCISO говорят все стандартные преимущества, которые получают заказчики любых услуг на аутсорсе – от прямой экономии, до гарантий результата и разделения рисков и ответственности с поставщиком.

Каким компаниям потребуется vCISO

Можно выделить четыре признака компании, для которой услуга vCISO будет актуальной.

Первый практически универсален, – информация и данные имеют для организации определяющее значение. Такие предприятия сегодня работают в любой отрасли и на любом рынке. И для того, чтобы разработать программу защиты, внедрить систему безопасности, а потом управлять ею, vCISOпросто необходим.

vCISO может стать выходом из ситуации для тех компаний, которые не могут себе позволить содержание дорогостоящих специалистов в штате. Стоимость этой услуги может оказаться в несколько раз ниже затрат на собственного директора по информационной безопасности.

Третья причина подписки на услуги vCISO – решение отдельных задач в области информационной безопасности. Речь может идти о проведении аудита, разработке архитектуры ИБ-решений, помощи в классификации данных и организации управления ими. Даже если у организации имеется собственная ИБ-служба со своим директором во главе, поручение отдельных задач vCISO позволит не только оптимизировать нагрузку на штатного руководителя, но и получить независимую экспертную оценку ситуации.

Наконец, к услуге vCISO могут обращаться компании, которым необходимо дополнить компетенции своего CISO другими. Это могут быть и отраслевые компетенции, и знания в области отдельных специфических систем, или даже компетенции в области взаимоотношений с регуляторами.

Источник публикации