В предыдущем посте я уже писал об исследовании компании Deloitte:
в ходе проведения которого была предложена следующая функциональная модель современного директора по информационной безопасности:
- Стратег. Адаптация стратегии обеспечения безопасности потребностям бизнеса, инициирование инновационных трансформаций с целью эффективного управления рисками и инвестициями в безопасность.
- Советник. Взаимодействие с бизнесом с целью обучения, консультирования и оказания влияния на реализацию бизнес-проектов в контексте имеющихся рисков.
- Защитник. Защита бизнес-активов за счет понимания текущего профиля угроз и управления эффективностью текущей программы по безопасности.
- Технарь. Оценка и внедрение новых технологий и стандартов с целью поддержания необходимого уровня безопасности.
Согласно исследованию Deloitte бОльшую часть времени директора тратят на активности из области Защитник и Технарь, оставляя на 2 другие стратегические области совсем немного. Бизнес-руководители же ожидают от директоров по ИБ совсем иного, они ждут что они будут больше времени уделять стратегии и меньше технике.
Думаю что со временем эта тенденция и дальше будет усиливаться, примеров компаний с большими департаментами ИБ не так много, очень часто директору по информационной безопасности приходится заниматься решительно всем. А это в свою очередь будет обуславливать то, что решение чисто технических задач будет занимать все больше и больше времени.
С другой стороны, с ростом количества и технологической сложности решений по безопасности возможности по обслуживанию всех необходимых средств защиты будут сокращаться и единственно возможным решением будет передача данных функций на аутсорсинг, что в свою очередь приведет к разгрузке директора по безопасности, но неизменно поставит вопрос о его необходимости в компании.
Обосновать необходимость можно будет только за счет стратегических функций, для выполнения которых необходимо уже сейчас осваивать новые для себя инструменты: управление рисками, бизнес-планирование, финансовый менеджмент и др.