При этом сотрудникам службы безопасности необходимо работать в тесном взаимодействии с бизнес-подразделениями для управлениями информационными рисками.
За последние полтора года требования к работе служб ИТ-безопасности существенно изменились. Такие перемены связаны с целым рядом факторов: активным развитием бизнес-среды, меняющимся ландшафтом угроз, расширенным внедрением новых технологий и ужесточением требований регуляторов. Эти изменения конъюнктуры послужили толчком к пересмотру основных обязанностей корпоративных служб ИТ-безопасности и выполняемых ими задач.
Аналитики отмечают, что сотрудники службы ИТ-безопасности должны расширять область своих знаний и обладать навыками в сферах, не относящихся непосредственно к их деятельности, таких как управление бизнес-рисками, юриспруденция, маркетинг. В рамках деятельности по обеспечению информационной безопасности необходимо создать единую модель отчетности, где ответственность разделяется с менеджерами и руководителями бизнес-подразделений. Ведь именно они, в конечном итоге, контролируют соответствующие риски кибербезопасности, а значит, и бизнес-риски в целом. Такие преобразования потребует серьезной переквалификации персонала и привлечение опыта и знаний внешних поставщиков услуг.
Ниже перечислены семь базовых рекомендаций экспертов, которые позволят сделать первые шаги на пути преобразования служб безопасности.
- Пересмотрите и четко определите круг основных компетенций. Основное внимание службы ИТ-безопасности должно быть сосредоточено на развитии навыков в четырех ключевых областях: интеллектуальный анализ рисков кибербезопасности и аналитика данных по безопасности, управление данными по безопасности, консультирование по рискам и разработка средств контроля.
- Делегируйте выполнение стандартных операций. Поручите выполнение повторяемых стандартных процессов ИТ-отделу, бизнес-подразделениям или внешним поставщикам услуг.
- Привлекайте специалистов из различных областей. Для выполнения некоторых задач к работе службы ИТ-безопасности можно привлечь специалистов из других отделов организации или извне.
- Контролируйте возникновение рисков. Объедините усилия с бизнес-подразделениями в управлении рисками кибербезопасности и выработайте единый подход к обеспечению безопасности. Сделайте выполнение этой задачи для бизнес-подразделений проще и обеспечьте их подотчетность.
- Привлекайте специалистов для оптимизации процессов. Убедитесь, что в вашей команде есть сертифицированные специалисты, с опытом работы в сфере управления качеством, управления проектами и программами, оптимизации процессов и предоставления услуг.
- Выстраивайте прочные отношения, основанные на доверии и лояльности, с основными участниками рынка — владельцами «главных активов», руководством среднего звена и поставщиками услуг.
- Готовьте кадры с учетом будущей перспективы. В виду отсутствия готового наработанного опыта, единственным правильным решением для многих организаций остается подготовка собственных специалистов. Таких специалистов можно набирать из сфер, где используются смежные навыки: разработка программного обеспечения, бизнес-аналитика, финансовый менеджмент, военная разведка, юриспруденция, обеспечение конфиденциальности данных и сложный статистический анализ.