Джонатан Хасселл
Пришло время нанять директора по информационной безопасности и начать относиться к безопасности всерьез. Долгое время информационная безопасность находилась в ведении ИТ-директора, будучи одним из пунктов в длинном перечне обязанностей и навыков, перечисляемых в описании вакансии. Во многих компаниях дело обстоит так и до сих пор. Если долго не уделять внимания безопасности, то внимание на ее отсутствие начнут обращать «плохие парни». Именно это произошло с сетью супермаркетов Target, а позднее и с Home Depot. Они стали жертвой масштабных атак, в результате которых злоумышленники получили доступ к данным по платежам за большой период времени — за несколько недель в случае Target, а в случае Home Depot — за несколько месяцев. Только представьте себе: кто-то месяцами копался в недрах ИТ-систем компании, и лишь внешние организации — банки — убедили руководство Home Depot как следует проверить сеть, обнаружить брешь и закрыть ее. У ИТ-директоров так много проектов, проблем и планов, что они могут забывать об обязанности укреплять защищенность своих систем и следить за целостностью сетей и машин. Более того, ИТ-директор может не иметь нужных навыков и игнорировать необходимость быть в курсе актуальных угроз и следить за ландшафтом безопасности. Независимо от того, кому подчиняется директор по ИБ — ИТ-директору или, что лучше, директору по ИБ, единственными его обязанностями должны быть управление профилем безопасности и слежение за тем, чтобы укрепление сетей и систем осуществлялось непрерывно и приносило необходимые результаты. ИТ-директор может отвечать за взаимодействие с бизнесом и эксплуатацию ИТ-систем, тогда как директор по безопасности — за то, чтобы тылы компании были защищены. Роль CISO В идеальном мире у каждой компании будет директор по информационной безопасности, а заниматься он будет нижеследующим. Реагировать на проникновения и планировать ответные действия.
http://www.osp.ru/cio/2014/12/13044354/