Настало ли время нанять кибер-специалиста?

February 21, 2019

Кибербезопасность становится все более серьезной проблемой для организаций. В настоящее время большинство организаций-независимо от размера, отрасли, местоположения или прибыли по сравнению с некоммерческим статусом-оказываются прямо или косвенно затронутыми кибербезопасностью.

Несмотря на то, что сама тема приобретает все большее значение, остается очевидным, что многие небольшие организации (и, по сути, некоторые организации среднего размера) не имеют специальных знаний в области безопасности персонала.

Это не означает, что в этих организациях никто не работает над задачами, связанными с безопасностью. Они могут иметь персонал, который выполняет задачи безопасности наряду с их другими обязанностями, или они могут иметь аутсорсинг аспектов безопасности для внешних поставщиков услуг. Однако, несмотря на то, что аспекты кибербезопасности достигаются в этих организациях, они происходят без единого, именного, подотчетного лица, контролирующего функцию.

Это может быть проблематично по мере роста организации. Например, это может привести к неудобным обсуждениям с клиентами. Это может привести к потенциальным результатам ревизий или к тому, что организации в некоторых ситуациях не будут выполнять нормативные мандаты или будут иметь множество других нежелательных последствий.

Для этих организаций вопрос становится следующим: когда настал подходящий момент, чтобы назначить кого-то для безопасности полный рабочий день, или переложить обязанности так, чтобы надзор ложился на одного подотчетного лица?

Это когда организация достигает определенного порога размера (например, когда она получает до 100 работников)? Это когда организация достигает определенного объема доходов? Ответ, оказывается, сложнее, чем любое жесткое и быстрое правило. Тем не менее, есть несколько факторов, которые следует учитывать, которые могут непосредственно информировать решение о том, когда это подходящее время, чтобы назначить ресурс полный рабочий день.

Зачем назначать сотрудника на эту должность?

Чтобы лучше понять, когда это время, полезно оценить ценность, предоставленную назначенным сотрудником в первую очередь. Это выгодно в нескольких измерениях.

Во-первых, наличие отдельного лица, ответственного за кибербезопасность, устанавливает подотчетность. Когда ответственность распределяется между несколькими людьми - или когда ответственность неясна-важные задачи, связанные с безопасностью, могут проскочить через трещины. Назначение кого-то, ясно и однозначно, помогает контролировать это.

Во-вторых, это помогает разрядить конфликты интересов. Иногда надлежащая должная осмотрительность в области безопасности означает возвращение к другим ценным мероприятиям. Когда работа человека включает в себя как безопасность, так и что-то еще в равной мере, могут возникнуть ситуации, когда этот человек должен выбрать одну роль над другой.

Рассмотрим, например, ситуацию, в которой кто-то несет ответственность за безопасность и развертывание бизнес-приложений. Что происходит, когда, возможно, из-за недостатка программного обеспечения или по какой-либо другой причине, внедрение приложения в производство потенциально подвергает организацию риску?

В этом случае лицо, несущее эти общие обязанности, должно будет решить, следует ли освободить приложение (из-за функции развертывания приложения) или вернуть приложение (из-за функции безопасности). Сделать функцию безопасности независимой и целенаправленной помогло бы предотвратить возникновение таких ситуаций.

Предвосхищать потребности вашей фирмы

Дело в том, что есть четкое значение в назначении его специально для кого-то. Тем не менее, как практический вопрос, размер организации может сделать это несравненным, несмотря на преимущества. Например, организация с одним сотрудником, очевидно, не сможет выделить своего единственного сотрудника для полноценной роли безопасности. Если бы это было так, это, вероятно, не осталось бы в бизнесе очень долго.

С другой стороны, было бы нелепо представить себе большой, многонациональный банк без кого-то, кому будет поручена безопасность. Но когда этот переход подходит? Это не всегда ясно.

Тем не менее, есть ситуации, которые могут облегчить принятие решения-например, когда существует нормативное, юридическое или договорное требование назначить кого-либо. Например, HIPAA требует, чтобы организации назначили поименованного сотрудника Службы безопасности.

Кроме того, PCI DSS содержит язык о назначении обязанностей безопасности. Хотя в обоих случаях в постановлении конкретно не говорится, что эти люди делают только безопасность и ничего другого, тот факт, что в постановлении содержится этот язык, может помочь уменьшить двусмысленность.

Однако, помимо нормативных требований, ожидания клиентов могут помочь в принятии решения. Если вы являетесь организацией, обслуживающей клиентов, заботящихся о безопасности, например, наличие ответственного лица, назначенного для обеспечения безопасности, может помочь в удовлетворении ожиданий клиентов, обеспечить центральный контакт для вопросов, связанных с безопасностью клиентов, и в противном случае упростить процесс продаж и предоставления услуг.

В конечном счете, решение о том, когда нанимать специализированных сотрудников, будет варьироваться в зависимости от ряда специфических для организации факторов. Тем не менее, одной из полезных мер, которые следует учитывать при оценке этого решения, является функция двух факторов: рабочего времени персонала и организационного риска.

С точки зрения использования времени, полезное время для рассмотрения вопроса о распределении специализированного персонала приходит, когда организации достигают того момента, когда сотрудникам приходится откладывать решение неотложных или неотложных задач в области безопасности из-за других обязательств или сроков. Это означает, что если вы откладываете что-то, что важно для защиты вашей организации из-за других вещей на табличках сотрудников, это должно быть предупреждающим знаком того, что может наступить время для переноса обязанностей.

Это, конечно, означает, что вы знаете, какие задачи, связанные с безопасностью, существуют в первую очередь. Если вы этого не сделаете, это также потенциальный предупреждающий знак. Вы могли бы рассмотреть краткосрочное упражнение по оценке болевых точек безопасности вашей организации - либо путем предоставления времени для существующего персонала, чтобы оценить его, если у них есть навыки, или работая с доверенным советником, чтобы помочь вам узнать, сколько задач игнорируется, и потенциальное влияние в результате.

В любом случае, имейте в виду, что наем специалистов по кибербезопасности может быть более трудным, чем наем на другие технологические позиции. Это может занять много времени, чтобы найти правильную подгонку, и иногда может потребоваться шесть месяцев или больше, чтобы найти правильную смесь навыков в нужных областях.

Это означает, что в идеале, вы начнете процесс поиска на несколько месяцев раньше, когда вам действительно нужен этот ресурс. Это полезно иметь в виду, так что вы не попадаете, когда время, чтобы заполнить эту позицию становится срочным.