Нехватка специалистов в IT в целом и в кибербезопасности в частности – неотъемлемая характеристика российского рынка информационных технологий. Это касается и позиции CISO – директоров по ИБ, недостаток которых, по оценкам экспертов компании «Информзащита», приведет к росту рынка услуг внешних консультантов или vCISO на 20-30% к 2025 году. У этого явления есть свои плюсы и недостатки.
Дефицит специалистов в ИБ, действительно, стал серьезной проблемой и сдерживающим фактором развития рынка. По оценкам специалистов, сфера кибербезопасности будет расти на 15-20% ежегодно до 2030 года. При этом уже сегодня нехватка безопасников составляет 50 тыс. человек или 45% от общего числа. Опытный CISO – одна из самых дефицитных позиций, поиск специалиста на нее по самым оптимистичным оценкам занимает от 4 до 6 месяцев.
При таких вводных данных, vCISO выглядит оптимальным решением для стабилизации рынка и улучшения ситуации с дефицитом кадров. Внешние консультанты – это специалисты по информационной безопасности, которых бизнес привлекает в качестве сторонних консультантов. Их главное преимущество заключается в большом опыте и насмотренности, так как vCISO работают с разными компаниями, на разных проектах, сталкиваются с разными ситуациями, поэтому могут подобрать наиболее эффективное решение.
Директор по развитию «Информзащиты» Андрей Тимошенко считает, что внешние консультанты могут помочь решить те задачи, на решение которых у заказчика не хватает собственной экспертизы. «Приведу типовой пример: компании нужно развивать систему защиты и внедрять несколько разных инструментов ИБ, но в компании нет архитектора ИБ, который бы разбирался в том, как правильно внедрить эти решения в существующую ИТ инфраструктуру. То есть даже проверить качество предлагаемых подрядчиками решений компания была не в состоянии. Клиент к нам обратился за помощью, чтобы мы обеспечили архитектурный надзор, то есть помогли правильно сформулировать задачу для подрядчиков и осуществляли контроль качества в ходе проектирования и внедрения этих систем защиты с учетом различных факторов, в том числе изменения, которые происходили в ИТ инфраструктуре клиента», - поделился он опытом.
При этом у vCISO есть свои недостатки. По мнению Тимошенко, ключевой из них - минимальная ответственность за результат у внешних консультантов. «Виртуальный CISO не несет ответственность за свои рекомендации и его инициативы носят рекомендательный характер, в отличие от внутреннего CISO, который состоит в штате и несет ответственность за защиту компании», - отметил специалист.
Тем не менее, нехватка специалистов по информационной безопасности делает внешних консультантов, способных взять на себя частично функции CISO, все более востребованными. Российские компании активно предлагают услуги vCISO, а эксперты прогнозируют, что к 2025 году 20-30% компаний будут прибегать к услугам виртуальных безопасников.