Бизнес испугался хакеров
Как правило, CISO подчиняется директору по информационным технологиям, однако сейчас многие компании намерены «поднять» эту должность до прямой связи с гендиректором и советом директоров, сообщают источники издания.
То, что американские компании стали уделять значительно больше внимания информационной безопасности, связывают с атаками на ряд крупных американских ритейлеров, совершенными в прошлом году. Самая крупная и нашумевшая из них — атака на Target, третью по величине торговую сеть в США.
В декабре 2013 года данные о платежах 40 млн клиентов, а также персональные данные 70 млн клиентов Target были похищены неизвестными хакерами. Примерно о 12 млн клиентов злоумышленники узнали и платежную, и персональную информацию, утверждают в компании.
До недавнего времени американские корпорации, как правило, не придавали киберугрозам большого значения и делали недостаточно для защиты корпоративных сетей от хакеров.
В исследовании, проведенном международной консалтинговой компанией PwC, сообщается, что только 28% из 500 опрошенных топ-менеджеров заявили, что в их компании есть CISO. Кроме того, согласно исследованию, подавляющее большинство программ для обеспечения информационной безопасности, использующихся в корпорациях, не давали их компьютерным сетям достаточной степени защиты.
Сейчас же компании увеличивают как размеры, так и бюджет своих команд по обеспечению кибербезопасности.
«Тренд состоит в том, что организации поднимают позицию CISO до равного с директором по информационным технологиям уровня», — рассказал Reuters исполнительный директор практики по противодействию угрозам в Dell SecureWorks.
Крупные американские корпорации в последнее время нанимали CISO с окладом от $500 тыс. до $700 тыс. в год, рассказал сопредседатель отдела по кибербезопасности в компании Russell Reynolds Associates Мэтт Коминс. Компенсация для CISO в некоторых технологических компаниях достигает $2 млн, добавил он. Для сравнения: CISO, проработавшие в компаниях уже пять и более лет, получают от $200 тыс. до $300 тыс. в год, отметил Коминс.
Российские специалисты по кибербезопасности пока не могут рассчитывать на полумиллионные зарплаты, однако защите от хакеров в России все же уделяют внимание. «И в крупных госкомпаниях, и в частных компаниях информационной безопасностью занимаются целые отделы. Такая практика есть уже лет десять», — рассказал «Газете.Ru» управляющий директор компании интернет-рекрутинга HeadHunter Михаил Жуков.
«Толковый офицер по информационной безопасности в российской компании получает $5–7 тысяч в месяц, и это не потолок», — говорит Жуков.
По данным портала SuperJob.Ru, рыночный зарплатный коридор руководителя подразделения ИТ-безопасности в Москве составляет 100–150 тыс. руб., в регионах речь идет, в среднем, о 70–95 тыс, рассказала «Газете.Ru» руководитель отдела аналитики портала Валерия Чернецова.
За последнее время ситуация не особенно изменилась: в России пока не производили кибератак, сопоставимых по масштабам с атакой на Target, отмечает Михаил Жуков. «Но компании взрослеют и все чаще и чаще начинают уделять этой сфере внимание», — подчеркивает он.
Однако, по мнению заместителя руководителя отдела информационной безопасности компании ЛАНИТ Александра Хегая, история, подобная случившейся с Target, может произойти и в России. Большинство ритейлеров не обращают внимания на безопасность своих торговых точек, в частности POS-терминалов, так что вероятность того, что такой атаке будут подвергнуты российские магазины, достаточно высока, считает он.
«В первую очередь владельцы компаний ориентируются на те системы, которые приносят им прибыль, а безопасность зачастую игнорируют до тех пор, пока не происходит что-то похожее на ситуацию с Target, — рассказал Александр Хегай «Газете.Ru».