Мы тут с удивлением обнаружили, что наша услуга стороннего ИБ директора (ранее писали о нем тут) оказалась более популярной, чем мы сами ожидали. Рассказываем о нашем опыте в этом вопросе.
Как правило, к нам приходили 2 типа запросов — или "у нас есть ИБ функция, но нужен квалифицированный и постоянный взгляд на неё", или "ИБ функции нет, проблемы есть, нужно сделать ряд улучшений". Причем во втором случае приходят с уже случившимися инцидентами, а в первом — в рамках постоянной работы над управлением рисками в компании.
На наш взгляд, идеальная ситуация — это когда на рынке останется только первый вариант. Мы прекрасно осознаем, что расходы на действительно качественного специалиста в штате будут в районе 400+ тысяч в месяц с учетом всех налогов. Есть разные способы сократить эту сумму, но сделать это прямо в разы без потери качества сложно. При этом зачастую постоянной и полноценной загрузки для такого человека чисто физически нет — в большинстве случаев у малого и среднего, да и нередко для крупного бизнеса просто нет такого количества задач. Ну не нужен им CISO на полный день.
Так что сторонний профессионал с большим опытом, который изначально будет работать на part time, зная вашу инфраструктуру, ваши проблемы и ваши задачи — это часто лучший вариант. Но если у вас серьёзный IT-бизнес или много сложной инфраструктуры — возьмите человека в штат. В итоге, выйдет дешевле.(
Как правило, к нам приходили 2 типа запросов — или "у нас есть ИБ функция, но нужен квалифицированный и постоянный взгляд на неё", или "ИБ функции нет, проблемы есть, нужно сделать ряд улучшений". Причем во втором случае приходят с уже случившимися инцидентами, а в первом — в рамках постоянной работы над управлением рисками в компании.
На наш взгляд, идеальная ситуация — это когда на рынке останется только первый вариант. Мы прекрасно осознаем, что расходы на действительно качественного специалиста в штате будут в районе 400+ тысяч в месяц с учетом всех налогов. Есть разные способы сократить эту сумму, но сделать это прямо в разы без потери качества сложно. При этом зачастую постоянной и полноценной загрузки для такого человека чисто физически нет — в большинстве случаев у малого и среднего, да и нередко для крупного бизнеса просто нет такого количества задач. Ну не нужен им CISO на полный день.
Так что сторонний профессионал с большим опытом, который изначально будет работать на part time, зная вашу инфраструктуру, ваши проблемы и ваши задачи — это часто лучший вариант. Но если у вас серьёзный IT-бизнес или много сложной инфраструктуры — возьмите человека в штат. В итоге, выйдет дешевле.(