В индустрии кибербезопасности до сих пор ведутся многочисленные споры о роли руководителей информационной безопасности, их подчинённости, сроках полномочий, уровне стресса, в котором они находятся, и эпидемии выгорания, от которой они страдают. Но если посмотреть на реальные профили реальных людей, занятых на этих должностях, поговорить с ними и выслушать их проблемы, вы быстро поймёте, что всё не так уж и просто.
Легко писать о «директорах по информационной безопасности», думая, что это полностью устоявшаяся роль высшего руководства и одна из основ корпоративного управления. На практике это далеко не так, и суровая реальность такова, что сама роль далека от идеала, несмотря на то, что существовала, в той или иной форме, около двух десятилетий.
Название должности, для начала, далеко не универсальное (и никогда таковым не было). Используется большое количество вариантов, а за ними стоят различные описания ролей, отражающие восприятие и приоритеты каждой организации, которые, в свою очередь, находят своё отражение в линии отчётности функции. В сочетании с естественными различиями между отраслевыми секторами и уровнями идеалов безопасности каждой компании это создаёт множество ролей, которые, в конце концов, могут иметь очень мало общего. Реальность роли директора по информационной безопасности, подотчётного члену совета директоров в горнодобывающей компании, будет иметь мало общего с ролью директора по ИБ, отчитывающегося на 2 уровня ниже ИТ-директора в розничной организации. Даже если передовой опыт остаётся одним и тем же, и применяется уже давно, и до сих пор защищает, применение его в каждой из этих ситуаций будет иметь очень разные значения.
Таким образом, разговор о CISO часто является опасным сокращением при попытке затронуть функциональные или операционные аспекты роли. Во-первых, если организация достаточно велика, чтобы обозначить роль в терминах CISO, вероятно, в подчинении у него будет команда специалистов. Именно здесь многие статьи на эту тему часто имеют неверную трактовку: они говорят о «CISO», как если бы он или она были группой из одного мужчины (женщины), непосредственно участвующих в реализации всех аспектов их практики кибербезопасности. Так бывает редко. В большинстве организаций директор по информационной безопасности фактически является лидером, структурирующим, организующим, делегирующим и координирующим работу в своей команде и в рамках всей фирмы, а также между несколькими третьими сторонами, участвующими в обеспечении или поддержке бизнеса. От директора по информационной безопасности также следует ожидать, что он сможет выслушать руководителей бизнеса из разных подразделений компании, понять их приоритеты и скорректировать методы обеспечения безопасности в соответствии со своими требованиями и ожиданиями. Просто абсурдно делать вид, что директор по информационной безопасности должен обладать этими управленческими навыками, и в то же время ожидать, что он будет постоянно гасить «возникающие пожары» и пользоваться доверием во всех технических областях и во всех подразделениях огромнейшей организации. Следует понимать, что подобных профилей просто не существует.
Что не абсурдно так это ожидать, что директор по информационной безопасности структурирует и возглавит команду, которая может вызывать доверие на всех этих фронтах — и бороться с неприятностями, и обеспечивать долгосрочные изменения. Только так это может работать в крупных фирмах.
Руководители высшего звена также должны понимать сложности, связанные с проведением настоящей трансформации системы безопасности в крупных корпорациях, и принимать во внимание пробелы, которые иногда могут существовать между знанием того, что необходимо сделать для защиты бизнеса, заявлением, что это нужно сделать, и тем, чтобы убедиться, что это будет сделано. В устранении этих пробелов лежат реальные проблемы, связанные с ролью трансформирующего директора по информационной безопасности. Это не технологические проблемы, а проблемы управления и политики. Чтобы добиться успеха, ИТ-директор трансформации должен быть, прежде всего, лидером с хорошим бизнес-мозгом, а не просто пожарным технологом.
Добавляя комментарий вы даёте согласие на обработку персональных данных в соответствии с Политикой и принимаете условия Оферты