5 лет назад я написал заметку про шкалу значимости CISO, в которой попробовал посмотреть на руководителя ИБ глазами аудитории, которая смотрит на него и его активность внутри компании. А как на CISO смотрят топ-менеджеры? Как оценивают их зрелость? Мне тут в руки (и не спрашивайте, откуда) попала модель CALM (The CISO Assessment Level Model), которая описывает уровень зрелости CISO в глазах генерального директора или совета директоров. Эта модель была разработана агентством по поиску руководящего персонала Russell Reynolds Associates и используется ими при поиске и собеседовании CISO.
Выделяется 4 уровня CISO — к первому, самому низкому, уровню относится около 60% всех руководителей ИБ. На 4-м уровне находится около 100 человек во всем мире; по мнению агентства, преимущественно в США. Первый уровень — это больше про ИТ-безопасность, в то время как 4-й — это про общение с бизнесом на одном уровне, а также занимаются обучением членов совета директоров и их семей!
Модель CALM очень проста в использовании. Первый вопрос, который надо задать себе (если вы топ-менеджер), — это «Какого уровня CISO вы имеете сейчас?» (этот же вопрос может себе задать сам CISO, пробуя посмотреть на себя со стороны). Также топ-менеджмент должен спросить себя, каково его нынешнее отношение к кибербезопасности и куда организация должна прийти, и в течение какого времени, в этом вопросе. В ответе на эти вопросы может помочь таблица ниже.
Можно обратить внимание на следующие моменты:
- Уровень 1. CISO этого уровня существуют в организациях, в которых ИБ является частью ИТ-функции. Больший фокус на этом уровне делается на контроле доступа и предотвращении угроз, а не на обнаружении и реагировании. Достаточно большой фокус на регуляторику. Редко появляется перед лицом топ-менеджмента и мало коммуницирует с другими подразделениями, интроверт. Этот уровень обычно подходит тем организациям, где влияние кибератак не так уж и велико.
- Уровень 2. ИБ смотрится чуть шире, чем просто проблема ИТ. Есть место инновациям и трансформации, а также коммуникациям с другими подразделениями внутри организации, например, с HR. С точки зрения NIST CSF фокус на все основные направления деятельности (защита, обнаружение, реагирование) и очень слабая поддержка функции восстановления систем после атак. Этот уровень обычно подходит тем организациям, где вероятность или частота кибератак достаточно высока, но ущерб не так велик.
- Уровень 3. CISO на этом уровне достаточно часто общается с советом директоров и сильно ориентирован на изменения в компании. Влиятельный, инновационный, активно использующий аналитику данных. Делится информацией с коллегами по отрасли. Подходит для организаций, где достаточно высок ущерб от кибератаки.
- Уровень 4. На этом уровне ИБ становится частью ДНК организации, является элементом стратегии развития компании. CISO участвует в обсуждении и принятии всех критических и конфиденциальных решений, например, в слияниях и поглощениях.
После того, как топ-менеджмент разобрался с тем, какой CISO у них сейчас, они должны посмотреть на следующую таблицу, которая показывает, какой CISO им нужен и какие требования к этой функции будут предъявляться? Если отмечается совпадение уровней «что есть сейчас» и «что нужно», то значит CISO на своем месте и ничего менять не надо. Если есть отличия, то это уже тема для дальнейших дискуссий и поиска новых кандидатов.
Интересно, что с точки зрения лидерских компетенций, от CISO с самого начального, первого, уровня требуется ориентация на результат и умение управлять своей командой. Если с лидерством и командообразованием все понятно, что нацеленность на результат у нас нечасто звучит в дискуссиях с CISO. Ведь это означает, что надо уходить от транзакционной модели ИБ в сторону стратегической, понимать, куда движется компания и какова связь бизнеса с ИБ, брать на себя ответственность за все, что делается в этом направлении, активно взаимодействовать с другими подразделениями и т.п.
А вы как оцениваете сами себя, если вы CISO, или своего CISO, если вы топ-менеджер?
Можно существенно упрочить методику.
1-2-3 Обычный наёмный цисо.
4. Дружбан по бане допущенный жирному пирогу и хозяйскому телу. (100 человек ага)
Очень упрощенно и на 4-м уровне уже неправильно, так как описывает ситуацию с собственником, который и управляет компанией. Таких не так уж и много. Обычно генеральный тоже наемный
Трудно оценивать себя. Скажем так- у нас менеджмент редко пользуется такими подборками информации. Бизнес два процента до сих пор преобладает в россии. Речь не об ит отрасли а об реальных производствах и предприятиях.
Даже в «бизнес 2%» есть место для бизнес-ориентированной ИБ. Кто же будет защищить информацию об этих 2%? И это не говоря о том, что бизнес всегда бизнес — легальный он или криминальный. И поэтому он всегда будет хотеть бизнес-ориентированного ИБшника
Не будет хотеть. Только для регуляторки. Остальное не имеет ценности. Сейчас вот есть интерес в бэкапах. Т.е. настроенный процесс быстрого старта после взлома. Недавно скажем был на собеседовании на заводике где даже охраны нет и сигнализации нет. Думаю скоро стартанут за миллиард оборота а интереса нет даже к охране. В ИТ есть интерес реальный но там и скилы скажем пилотов самолета нужны якобы….
Для регуляторки вообще не нужны. Штрафы отсутствуют или минимальные. Месячная зарплата обычного админа выше суммы штрафа. Так что в топку