Большинство CISO считают, что инциденты ИБ не приведут к их увольнению. Только 6.8% CISO считают, что крупная утечка или иная проблема с ИБ могут повлечь за собой разрыв трудового договора. 21,7% считает, что инцидент может стать причиной только выговора, а 56% и вовсе думает, что руководство компании поможет им решить возникшие из-за инцидента проблемы. С другой стороны 55% CISO работает в своей должности менее 3-х лет, а еще 30% — менее двух лет. По оценкам экспертов, многие руководители ИБ покидают свои компании на хороших условиях, с «золотым парашютом». Но немалое количество руководителей кибербезопасности действительно покидают свои насиженные места по причинам, далеким от инцидентов ИБ. Можно выделить 10 таких причин:
- Неумение говорить с руководством на бизнес-языке. Коль скоро тема ИБ все чаще ложится в повестку дня советов директоров и исполнительных органов компании, то руководство ожидает от CISO умения донести понятным языком сильные и слабые стороны политики ИБ и как они укладываются в общую стратегию бизнеса. Многие CISO попадают на свои позиции благодаря своим техническим навыкам и это приводит к тому, что через какое-то время бизнес разочаровывается в своих ставленниках и отправляет их в отставку, пытаясь найти им более бизнес-ориентированных безопасников.
- Маскировка проблем. Многие CISO показывают своему руководству только положительные новости, считая, что демонстрация негатива приводит к их негативной оценке со сторону топ-менеджмента. Они не хотят выглядеть некомпетентными и поэтому скрывают все плохое. Кто-то считает, что излишние технические детали только мешают руководству разбираться в ИБ и поэтому почти ничего не рассказывают на управляющих комитетах, что в итоге играет плохую шутку с CISO. Если последний не может быть честным и открытым перед руководством, то доверие к нему падает, а за ним грядет и увольнение. Проблемы есть у всех. Грамотный CISO отличается от своего «шапкозакидательного» коллеги тем, что не только признает негативные стороны в своей работе, но и имеет план по устранению проблем и улучшению ситуации.
- Сюрприз для руководителя. Никто не любит сюрпризов и никто не хочет попасть впросак из-за инцидента, о котором CISO не предупредил своего босса, и который (инцидент, а не босс) требует крупных и незапланированных затрат на восстановление. Гораздо хуже, если топ-менеджмент узнает об инциденте не от своего руководителя, а из СМИ или от коллег на каком-либо публичном мероприятии.
- Остаться в одиночестве. Нередко бывает так, что руководство не хочет замечать бревна в своем глазу и признавать, что у них есть проблемы в ИБ, о которых говорит честный CISO. Это может привести к тому, что CISO останется в одиночестве и ему придется выбирать — остаться честным перед самим собой, честно рассказать о проблемах и их последствиях и, возможно, уйти из компании, в которой не любят «правдолюбов», говорящих о проблемах, или дуть в общую дуду «у нас все хорошо, у нас нет проблем», как это делают другие руководители подразделений, вешающих лапшу руководителю, который и рад ловиться на эту удочку.
- Человек «нет». Нередко безопасники дуют на воду и ставят палки в колеса всем новым и, якобы, небезопасным бизнес-инициативам. Вместо того, чтобы вместе с инициаторами разработать план снижения рисков при внедрении новой идеи или проекта, они просто говорят им «нет». Один раз «нет», второй, третий… И вот «нет» уже говорят самому CISO, когда он заводит разговор о росте своей зарплаты или соцпакета или численности сотрудников и бюджетов. А потом «нет» слышит и сам CISO на вопрос о том, есть ли у него перспективы в компании. Надо уметь двигаться вместе с бизнесом, а не тянуть его на дно своими опасениями, что «мы все умрем».
- Пропуск чего-то важного. Да, возможно вас не уволят из-за крупного инцидента. Но если вы допустили серьезную дыру в процессах приобретенной компании или недооценили риски в своем предприятии или незаметили тенденций в области угроз, которые нанесли вам ущерб, то у руководства может возникнуть недоверие к вам и вашей способности учитывать интересы бизнеса, а это первый шаг к увольнению.
- Забывчивость о конкурентах. Руководство имеет возможности оценивать то, что происходит у конкурентов, если не с точки зрения бюджетов и ресурсов на ИБ, то с точки зрения потерь от каких-либо инцидентов. Вас могут уволить за то, что ваша компания потеряла больше, чем ваши конкуренты, которые тоже пострадали от той же проблемы, но пострадали меньше.
- Падающий парень. Если CISO берут на позицию, которая на несколько уровней ниже других руководителей со схожим кругом обязанностей и ответственности, то дни такого безопасника сочтены. Скорее всего его берут для того, чтобы повесить на него всех собак и потом с «почестями» уволить, если что-то пошло не так. В зависимости от того, где в иерархии находится CISO, зависит то, является ли ИБ для компании фактором развития или центром затрат.
- Нелюбящий пролетариат. В оригинале идея звучит немного не так, но в том варианте, как мне кажется, для России это неактуальная проблема. По мнению автора, если CISO в своем команде не толерантен к расовым, этническим, половым или иным меньшинствам, то высока вероятность, что руководство компании не будет мириться с таким низким уровнем культуры в подразделении ИБ и сменит главного безопасника.
- Некомандный игрок. Нельзя все делать в одиночку. Те, кто это пробует делать, не только будут перегружены работой, но и демонстрирует неспособность делегировать задачи, что ставит компанию под угрозу. Если CISO не окружает себя умными специалистами, которые знают, как поступать правильно без подсказки сверху, то у таких CISO не получится выстроить эффективную службу ИБ и они будут обречены на провал. CISO должен уметь нанимать нужных людей и иметь возможность это делать. Если руководство дает карт-бланш главному безопаснику, но не дает ему ресурсов, то дни такого безопасника сочтены — он просто не сможет ничего сделать в одиночку. Первоклассная команда не только способна решать самые сложные задачи, но и показывает, что CISO относится к касте высших руководителей, а не прозябает в условиях нехватки ресурсов со студентами, которые «пороха не нюхали».
Статья называется неверно, вероятно, правильное название: «10 способов убить свою карьеру CISO». Ведь кроме руководителя карьеру в ИБ можно строить и ещё в какой-либо роли?
Вообще-то эти пункты говорят о том, что бизнес крайне мало заинтересован в эффективности ИБ и не видит в ней никакой пользы.
Если CISO должен объяснять/доказывать бизнесу важность ИБ, значит ИБ нужна CISO, а не бизнесу.
Реалии украинского бизнеса
CISO должен объяснять/доказывать бизнесу важность ИБ, потому что ИБ для бизнеса, а не наоборот.
и да, на старте ИБ должна быть важна CISO, и если у него получится, ИБ станет важным для бизнеса.