На этой неделе, а именно завтра, пройдет CISO Forum и вспомнил я тут недавно одну дискуссию о том, кто такой CISO и сколько вообще CISO может быть в организации. Последний вопрос, вроде бы имеет один и очевидный ответ, но это поверхностная точка зрения. Дело в том, что мы привыкли к работе в небольших компаниях, в которых действительно всего один человек, отвечающий за ИБ. Но мне хотелось бы немного набросить, чтобы расширить кругозор читателей, имеющих все меньше и меньше возможностей по анализу того, что происходит за пределами нашего с вами аквариума.
Ну и чтобы не выдумывать, расскажу, как это было устроено в Cisco, где мне довелось долгое время работать. Во-первых, каждая приобретенная компания имела своего CISO, который в процессе поглощения, уже сменив вывеску, продолжал выполнять свою роль в поглощенном активе. И даже после приобретения некоторые купленные компании, сохраняющие определенную независимость, но при этом являющиеся частью Cisco, продолжали иметь собственного руководителя по ИБ.
И это история не про холдинговые структуры — речь именно про одну компанию.
Во-вторых, в Cisco был свой (точнее своя) CISO, которая работала в производственном подразделении, ответственном за сборку оборудования. В отличие от традиционных «офисных» CISO, сфокусированных на защите традиционных корпоративных активов, данная CISO занималась вопросами безопасности цепочек поставок, контролем подрядчиков в разных странах, где осуществлялась сборка железа и т.п.
То есть разные CISO фокусировались на разных процессах внутри компании. Хотя подчинение было у них в одну вертикаль, но все-таки производственный CISO вел достаточно самостоятельную жизнь в рамках своей деятельности.
Дальше больше. Во многих глобальных компаниях (в Cisco такого не было) существуют свои региональные CISO, транслирующую общую политику ИБ компании на своей регион. В таких случаях у головного CISO часто появляется приставка Global и собрания CISO становятся похожи на сборище рыцарей круглого стола (ну разве что они мытые, одеты не в шкуры и пахнут дорогим парфюмом).
Вы кстати в курсе, что я долгое время выполнял функцию CISO в российском офисе Cisco? 🙂
В Cisco была достаточно высокая централизация функций ИБ (а эксплуатация ИБ и вовсе была на плечах ИТ) и нужды в выделенных CISO в каждой из сотни стран присутствия не было. Но были задачи, которые требовали все-таки локального решения, например, повышение осведомленности персонала в вопросах ИБ или учет локального законодательства (например, закона «О персональных данных»). Были и другие проекты, но сейчас это не так уж и важно. Так вот в начале 2000-х годов это роль была на мне и называлась она «Representative’ CISO«. Уже позже это роль трансформировалась в Security Champion’ов, потом в Security Advocate (я был и тем, и другим), а позже и вовсе легла на плечи менеджера по безопасности, который решал широкий круг вопросов, связанных не только с ИБ, но и с физической безопасностью, общением с правоохранительными органами и т.п.
Но идем дальше. Сейчас стала активно развиваться тема с виртуальными CISO (vCISO), которого обычно нанимают, когда у организации нет бюджета на постоянного руководителя ИБ, когда топ-менеджмент хочет контролировать эту сферу внутри компании, но не имеет в ней компетенций или хочет получить дополнительный контроль на существующим ИБшником. Может ли одновременно работать в компании CISO и vCISO? В принципе да. В этом случае vCISO выступает как внешний ментор, беря на себя стратегические задачи, а CISO фокусируется на более приземленных и операционных вещах. Например, vCISO может формировать бюджет ИБ, идентифицировать ключевые ИБ-инициативы, проводить ежегодную оценку рисков и оценивать недопустимые события, консультировать топ-менеджмент и т.п. Иногда vCISO помогает нанимать CISO на постоянную работу. По сути, в терминах 250-го Указа, можно говорить о vCISO как о роли заместителя руководителя организации по вопросам ИБ.
Сейчас в России стали под влиянием 250-го Указа, как грибы после дождя, появляться сервисы, которые в названиях имеют слово vCISO. Обратите внимание, что иногда под этим хайповым термином вам просто продают обычный ИБ-консалтинг от интеграторов или почасовые посиделки с действующими CISO, которым, видимо, заняться нечем на основной работе 🙂
Отдельные компании, предоставляющие услугу vCISO, могут называть ее mCISO (Managed CISO), что не меняет сути происходящего. А вот в Сингапуре, в государственном технологическом агентстве (GTA) есть министр-CISO (mCISO), который в нашем варианте был бы директором департамента по ИБ в Минцифре или замминистра по ИБ в этом же ФОИВ. Допускаю, что и директор ФСТЭК мог бы во время деловой поездки в Сингапур называться mCISO.
А есть еще BISO, о которых я буду рассказывать на CISO Forum завтра.
Так что заводя разговоры о CISO и о том, сколько их может быть в компании, лучше заранее найти единый фундамент для дискуссии, который позволит говорить на одном языке и в рамках единой терминологической системы. А то один человек говорит, что CISO может быть только на уровне топ-менеджмента и его доход складывается совсем не только из его зарплаты. Другой считает, что CISO — это любой руководитель отдела защиты информации, состоящего даже из одного человека, самого CISO. Третий и вовсе с пеной у рта доказывает, что термин CISO чужд русскому языку, а в условиях противостояния с западным миром использовать англоязычные аббревиатуры и вовсе не комильфо. По мне так вообще все равно, как будет называться человек, управляющий ИБ на вверенной ему территории; хоть ГРИБ (Главный Руководитель по ИБ).
Кстати, под CISO Forum запустили чатик для CISO для обсуждения различных тем, интересных именно руководителям. Будем считать, что это CISOшная, где можно общаться и обмениваться знаниями и опытом CISO, директорам по ИБ и т.п. При этом не хочется превращать это в чатик для обсуждения нормативки или конкретных продуктов, а также «болталку за жизнь». Все этого на просторах Телеграмма и так полно. Здесь хочется сфокусироваться на том, что реально важно для CISO (или директора по ИБ, или его зама) в его деятельности как лидера ИБ компании — общение с топами, измерение эффективности, формирование команды, проверка ее компетенций, взаимодействие с другими подразделениями, бюджетирование, governance и т.п.
Не хочется превращать вновь созданный чат также в рекламную площадку какой-либо компании, хотя чат и создавался под CISO Forum 2023. Но и после конференции хочется продолжить общение в нем. Реклама будет пресекаться, хотя упоминание продуктов или сервисов «уровня CISO» вполне допустимо. Пока каких-то жестких правил не будет — все со временем устаканится.
Никаких секретов о прошлом работодателе в заметке не раскрыто — все базируется на публичной информации.