Выбираем CISO: какой подходит определенному типу бизнеса?

По данным глобального исследования IBM Security, в пандемию мировая сумма ущерба от утечек данных стала рекордной. Шквал кибератак на облачные сервисы, новые фишинговые схемы и попытки украсть данные клиентов часто ставят под угрозу непрерывность бизнес-процессов и в разы ускоряют трансформацию.

Информационная безопасность становится перспективным направлением развития на ближайшие годы, а новая реальность вносит коррективы не только в стратегию компании, но и в работу топ-менеджмента в ИТ и ИБ. Требования к CISO меняются: от руководителя ждут фундаментальной технической экспертизы и умения погружаться в новое, а также — способности поддерживать актуальные знания и быстро применять их на практике.

За последнее время мы все чаще видим кросс-индустриальные переходы.

Не так давно CISO крупнейшего медиа-холдинга присоединился к технологически продвинутому банку, чтобы модернизировать подходы к требовательным банковским стандартам, и развивать направление безопасной разработки.

А руководитель блока информационной безопасности лидирующего банка — перешел в одну из топ-5 интернет-компаний, где займется централизацией функции ИБ и развитием единого корпоративного контура информационной безопасности.

Потенциальные работодатели все больше внимания обращают не на формальную должность потенциального CISO (как внешнего кандидата, так и человека, выросшего внутри), а на суть реализованных им проектов и масштаба задач на текущей и предыдущих позициях.

Чем больше у кандидата нестандартных кейсов по созданию или трансформации департамента ИБ или реализации конкретной задачи, поставленной бизнесом, тем выше уверенность высшего руководства в его потенциале.

Руководители, воспитанные в digital-native компаниях

В пандемию цифровые продукты и каналы стали основными площадками взаимодействия с клиентом для разных индустрий (от компаний розничной торговли и FMCG до медицинских и телеком-компаний).

И если лидеры индустрий делали упор на развитие цифровых каналов еще до вынужденного локдауна, остальные игроки в полной мере оценили их значимость только в 2020 году.

Именно поэтому кандидаты, выросшие в digital-native компаниях, стали еще более востребованными. Их опыт и компетенции чаще всего полностью отвечают современным трендам информационной безопасности. Однако это не значит, что они подходят для решения любых задач и без труда впишутся во все типы корпоративных культур.

Ключевые компетенции руководителей информационной безопасности из технологических компаний (будь то «Яндекс» и VK Group или «Лаборатория Касперского» и Positive Technologies) — знание лучших практиках ИБ, умение выстраивать процессы бесшовного взаимодействия ИТ и ИБ с бизнесом, а также оперативно находить безопасные способы решения нестандартных задач.

Часто кандидатами такого типа становятся люди, выросшие из ИТ, которые на каком-то этапе сфокусировались на вопросах информационной безопасности. Другой вариант — довольно молодые руководители, у которых есть амбиции и потенциал, чтобы выступать евангелистами передовых практик информационной безопасности.

Кому подойдут

CISO из цифровых бизнесов, которые ежедневно общаются с разными бизнес-заказчиками, хорошо подойдут компаниям, где остро стоит задача выстраивания эффективного взаимодействия между бизнесом и ИТ, или построение собственной экосистемы для удовлетворения всех потребностей конечного клиента.

Добиться ощутимых результатов в этом направлении им в большей степени помогают soft skills. Руководители из технологических компаний привыкли взаимодействовать с бизнесом не как support-функция, а как партнер, который помогает сделать основной цифровой продукт максимально безопасным и устойчивым к внешним атакам и внутренним сбоям.

Такие CISO мыслят категориями бизнеса, получают дополнительное бизнес-образование (MBA, курсы для управленцев и стратегов) и ориентируются на конечного клиента или потребителя.

Их глубокая техническая экспертиза и знание трендовых практик (DevSecOps, CI/CD, переход на облачные сервисы и др.) обеспечивает им доверие со стороны ИТ-департамента.

Сложности

Однако у кандидатов из digital-native компаний есть и ограничения. Руководители с опытом исключительно в цифровых продуктах могут быть не так эффективны там, где большую роль играют физические операции (логистика, производство и др.).

Их уникальная экспертиза лежит в области высоконагруженных ИТ-систем и продуктов, а не в выстраивании информационной безопасности для ежедневных оффлайн-процессов. Таким CISO также бывает сложно бороться с сопротивлением со стороны бизнес-заказчиков, которые пока не достигли необходимого уровня цифровой зрелости.

Руководители с опытом работы в банковских структурах

Цифровая трансформация коснулась многих индустрий, но самых выдающихся результатов добились розничные банки. В последние 10 лет индустрия розничных банков в России сильно трансформировалась и одной из первых переняла инновации в области сложных ИТ-систем и Agile-методологий, по-прежнему делая упор на стандарты качества и безопасности.

Благодаря этому значительно возрос спрос на банковских CISO, которые смогли полноценно пройти этап структурных изменений и научились эффективно решать задачи, связанные с внутренней автоматизацией.

Изменились и ключевые компетенции, которыми должен обладать руководитель информационной безопасности современного банка. CISO совмещают в себе классическую экспертизу (соответствие требованиям регуляторов и разработка внутренних политик и методологий) с пониманием всего жизненного цикла продуктов и систем.

Это позволяет им эффективно взаимодействовать с ИТ и проактивно предлагать автоматизированные решения для бесшовной связки информационной безопасности, разработки и эксплуатации.

Кому подойдут

Благодаря такому уникальному опыту, руководители, которые выросли в банковских структурах, могут одинаково подойти компаниям, где стоит задача большой трансформации, и компаниям, которые только начинают выстраивать ИБ как отдельную централизованную функцию.

Такие управленцы могут быть очень эффективны в условиях изменений и неопределенности. Они способны самостоятельно формировать стратегию своего подразделения, выстраивать операционные процессы, создавать корпоративные методологии, собирать и растить команды.

CISO из банков обладают достаточной управленческой зрелостью, чтобы контролировать крупные подразделения (50+ человек) и уметь находить компромиссные решения для бизнеса и ИТ.

Сложности

При этом у кандидатов из банков тоже могут быть трудности при переходе в новые индустрии.

Многие банки по-прежнему остаются довольно бюрократическими структурами, и при переходе в более динамичные компании у CISO могут быть трудности с адаптацией в новой среде и скоростью принятия решений, которой будет ждать бизнес.

Такие кандидаты привыкли работать с формальными процессами, поэтому могут быть не готовы действовать быстро и рисковать.

Руководители информационной безопасности, которые работали преимущественно в крупных международных банках, могут быть сильны в операционных процессах и проектном управлении. При этом у них может быть мало опыта в стратегическом развитии, ведь стратегия, как правило, формируется в головном офисе и внедряется на локальном уровне.

Руководители с опытом работы в промышленности 

Несмотря на глобальные тенденции консолидации ИТ и бизнеса, не у всех компаний есть потребность сделать функции ИТ и ИБ стратегически важными.

Так, промышленные компании сейчас фокусируются на цифровизации и инновациях, но корпоративную информационную безопасность все еще относят к поддерживающим подразделениям. Поэтому руководители, профессионально сформировавшиеся в промышленности, способны обеспечить «надежный тыл» и качественную внутреннюю безопасность.

Руководители из промышленных компаний способны разрабатывать внутренние политики, строить эффективные инструменты внутреннего контроля и минимизации рисков утечки данных «изнутри».

Их ключевая компетенция — обеспечение безопасности компании. Они умеют выстраивать долгосрочные отношения с представителями бизнеса и внешними контрагентами, потому что часто взаимодействуют и на государственном уровне. Такие управленцы так же хорошо разбираются и в стандартах ИТ, и могут обеспечить качественную и своевременную поддержку информационных систем.

Кому подойдут

Подойдут для B2B-компаний, бизнес которых строится на оказании физических, а не цифровых услуг. Они в целом способны возглавить не только информационную, но и всю безопасность (экономическую, физическую и т.п.) в компаниях меньшего масштаба.

При этом руководители из промышленности могут работать и в технологических компаниях, но при условии, что их руководителем или наставником будет более опытный CISO или CIO/CTO.

Они могут возглавлять отдельное направление, если на предыдущем месте сделали упор на редкую компетенцию (DevSecOps, XDR и др.) и прошли дополнительные курсы и сертификации.

Сложности

Жесткая культура индустриального сектора часто накладывает отпечаток на soft skills. Поэтому риски и ограничения, актуальные для руководителей из промышленности, связаны с корпоративной культурой той или иной компании.

Таким управленцам может быть сложнее договариваться из-за того, что часто они мыслят формальными правилами и запретами, не ориентируясь на запрос бизнеса. Им такжет может не хватать определенного набора hard skills компетенций для перехода в B2С-компании или бизнесы, которые ориентируются на самые передовые и инновационные технологии.

Вывод

С ростом количества внешних хакерских атак на «слабые места» исходного кода или утечек данных от сотрудников компаний, нет смысла отрицать важность передовых практик информационной безопасности.

Качественно выстроенные процессы информационной безопасности становятся гарантом бесперебойного функционирования ключевых ИТ-систем, что положительно влияет как на внутренние операционные процессы бизнеса, так и на его внешний бренд.

При выборе CISO рекомендуем обращать внимание на реальные достижения потенциального кандидата. Опирайтесь на заранее подготовленный «профиль» будущего CISO — так оценивать кандидатов, и в том числе сравнивать их между собой (например, из Avito и «Роснефти») гораздо проще и эффективнее.

Чтобы правильно оценить, насколько совпадут нанимающий менеджер и руководитель ИБ, уже на начальном этапе поиска определите ключевые задачи будущего сотрудника на первые полгода-год его работы. Важно также обозначить необходимые персональные качества, которыми должен обладать кандидат на позицию, и какие ценности компании он должен разделять.