ТОНКОСТИ ПРОФЕССИИ CISO

Роль главного сотрудника по информационной безопасности (Chief Information Security Officer – CISO) является одной из самых желанных руководящих должностей в индустрии безопасности. Как и в случае любой старшей роли, это приносит с собой возможности, большие обязанности, риски и выгоды. Но с точки зрения инсайдера CISO, какие ключевые качества и установки необходимы, чтобы получить работу, добиться успеха и быть счастливыми в работе?

Прежде всего, CISO должны понимать бизнес, который они там защищают, и основой этого является ясность в отношении мотивов своих лидеров. Важные вопросы, которые следует задать руководству: «Почему мы занимаемся бизнесом, что мы пытаемся защитить и что будет плохим днем для нас с точки зрения безопасности?».

Удивительно, что во многих организациях нет четких ответов на эти вопросы, и всегда нужно общаться с разными внутренними группами, чтобы найти множество, часто разных, ответов, представленных в ответ на вопрос «Каковы бизнес-цели нашей компании?

Например, продажи часто дают один ответ, инженеры предлагают другой, а юридические могут идти в другом направлении. Это может быть сложной задачей для CISO, потому что бизнес-функции должны быть согласованы и двигаться в одном направлении.

Есть много CISO, которые, выйдя из рядов, технически очень способны и пытаются отпустить детали. Это важный переход, так как у CISO не должно быть времени для практической работы. Решение новых задач, таких как построение межфункционального согласования, разработка стратегии, разработка программы безопасности и наставничество коллег – все это требует ухода от технических консолей.

Точно так же хорошо организованный CISO не должен уделять слишком много внимания небольшому кругу специальностей в области безопасности - они должны быть открыты для вспомогательных пространств в сфере безопасности, таких как поведение человека, необходимые мягкие навыки, бюджетирование и даже юридическая сторона роль.

Самосознательный CISO также признает, что после определенного периода времени в отрасли они могут быть не самыми свежими на новейших технологиях или программном обеспечении. Новое, молодое поколение, которое приходит, заполняет этот пробел. Решение состоит в том, чтобы привлечь хороших людей в команду безопасности, укрепить доверие и позволить им выполнять свою работу.

CISO должен быть честным посредником и арбитром истины для безопасности в своей организации. Они обязаны помочь согласовать приоритеты безопасности с бизнес-приоритетами и часто объяснять их в нетехнических терминах аудитории, не являющейся информационной группой, особенно на уровне совета директоров.

Это означает предоставление правильного сообщения руководству предприятия и использование возможностей обучения, которые открываются в ходе откровенных дискуссий о безопасности. Это важно, потому что информация, предоставляемая CISO, не всегда может быть положительной, но она должна быть чем-то, за что они могут выступать в качестве лидера по безопасности.

Быть честным брокером – это прозрачность и честность. CISO должен защищать и демонстрировать эти атрибуты, чтобы создать доверие, необходимое для эффективного выполнения своей работы.

Точно так же дух честного, открытого общения должен быть применен к коучинговым командам, руководствуясь инициативами и программами в среде, в которой обычно есть высокие ставки.

Роль CISO – это очень ответственная функция, которая может привести к значительному стрессу. Это давление может варьироваться от ежедневных ожиданий роли и необходимости демонстрировать техническое мастерство до кризисных ситуаций, когда инцидент безопасности оказывает влияние на бизнес.

Разговоры о давлении со сверстниками или профессионалами – это один из способов для CISO поддерживать здоровый баланс как внутри, так и снаружи котла безопасности. В каждой работе – будь то работа в качестве CISO или в любой другой роли, основы являются ключевыми: хорошо питаться, заниматься спортом, подышать свежим воздухом. Хотя эти предложения могут показаться простыми, они являются невероятно важной частью управления стрессом.

Всем важно убедиться, что они контролируют, понимают и управляют своим благосостоянием – как психическим, так и физическим – чтобы оставаться здоровыми и обеспечивать, чтобы их производительность оставалась на необходимом уровне, и CISO не являются исключением. Управление стрессом не менее важно, чем любые другие навыки, которым должен научиться CISO.

Список литературы:

1. Кто такие CISO и есть ли они в России? [Электронный ресурс] – Режим доступа. –  URL: https://www.securitylab.ru/opinion/298683.php (дата обращения: 18.08.2019)
2. Что нужно, чтобы быть CISO: успех и лидерство в сфере корпоративной информационной безопасности [Электронный ресурс] – Режим доступа. –  URL: https://www.kaspersky.ru/blog/ciso-report/21613/ (дата обращения: 19.08.2019)
3. Chief information security officer [Электронный ресурс] – Режим доступа. – URL: https://en.wikipedia.org/wiki/Chief_information_security_officer (дата обращения: 18.08.2019)