Казнить нельзя помиловать

Олег Кузьмин, директор ИБ-департамента компании «Ай-Теко».

На проходивших в нынешнем году мероприятиях по ИБ, в частности на CISO FORUM 2016, стали возникать дискуссии о прочности позиций директоров по ИБ и CISO на российских коммерческих предприятиях. Говорилось об отсутствии будущего у этих должностей и вероятности их скорой ликвидации. Почему же грамотные в вопросах ИБ, знающие основные бизнес-процессы своих компаний и обладающие немалым опытом руководители вдруг оказались не нужны?

В полном соответствии

С 1930-х до начала 1970-х гг. вполне престижным считалось среднее профобразование (в военных училищах, техникумах и пр.). Из учебных заведений выходили профессионалы с ограниченным, но вполне достойным объемом знаний и умений. Они были способны подниматься до руководящих должностей среднего звена, однако для дальнейшего карьерного роста требовалось высшее образование.

Постепенно управленческие и технологические процессы развивались, и стали востребованными специалисты исключительно с высшим образованием. Их научили самостоятельно думать и решать сложные производственные задачи. Они знали, где искать ответы на постоянно возникающие новые вопросы, расширяли кругозор в смежных областях и могли не только хорошо выполнять порученную им работу, но и предпринимать продуманные действия для ее совершенствования, снижения затрат и обеспечения большей эффективности труда. По мере набора практического опыта такие специалисты становились не просто востребованными, но порой и незаменимыми в глазах руководства компаний.

У нынешних ИБ-руководителей, казалось бы, есть все необходимое – высшее профильное и/или престижное бизнес-образование, дипломы об окончании специальных курсов и многочисленные результаты работы – ИБ-политики, инструкции, методики и пр. В серверной стойка заполнена оборудованием, 24 ч в сутки демонстрирующим, что оно неустанно охраняет безопасность корпоративной сети. Все происходит в полном соответствии с лучшими мировыми практиками и описаниями учебников… Почему же появилось ощущение, что такие руководители становятся ненужными?

Современные условия ведения бизнеса и производства требуют от всех участников рабочих процессов пристального внимания к соблюдению нормативных, правовых, организационных и технических мер ИБ. Информационная безопасность и сама является сложным непрерывным рабочим процессом, который должен помогать компании решать ее актуальные задачи. А для понимания и решения таких задач ИБ-специалисту необходимы не только узкоспециализированные знания, но и широкий кругозор, серьезный багаж знаний и практических навыков в областях менеджмента, психологии, финансов, умение адаптироваться в сложном коллективе. Как всего этого добиться? Попробуем разобраться, и для начала приведем простой пример.

Система продвижения ИБ-специалистов в ВФМ

Во времена СССР молодому ИБ-специалисту, офицеру ВМФ, сначала поручали относительно несложный участок работы (скажем, в бригаде, состоящей из 8–20 кораблей и примерно 1 тыс. человек личного состава), и стоявшие перед ним плановые задачи подразумевали долгосрочные решения. Их удавалось полностью изучить за 2–5 лет, и за то же время у специалиста появлялся опыт решения внезапно возникающих задач. Затем его переводили на более ответственный участок – в дивизию кораблей, а еще через несколько лет – на эскадру (70–100 кораблей). Перевод, как правило, осуществлялся на конкурсной основе, т.е. офицеру нужно было доказать, что он способен справиться с новым объемом задач, правильно понимает алгоритмы их решения.

Одновременно с продвижением специалиста менялись количество, состав и сложность его задач. Опыт, полученный на предыдущих местах службы, использовался на каждом новом месте. Со временем у безопасника появлялись первые помощники (и их число постоянно росло), которым можно было делегировать часть полномочий. Научившись грамотно руководить ими, офицер становился способным руководить и коллективом, насчитывающим сотни подчиненных. При этом он начинал разбираться и в основных задачах коллег из других служб.

Подчеркнем: всегда и везде необходимо осознавать, что пул задач делится на твои собственные, задачи коллег и подчиненных, общие для всех, основные задачи организации, требующие долевого вклада в их решение всех сотрудников. Понимание наличия таких задач, способов их решения и алгоритмов взаимодействия со всеми сотрудниками – одно из главных условий успешности руководителя.

После получения офицером практического опыта в качестве специалиста и руководителя он мог быть назначен в штаб флота, где ему приходилось решать оперативно-тактические и стратегические задачи крупного масштаба. К тому времени офицер знал не только собственные задачи, но и основные задачи коллег из других служб флота, а также задачи объединений флота по своему направлению. Соответственно, он четко понимал работу всех звеньев и системы в целом,  а потому мог оказать необходимую поддержку.

После развала СССР престижность службы в ВМФ упала из-за задержек выплат денежного довольствия и других факторов, и в середине 1990-х гг. система кадрового роста ВМФ засбоила. Специалисты по ИБ увольнялись из ВС РФ, и их стало катастрофически не хватать. В результате работать на уровне дивизии зачастую стали, минуя предварительные ступени профессионального совершенствования, лейтенанты, едва окончившие военные училища или ВУЗы. И даже те из них, которые показали отличные результаты во время учебы, не справлялись с реальными задачами. А это обусловило падение престижа самой службы ИБ в глазах других служб и командования.

Под поверхностным лоском

Нечто похожее мы наблюдаем сейчас применительно к ИБ-директорам и CISO коммерческих компаний.

В начале 2000-х гг. наличие должностей директоров по ИБ и CISO в таких организациях воспринималось как экзотика. Обычно с ИБ-задачами успешно справлялись подразделения ИБ в составе служб безопасности либо ИТ-отделов. Основные ИБ-задачи были, скорее, техническими и не имели к бизнесу того непосредственного отношения, о котором мы говорим сегодня. Соответственно, главы предприятий не воспринимали ИБ как часть бизнеса и одно из ключевых подразделений. Руководители ИБ-подразделений подбирались из уволенных в запас силовиков, ценились лишь опыт руководства коллективом, умение определять и ставить задачи подчиненным.

При этом в среде рядовых сотрудников ИБ-отделов и вчерашних студентов профильных ВУЗов уже росли новые кадры. Они воспитывались на профессиональной литературе, заканчивали всевозможные курсы и, главное, осознавали качественные преобразования в отрасли ИБ. «Старая гвардия» начальников ИБ-отделов постепенно сдавала позиции, и постепенно сформировалось поколение ИБ-руководителей, не имеющих серьезного жизненного и профессионального опыта, но хорошо знающих мировые практики ИБ и менеджмента, обладающих деловыми качествами, готовых общаться с бизнесом и выражающих полную лояльность к нему. Бизнес встретил их с удовлетворением и проявил готовность принять в свои ряды. На предприятиях начали в массовом порядке появляться должности директоров по ИБ и CISO.

Однако после первых счастливых лет совместной жизни ИБ с бизнесом, получения первого опыта взаимодействия к бизнесу пришло понимание того, что зачастую под поверхностным лоском новоявленных директоров и CISO скрывается крайне мало действительно полезного для получения прибыли. Судите сами:

  • бизнес, как и раньше, не может определить окупаемость вложений в ИБ;
  • понимание и употребление бизнес-терминологии директорами по ИБ и CISO, как оказалось, не имеет ничего общего с реальным получением прибыли. Лишь единицы ИБ-директоров и CISO могут продемонстрировать руководству реальные финансовые результаты, доказывающие необходимость их присутствия в компании;
  • многие ИБ-руководителей не в состоянии внятно объяснить бизнесу, почему произошел тот или иной ИБ-инцидент и как предотвратить его в будущем. Зачастую объяснения состоят в постулате «абсолютной информационной безопасности не существует в природе, и с этим нужно смириться»;
  • некоторые директора по ИБ и CISO стали «путать» продвижение компании на рынке с собственным пиаром на всех доступных ресурсах. А бизнес начал подозрительно относится к таким пиарщикам, полагая, что они ищут лучше оплачиваемую и более престижную работу;
  • мало кто из новых ИБ-руководителей оказался способен не только принимать сложные управленческие решения по своему направлению и компании в целом, но и нести ответственность за их результаты;
  • понимание многими ИБ-руководителями задач (прежде всего, коммерческих), решаемых другими подразделениями компании и требующих взаимодействия, оказалось невозможным без реального погружения в работу этих подразделений;
  • психологические навыки поведения ИБ-руководителей в коллективе (выстраивание деловых отношений с другими руководителями, понимание проблем подчиненных, их грамотное решение и т.п.) не достигли необходимого уровня.

Это список можно продолжать еще долго.

Можно ли изменить ситуацию?

Итак, для формирования ИБ-руководителей и их деятельности критично следующее:

  • отсутствие пошагового продвижения по служебной лестнице, перепрыгивание через ее ключевые ступени;
  • отсутствие достаточного жизненного опыта и умения применять его в работе;
  • неготовность ставить многоплановые долгосрочные финансовые цели своей деятельности, определять реальные пути их достижения, готовность к решению лишь текущих задач;
  • неумение формировать для бизнес-руководства понятные ему финансовые цели и демонстрировать их практическое достижение с помощью ИБ;
  • неразвитость психологических, аналитических, организаторских способностей;
  • позиционирование себя исключительно как безопасника. Полное понимание бизнеса невозможно без прохождения стадии руководства бизнес-подразделением: иначе нельзя понять, чем живет и в чем нуждается бизнес компании, а главное – что действительно полезное может предложить ему директор по ИБ или CISO.

Наличие всех этих «ключевых» недостатков у директоров по ИБ и CISO объясняет, почему начались разговоры о бесперспективности их позиций. Если подготовка ИБ-руководителей и их практическая деятельность будут скорректированы, то, вполне вероятно, со временем такие разговоры стихнут сами собой.

Тэги: 
Оцените материал:
Total votes: 37

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.