CISO: под колесами корпоративных интриг

ИБ стала одним из направлений деятельности практически любой компании. К сожалению, в России сложилась странная ситуация. Владельцы и руководители бизнеса не понимают, что такое ИБ и как ее эффективно выстроить, в ИБ-сегменте царят безграмотность и анархия. И все это определяет судьбы CISO. Сегодня в рубрике «под маской» мы публикуем рассуждения Розенбота об особенностях положения и рисках руководителя службы ИБ.

Все зависит от CISO

Все события в сегменте ИБ, все успехи и падения определяются исключительно поведением и навыками CISO. Рассмотрим основные умения CISO, влияющие на положение ИБ-сотрудников в компании (перечислено лишь то, что относится к предмету обсуждения):

  • квалификация – четкое понимание того, чем нужно заниматься, каких сотрудников нанимать, знание своих бизнес процессов, наличие бизнес-образования;
  • позиционирование – правильно вписаться в структуру компании, не дублировать работу других подразделений, обеспечить аргументацию своих потребностей (бюджета и штата) при любых преобразованиях;
  • выстраивание отношений – обеспечить четкое исполнение своих распоряжений «внизу», максимальную поддержку «сверху», избегать внутренних конфликтов и отбить охоту «шалить» у коллег по «горизонтали»;
  • ориентация в «центрах силы» – не оказаться пешкой в чужой игре при разборках внутри компании, выбирать верную позицию при конфликтах интересов;
  • создание системы внутренней безопасности – нести ответственность за подчиненных и защищать их от увольнения.

К сожалению, в России CISO, удовлетворяющих этим критериям, можно пересчитать по пальцам. Большинство – случайные люди в данной области. Придя в компанию, в которой криво сформированы процессы ИБ, и не зная, как правильно организовать дело, они лишь усугубляют ситуацию и приближают день своего «съедения». Возможны два варианта развития событий, которые, в принципе, приводят к одинаковому результату (просто возникают разные угрозы и модели увольнений):

- грамотный и знающий CISO – встречается в единичных случаях. За два-три года он создает в компании систему ИБ, полезную для бизнеса. Его репутация в компании, авторитет и льготы достигают приличного уровня;

- среднестатистический CISO – случайный человек без необходимых знаний и навыков. Он действует по наитию, порождает массу конфликтов, не обеспечивает выполнение основных задач. Из «центра пользы» ИБ превращается в «центр проблем и конфликтов», что вызывает в компании раздражение.

Зачастую CISO переоценивают свою значимость для бизнеса. При этом ИБ-подразделения (как, например, и бухгалтерия) обеспечивают лишь вспомогательные сервисы, а потому бизнес относится к ним как к «расходному материалу». Желающим опровергнуть это мнение и доказать свою важность для бизнеса – флаг в руки, только результат, скорее всего, окажется нулевым.

Можно утверждать, что реальный срок работы CISO в компании составляет два-четыре года. Изредка встречаются противоположные примеры, но в среднем дело обстоит именно так. Уточним: данное утверждение в наибольшей степени относится к коммерческим предприятиям, меньше – к госсектору, а для консервативной банковской сферы малоприменимо.

Причины «заката» и принципы реагирования

Теперь поговорим о причинах, механизмах и динамике «склонения к закату» любого CISO.

Ему надо быть готовым к следующим рискам:

  • зависть руководителей служб безопасности, которые не умеют защищать свой бюджет, получать от бизнеса необходимые штаты, и другие «сведения счетов»;
  • обида руководителя на чрезмерно самостоятельного CISO, который не «прогибается» под его интересы;
  • желание пристроить приятеля или родственника на место CISO и получить «ручного» сотрудника;
  • желание переложить на CISO ответственность за чьи-то промахи, поиск «крайнего»;
  • получение CISO доступа к излишней корпоративной информации (например, свидетельствующей о коррупции). Надо строить работу так, чтобы исключить доступ к таким данным, не любопытствовать, не вмешиваться в конфликты интересов.

CISO всегда должен быть готов к уходу. При этом можно попытаться избежать увольнения, став «лучшим в мире» специалистом с полным набором необходимых личных и деловых качеств.

Признаки возникновения рискованного состояния таковы:

  • CISO перестают приглашать на совещания в Службы Безопасности;
  • сильно сокращается прямое общение с непосредственным руководителем;
  • в штат навязывают «позвоночного»;
  • противники объединяют позиции и консолидируют действия.

Способы предотвращения рисков (гарантий они, понятно, не дают):

  • исправление фундаментальных ошибок;
  • пересмотр подхода (идеологии);
  • устранение причин конфликтов;
  • достижение уникального положения в компании;
  • совершенствование личных и профессиональных качеств;
  • понимание природы отношений в компании – нужно переигрывать «доброжелателей», грамотно лавировать и не расслабляться ни на минуту.

Как уходить без ущерба для репутации:

  • не доводить до увольнения по «профнепригодности»;
  • верно позиционироваться в компании, меньше конфликтовать, не доводить конфликты до разборок у владельцев – чем громче скандал, тем тяжелее последствия;
  • адекватно реагировать на угрозы – бороться при «подставах», спокойно выполнять свои функции до момента ухода в случае замены на «ручного» сотрудника.
Тэги: 
Оцените материал:
Total votes: 10

Другие статьи
Поделиться:
 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.