Odgers Berndtson

От контролера до топ-менеджера: как меняется роль директора по ИБ

От контролера до топ-менеджера: как меняется роль директора по ИБ

Раньше директор по ИБ играл роль технического эксперта и контролировал выполнение политики компании, теперь же управляет рисками и отвечает за результаты. Дарья Светличная, проектный менеджер Odgers Berndtson Russia, — о том, что это меняет в его работе
На рынке достаточно стереотипов о директорах по ИБ. Многие менеджеры, далекие от ИБ и ИТ, думают, что эти руководители посвящают большую часть времени контролю исполнения сотрудниками внутренних политик и процедур, то есть фокусируются на запретах.
Образ директора по ИБ «старой формации» автоматически ассоциируется с опытным руководителем, который почти не вовлечен в стратегию и не мыслит категориями потенциальной бизнес-выгоды. Возможно, еще 15–20 лет назад так оно и было. Не секрет, что в некоторых российских компаниях ИБ-функция по-прежнему обособлена от бизнеса: директора по ИБ не входят в правление, а иногда и в список ключевых топ-менеджеров, не вовлечены в разработку стратегии и, соответственно, не несут ответственности за результаты бизнеса. ИБ-департамент получает ресурсы по остаточному принципу. Это ограничивает возможности директора по ИБ собрать в команде квалифицированных молодых специалистов, за которых идет борьба на рынке. В результате ИБ-отдел не может планомерно развиваться и наращивать экспертизу. Чаще всего такая ситуация наблюдается в компаниях с низкой цифровой зрелостью, где идет процесс базовой автоматизации или нет дополнительных ресурсов для инвестиций в технологии.
Однако общий уровень зрелости функции информационной безопасности по всему миру растет. И роль директора по ИБ эволюционирует — это больше не технический исполнитель, стоящий в стороне от фронт-офиса.
Лучшие директора по ИБ вовлечены в общее управление рисками бизнеса и разделяют с другими руководителями ответственность за достижение компанией стратегических целей.
Согласно данным уже упомянутого выше опроса, ключевые зоны их ответственности ― взаимодействие с регулирующими органами и комплаенс, оперативное реагирование на инциденты и их устранение, а также общее выстраивание безопасного контура компании за счет технологических решений.
Наиболее востребованные на рынке ИБ-руководители:
  • работают в плотной связке с коллегами из ИТ и хорошо ориентируются в новых технологиях;
  • вовлечены в стратегию бизнеса и ориентируются на его потребности;
  • занимаются евангелизмом информационной и кибербезопасности внутри компании и обучают security-чемпионов — тех, кто будет «проповедовать» безопасность в других функциях;
  • наращивают экспертизу внутри команды и отдают на аутсорс минимум критически важных функций;
  • активно развивают soft skills, такие как готовность идти на компромисс, эмоциональный интеллект, эмпатия.

Требования к директору по ИБ возросли

В последние несколько лет мы искали директоров по ИБ как для крупнейших технологических холдингов, так и для компаний из активно цифровизирующихся индустрий, например из ретейла и медиа. Несмотря на очевидные различия в задачах, запросы этих компаний во многом были схожи.
Теперь собственники, СЕО и советы директоров хотят, чтобы директор по ИБ:
  • умел смотреть на свою работу через призму потенциальных эффектов и бизнес-рисков, а также глубоко разбирался в ИТ-трендах;
  • ориентировался в технологической повестке (чем лучше, тем больше у кандидата шансов на успешное прохождение интервью и достойный оффер с дополнительными бонусами, привязанными к бизнес-результату или долгосрочной мотивации);
  • был сильным управленцем: умел привлекать, развивать и удерживать сильных специалистов. Это ценится не меньше, чем остальные компетенции руководителя, ведь, к примеру, отъезд сотрудников за границу ― острая проблема.
С учетом этого собеседования кандидатов на пост директора по ИБ теперь все чаще проводят не их будущие подчиненные, как это было раньше, а коллеги из ИТ — например, директор по ИТ и технический директор.

Кому подчиняются директора по ИБ в российских компаниях*

Мы проанализировали более 100 профилей директоров по ИБ и выяснили, что в разных компаниях эти специалисты подчиняются топ-менеджерам из разных функций. Более того, часто подчинение двойное — матричное (когда люди из соседних департаментов привлекаются на проект или конкретную задачу. — РБК Pro) и функциональное. Иногда это зависит от требований регуляторов — например, в банках, а иногда ― от «исторической» структуры компании.
Итак, ИБ работают под началом:
  • вице-президента по безопасности (VP Security) / руководителя отдела безопасности (CSO) — около 42%;
  • директора по информационным технологиям (CIO) / технического директора (CTO) — 32%
  • CЕO — 30%
* В ответах учитывались структуры, где у директора по ИБ двойное подчинение.
По мнению экспертов международной консалтинговой компании PwC, сегодня директорам по ИБ также стоит развивать:
  • вовлеченность в бизнес и неравнодушие — не воспринимать себя как support-функцию, а быть полноценным бизнес-партнером, который напрямую влияет на финансовый результат;
  • умение проводить трансформацию и внедрять изменения не через политики и запреты, а через просвещение и обучение ИБ-грамотности;
  • умение говорить с бизнесом на одном языке.
ИБ-директору, как и любому другому руководителю, важно развиваться. Например, он может пройти сертификацию, расширить знания не только в ИБ, но и в ИТ, получить дополнительное образование — в частности, MBA или Executive MBA. Кроме того, ИБ-руководителю не стоит замыкаться на ИБ-сообществе, которое очень развито в России. Ему следует развивать личный бренд, выступая на ИТ-конференциях.

На рынке дефицит специалистов в сфере информационной и кибербезопасности

По оценкам экспертов ИБ-индустрии, за 2022 год из России уехали не менее 10 тыс. человек, занимавших позиции в информационной и кибербезопасности. При острой нехватке компетентных специалистов, которая и так наблюдалась на рынке в последние годы, эта цифра звучит внушительно. Чтобы привлекать специалистов по ИБ, необходимо в том числе развивать кибербренд. Вот как ИБ-департамент и его руководитель могут это делать:
  • публично, через конференции или профессиональное сообщество транслировать интересные задачи и проекты. Так компания становится привлекательнее для имеющихся сотрудников и кандидатов;
  • ставить амбициозные задачи и вызовы ― прямой путь к сильной и мотивированной команде;
  • уделять больше внимания составу команды — собрать неравнодушных евангелистов, а не просто инженеров;
  • развивать soft skills сотрудников через внутреннее обучение и вовлечение в кросс-функциональные проекты;
  • помогать сотрудникам выстраивать коммуникации с бизнес-заказчиками: привить им открытость к изменениям и готовность к компромиссам, лучше всего собственным примером;
  • уделять внимание карьерному росту сотрудников — например, заранее готовить будущего преемника и делегировать подчиненным больше важных задач.

Развитие идеологии безопасности (security by design) ― общее дело директора по ИБ и бизнеса

Даже самым лучшим директорам по ИБ не достигнуть выдающихся результатов без поддержки со стороны руководителей других департаментов. Поэтому задача каждого директора по ИБ — донести до коллег, какую пользу компании принесет развитие информационной безопасности:
  • как снизится уровень потенциальных бизнес-рисков,
  • как вырастет лояльность клиентов при отсутствии громких инцидентов,
  • как сократятся убытки от утечек и затраты на исправление ошибок.
Руководители всех функций в компании должны принять и осознать, что в нынешней реальности информационная безопасность — это и их ответственность, а защищать продукт надо не после того, как его уже запустили, а еще на этапе разработки. Распространение идеологии security by design на всех уровнях компании в разы облегчит жизнь команды информационной безопасности — в частности, сократит количество открытых фишинговых писем или переходов по небезопасным ссылкам.
Если директор по ИБ не присутствует на собраниях совета директоров или совещаниях правления, необходимо выбрать «ответственного» руководителя из соседней функции, который будет поднимать вопросы безопасности там.

Рекомендации для директора по ИБ

  1. Научитесь говорить с руководителями других подразделений на одном языке и поймите: бизнесу тоже непросто выполнять KPI. Совместная коллаборация ― залог успеха. Результаты компании ― это и ваши результаты.
  2. Адаптируйтесь к изменениям. В высококонкурентной среде нельзя не следовать запросам рынка и «запрещать» новые продукты или проекты, которые на первый взгляд кажутся небезопасными. Ищите возможности быть лучше конкурентов.
  3. Открыто обсуждайте сложности и неудачи. Думайте, как не допустить их повторения в будущем.
  4. Станьте лидером не только для своей команды, но и для других сотрудников в компании. Расскажите им о том, как важно и интересно то, что вы делаете.
  5. Не бойтесь просить помощи и совета. Функция ИБ меняется. Приходите за рекомендациями к бизнес-заказчикам и вместе разрабатывайте стратегию плавной интеграции ИБ в контур компании.

Рекомендации для бизнеса

  • Разберитесь в том, что такое ИБ и зачем это вам как бизнес-заказчику и компании в целом.
  • Не будьте отстраненными. Расскажите директору по ИБ, чем конкретно занимается ваш департамент (маркетинг, логистика, HR и др.) и что критически важно для вашей работы. Чем детальнее вы опишете бизнес-процесс, тем больше уязвимых мест сможет найти ИБ и помочь вам с их защитой.
  • Станьте амбассадором безопасности: выносите вопросы, связанные с информационной безопасностью, на повестку совещаний топ-менеджмента либо поднимайте их самостоятельно.
  • Помогите директору по ИБ найти ментора или бизнес-наставника.
  • Совместно выработайте KPI и следите за их исполнением.
Источник: РБК PRO