17.1.20

10 способов убить свою карьеру в ИБ

Наткнулся тут на статью с одноименным названием, вольный и облегченный перевод которой и предлагаю.


Большинство CISO считают, что инциденты ИБ не приведут к их увольнению. Только 6.8% CISO считают, что крупная утечка или иная проблема с ИБ могут повлечь за собой разрыв трудового договора. 21,7% считает, что инцидент может стать причиной только выговора, а 56% и вовсе думает, что руководство компании поможет им решить возникшие из-за инцидента проблемы. С другой стороны 55% CISO работает в своей должности менее 3-х лет, а еще 30% - менее двух лет. По оценкам экспертов, многие руководители ИБ покидают свои компании на хороших условиях, с "золотым парашютом". Но немалое количество руководителей кибербезопасности действительно покидают свои насиженные места по причинам, далеким от инцидентов ИБ. Можно выделить 10 таких причин:
  1. Неумение говорить с руководством на бизнес-языке. Коль скоро тема ИБ все чаще ложится в повестку дня советов директоров и исполнительных органов компании, то руководство ожидает от CISO умения донести понятным языком сильные и слабые стороны политики ИБ и как они укладываются в общую стратегию бизнеса. Многие CISO попадают на свои позиции благодаря своим техническим навыкам и это приводит к тому, что через какое-то время бизнес разочаровывается в своих ставленниках и отправляет их в отставку, пытаясь найти им более бизнес-ориентированных безопасников.
  2. Маскировка проблем. Многие CISO показывают своему руководству только положительные новости, считая, что демонстрация негатива приводит к их негативной оценке со сторону топ-менеджмента. Они не хотят выглядеть некомпетентными и поэтому скрывают все плохое. Кто-то считает, что излишние технические детали только мешают руководству разбираться в ИБ и поэтому почти ничего не рассказывают на управляющих комитетах, что в итоге играет плохую шутку с CISO. Если последний не может быть честным и открытым перед руководством, то доверие к нему падает, а за ним грядет и увольнение. Проблемы есть у всех. Грамотный CISO отличается от своего "шапкозакидательного" коллеги тем, что не только признает негативные стороны в своей работе, но и имеет план по устранению проблем и улучшению ситуации.
  3. Сюрприз для руководителя. Никто не любит сюрпризов и никто не хочет попасть впросак из-за инцидента, о котором CISO не предупредил своего босса, и который (инцидент, а не босс) требует крупных и незапланированных затрат на восстановление. Гораздо хуже, если топ-менеджмент узнает об инциденте не от своего руководителя, а из СМИ или от коллег на каком-либо публичном мероприятии.
  4. Остаться в одиночестве. Нередко бывает так, что руководство не хочет замечать бревна в своем глазу и признавать, что у них есть проблемы в ИБ, о которых говорит честный CISO. Это может привести к тому, что CISO останется в одиночестве и ему придется выбирать - остаться честным перед самим собой, честно рассказать о проблемах и их последствиях и, возможно, уйти из компании, в которой не любят "правдолюбов", говорящих о проблемах, или дуть в общую дуду "у нас все хорошо, у нас нет проблем", как это делают другие руководители подразделений, вешающих лапшу руководителю, который и рад ловиться на эту удочку.
  5. Человек "нет". Нередко безопасники дуют на воду и ставят палки в колеса всем новым и, якобы, небезопасным бизнес-инициативам. Вместо того, чтобы вместе с инициаторами разработать план снижения рисков при внедрении новой идеи или проекта, они просто говорят им "нет". Один раз "нет", второй, третий... И вот "нет" уже говорят самому CISO, когда он заводит разговор о росте своей зарплаты или соцпакета или численности сотрудников и бюджетов. А потом "нет" слышит и сам CISO на вопрос о том, есть ли у него перспективы в компании. Надо уметь двигаться вместе с бизнесом, а не тянуть его на дно своими опасениями, что "мы все умрем".
  6. Пропуск чего-то важного. Да, возможно вас не уволят из-за крупного инцидента. Но если вы допустили серьезную дыру в процессах приобретенной компании или недооценили риски в своем предприятии или незаметили тенденций в области угроз, которые нанесли вам ущерб, то у руководства может возникнуть недоверие к вам и вашей способности учитывать интересы бизнеса, а это первый шаг к увольнению.
  7. Забывчивость о конкурентах. Руководство имеет возможности оценивать то, что происходит у конкурентов, если не с точки зрения бюджетов и ресурсов на ИБ, то с точки зрения потерь от каких-либо инцидентов. Вас могут уволить за то, что ваша компания потеряла больше, чем ваши конкуренты, которые тоже пострадали от той же проблемы, но пострадали меньше.
  8. Падающий парень. Если CISO берут на позицию, которая на несколько уровней ниже других руководителей со схожим кругом обязанностей и ответственности, то дни такого безопасника сочтены. Скорее всего его берут для того, чтобы повесить на него всех собак и потом с "почестями" уволить, если что-то пошло не так. В зависимости от того, где в иерархии находится CISO, зависит то, является ли ИБ для компании фактором развития или центром затрат.
  9. Нелюбящий пролетариат. В оригинале идея звучит немного не так, но в том варианте, как мне кажется, для России это неактуальная проблема. По мнению автора, если CISO в своем команде не толерантен к расовым, этническим, половым или иным меньшинствам, то высока вероятность, что руководство компании не будет мириться с таким низким уровнем культуры в подразделении ИБ и сменит главного безопасника.
  10. Некомандный игрок. Нельзя все делать в одиночку. Те, кто это пробует делать, не только будут перегружены работой, но и демонстрирует неспособность делегировать задачи, что ставит компанию под угрозу. Если CISO не окружает себя умными специалистами, которые знают, как поступать правильно без подсказки сверху, то у таких CISO не получится выстроить эффективную службу ИБ и они будут обречены на провал. CISO должен уметь нанимать нужных людей и иметь возможность это делать. Если руководство дает карт-бланш главному безопаснику, но не дает ему ресурсов, то дни такого безопасника сочтены - он просто не сможет ничего сделать в одиночку. Первоклассная команда не только способна решать самые сложные задачи, но и показывает, что CISO относится к касте высших руководителей, а не прозябает в условиях нехватки ресурсов со студентами, которые "пороха не нюхали".

4 коммент.:

Алексей комментирует...

Статья называется неверно, вероятно, правильное название: «10 способов убить свою карьеру CISO». Ведь кроме руководителя карьеру в ИБ можно строить и ещё в какой-либо роли?

Александр Германович комментирует...

Вообще-то эти пункты говорят о том, что бизнес крайне мало заинтересован в эффективности ИБ и не видит в ней никакой пользы.
Если CISO должен объяснять/доказывать бизнесу важность ИБ, значит ИБ нужна CISO, а не бизнесу.

Unknown комментирует...

Реалии украинского бизнеса

Stefik комментирует...

CISO должен объяснять/доказывать бизнесу важность ИБ, потому что ИБ для бизнеса, а не наоборот.
и да, на старте ИБ должна быть важна CISO, и если у него получится, ИБ станет важным для бизнеса.