Как меняется роль CISO: от эксперта по управлению рисками к руководителю с влиянием на стратегию бизнеса

В условиях постоянных цифровых угроз и растущего давления на бизнес руководитель по информационной безопасности больше не ограничивается техническими задачами. От него ждут зрелости, стратегического мышления, умения выстраивать команду и говорить на языке C-level. В дискуссии на Positive Hack Days руководители из сфер ИБ, HR и корпоративного управления обсудили, какие навыки определяют эффективного CISO, как устроена траектория его роста и при чем тут жадность и удача.

Участники дискуссии

• Виктор Гордеев, CISO Positive Technologies
• Дмитрий Найденов, CTO S7
• Кирилл Ильин, руководитель департамента информационной безопасности группы компаний «Итэлма»
• Анастасия Серебрякова, HR-директор СберАвто
• Ярослав Ражев, руководитель корпоративного университета Simple Group

Как становятся CISO: жадность, ответственность и софт-скилы

К позиции CISO приходят через разные роли и мотивации, но почти всегда — через личное стремление расширить контроль и влияние. Участники дискуссии сошлись в том, что в большинстве случаев в основе карьерного перехода лежит желание перестроить процессы, переделать структуру ответственности или сделать систему эффективной. Эксперты подчеркнули, что путь к CISO невозможен без внутреннего стремления взять на себя больше.

По словам Виктора Гордеева, CISO Positive Technologies, в его жизни такой рост стал результатом «жадности» — желания улучшить как можно больше процессов и подходов — и удачи. До перехода к стратегической роли он руководил SOC в международной компании, защищал активы по всему миру и постепенно стал интересоваться тем, как связаны разные направления ИБ, чтобы в итоге лучше увидеть целостную работу всего департамента ИБ. Компетенции расширялись благодаря системной прокачке управленческих навыков. «У нас были тренинги по лидерству, управлению командой, и все это в итоге сложилось в точку, где мне предложили стать CISO. Это совпало с моей внутренней готовностью брать на себя больше», — рассказал он.

В ряде случаев отправной точкой становится ощущение хаоса в процессах. Отсутствие контроля, открытые периметры, разрозненные практики — все это побуждает инициировать системные изменения. Специалист начинает выстраивать процессы, стремится перевести инфраструктуру в управляемое состояние, а затем выходит на уровень взаимодействия с бизнесом. На этом этапе ключевым становится умение говорить с разными ролями — от инженеров до руководителей C-level. Коммуникация и доверие становятся неотъемлемой частью работы, позволяя удерживать инициативу и внедрять изменения.

CTO S7 Дмитрий Найденов описывает собственный путь как решение с высокой степенью риска. Он принял временную позицию начальника отдела ИБ, сознавая, что на старте владеет лишь малой частью нужных знаний. Главное — готовность разбираться в вопросах по ходу, опираясь на ответственность и способность определять приоритеты. «Руководителю несложно нагенерировать кучу задач. Но зрелость начинается с момента, когда ты говоришь: „делаем вот эти задачи, все остальное — мимо“», — подчеркнул он.

В его модели зрелый CISO работает с ограничениями: техническими, командными, ресурсными. Он должен понимать, что реализация атаки возможна, и быть готовым донести это до команды на профессиональном языке, а до руководства — на языке бизнеса. Именно эта способность соединять разные уровни обсуждения определяет эффективность.

Ярослав Ражев, руководитель корпоративного университета Simple Group, подтверждает: при отборе кандидатов на управленческие позиции в ИТ компания делает акцент на софт-скилах. На основе работы центров оценки сформированы три главные компетенции: управление командой (в том числе людьми вне прямого подчинения), лидерские коммуникации и принятие решений. Именно эти навыки, по мнению эксперта, позволяют специалисту по ИБ двигаться в сторону CISO. Дополнительным индикатором зрелости становится способность выстраивать коммуникацию с топ-менеджментом на понятном ему языке. Важно уметь формулировать проблему так, чтобы она становилась приоритетом для бизнеса. Это ускоряет принятие решений, помогает выровнять понимание целей и позволяет безопаснику интегрироваться в стратегическую повестку компании.

Где CISO набирают команды и как их удерживают

В условиях устойчивого кадрового голода в отрасли кибербезопасности создание и развитие сильной команды становится отдельным направлением работы CISO. Один из устойчивых подходов — работа с вузами, колледжами и другими внешними образовательными площадками. Многие компании выходят в аудитории уже на первых курсах вузов, чтобы успеть сформировать интерес к реальной практике до того, как студенты окончательно сосредоточатся на «модных» специализациях. По словам экспертов отрасли, проблема часто в том, что выпускники ориентированы на громкие технологии, мечтают стать хакерами, аналитиками угроз, специалистами по ML или разведке, тогда как базовые задачи — администрирование СЗИ, эксплуатация SIEM или обеспечение комплаенса — воспринимаются как «нехайповые», рутинные.

Еще один возможный подход — вовлечение в профессию через социальные проекты. Так, за счет программ переобучения можно сформировать пул мотивированных и дисциплинированных кандидатов, готовых закрывать задачи первой линии SOC или сопровождать процессы управления уязвимостями.

Следующий вектор — внутренняя культура и внимание к людям. Регулярные личные встречи, индивидуальные треки развития, участие в жизни сотрудников — все это помогает сформировать доверие. Гибридный формат работы часто снижает вовлеченность, поэтому важны усилия по сплочению: от ежегодных командных выездов до совместных проектных мероприятий и регулярных общих встреч, где люди не только обсуждают задачи, но и узнают друг друга. При этом важно, чтобы сотрудники видели ценность своей работы, понимали, как она влияет на компанию, и получали обратную связь. Демонстрация признания, даже в простых формах — от слова до премии — работает на удержание не хуже зарплат.

«Как удержать команду? Главный инструмент удержания — человеческое внимание, — говорит Дмитрий Найденов. — Когда я был CISO, у меня большая часть команды находилась в Новосибирске. Я каждый квартал приезжал в Новосибирск, разговаривал со всеми ребятами, знал их желания и обстоятельства. Мы выстраивали индивидуальные треки развития, устраивали выезды, общались вне работы. Благодаря такому подходу каждый чувствует ценность своего вклада и поэтому остается».

Другой эффективный подход — регулярные синхронизации всех подразделений внутри функции ИБ, когда методолог может услышать запрос от SOC, архитектор уточнить требования у комплаенса. Так рождается сквозное понимание, для чего все делается. Но тут критичны открытая культура и прозрачные процессы. По словам Анастасии Серебряковой, HR-директора СберАвто, именно обсуждение в открытом поле, поддержка и участие без токсичности создают команду, из которой не хочется уходить.

По словам Виктора Гордеева, удержание специалистов на рутинных задачах требует системного подхода: совмещения операционной работы с вовлечением в проекты, где сотрудники видят результат своих усилий. Один из подходов — ротация внутри команды: после интенсивной работы над проектом сотрудник возвращается к регулярным функциям с новым фокусом. В таких процессах ключевую роль играют техлиды. Именно они направляют команду, берут на себя локальное лидерство и удерживают энергию. CISO в этом контуре выступает как фигура стратегического авторитета — обозначает направление, задает рамку и формирует ориентиры. За счет подобного подхода лидерство распределяется, но остается структурированным: за каждым действием стоит конкретная ответственность конкретного человека.

Что после CISO

Сейчас роль CISO часто воспринимается как венец, финальная точка карьеры в информационной безопасности. Однако участники дискуссии предложили четыре направления, куда потенциально может уходить человек, поработавший CISO.

• Переход к CTO или запуск собственного бизнеса, включая консалтинг. Такой путь выбирают те, кто стремится расширить масштаб задач и выйти за рамки прикладной ИБ, занимаясь архитектурой, цифровой трансформацией или продуктовой разработкой.
• Развитие внутри корпоративной вертикали. Переход к роли вице-президента означает полноценное включение в C-level-контур и участие в стратегических решениях компании. Это направление требует развитых управленческих навыков, гибкости в коммуникации и точного понимания бизнес-контекста.
• Превращение в экспертный центр. В таком случае CISO становится точкой консолидации знаний и консультативным центром, к которому обращаются за решениями, формирует новое поколение управленцев и выстраивает долгосрочную экспертизу.
• Последний вариант — стать CSO, chief security officer. Эта позиция охватывает информационную, внутреннюю и экономическую безопасность, включая контроль рисков третьих лиц, проверку сотрудников и интеграцию с HR- и юридическими функциями. Руководитель департамента информационной безопасности группы компаний «Итэлма» Кирилл Ильин подчеркивает: «Следующий уровень — это CSO, где информационная безопасность соединяется с внутренней и экономической. Управление рисками третьих лиц, контроль сотрудников — это всё части единой системы».

Участники дискуссии согласились, что сейчас роль CISO перестает быть исключительно технической. Руководители по информационной безопасности участвуют в формировании устойчивости бизнеса, защите интересов государства и адаптации к глобальным вызовам, а кибербезопасность становится частью национальной стратегии. Ответственность за риски выходит на уровень совета директоров и требует стратегического взгляда, умения управлять командами, знания регуляторных требований и способности расставлять приоритеты в условиях быстро меняющейся обстановки.

Для тех, кто хочет не просто понимать стратегическую роль CISO, но и целенаправленно расти до позиции, влияющей на бизнес и трансформацию компании, важно системно развивать управленческие и стратегические компетенции. Современному руководителю ИБ необходимо осваивать навыки работы с советом директоров, учиться принимать решения в условиях неопределенности, управлять командой в парадигме доверия и выстраивать информационную безопасность как функцию, приносящую бизнесу измеримую ценность. Это практический маршрут от операционного управления к роли, способной определять повестку на уровне всей организации, — тот путь эволюции, который сегодня проходят успешные CISO.