Пять шагов для CISO: как сделать, чтобы CEO начал вас понимать

11409
Пять шагов для CISO: как сделать, чтобы CEO начал вас понимать
image

Positive Education совместно с SuperJob и the Edgers опросили, как меняется роль директора по информационной безопасности в российских компаниях. В работе участвовали CEO, CTO, CIO и CISO из финтеха, промышленности и других отраслей. Результат оказался неудобным для обеих сторон: больше 40% директоров по информационной безопасности оценивают собственную зрелость на 8-9 баллов из 10, тогда как высокую оценку роли CISO дают лишь 25% опрошенных генеральных директоров.

Кибербезопасность вышла за пределы технологической функции и стала одним из факторов устойчивости бизнеса. В этой ситуации компаниям нужен CISO, который умеет не только управлять защитой, но и переводить технологические угрозы на язык бизнес-рисков. Разрыв усиливает нехватка прямого диалога: по данным исследования, в 37,5% компаний отсутствует регулярное взаимодействие между генеральным директором и руководителем ИБ. На этом фоне растет запрос на руководителей, способных связывать киберриски с деньгами, устойчивостью, юридическими последствиями и стратегическими приоритетами компании.

Авторы практикума «CISO 3.0: управление на уровне бизнеса» от Positive Education составили список из пяти конкретных шагов, которые помогут директору по информационной безопасности построить разговор с CEO так, чтобы киберриски стали частью управленческой повестки.

Шаг №1. Поймите, как развивается бизнес компании, где вы работаете

CISO нередко воспринимают как технического руководителя, который узнает о новых инициативах компании уже после принятия решения. Из-за этого директор по ИБ видит последствия, но хуже понимает исходную логику: за счет чего бизнес собирается расти, какие продукты становятся ключевыми и какие процессы нельзя останавливать ни при каких условиях.

Начните с вопроса: что для компании будет важным в ближайшие годы? Ответ поможет увидеть технологии и процессы, которые напрямую влияют на прибыль, развитие и устойчивость организации. Для диалога с бизнесом это знание критически важно. Если CISO понимает планы бизнеса, он заранее видит, где появятся новые риски, какие процессы станут критичными и какие системы потребуют особого внимания.

Шаг №2. Переведите ИБ в понятные бизнес-показатели

Задумайтесь, как вы рассказываете о результате работы своей команды. Количество закрытых уязвимостей, время реакции на инцидент и доля активов, подключенных к мониторингу событий ИБ, важны для самой функции безопасности. Но в разговоре с CEO начинать стоит не с них. На уровне бизнеса информационную безопасность оценивают через влияние на деньги, простои, клиентов, регуляторные риски и устойчивость операций.

Задайте себе несколько прикладных вопросов:

  • сколько стоит час простоя ключевого сервиса?
  • какими будут последствия утечки персональных данных?
  • какой эффект даст снижение вероятности критического инцидента?

Ответы на эти вопросы приблизят вас к пониманию того, как руководство оценивает риски и принимает решения.

Единого формата такой отчетности не существует: компании отличаются по масштабу, отрасли, цифровой зрелости и риск-профилю. Но общий принцип остается прежним: безопасность должна показывать, какие потери она предотвращает и какую устойчивость обеспечивает бизнесу.

Шаг №3. Выделите критичные активы, оцените их защищенность и согласуйте приоритеты

У каждой компании есть процессы и активы, без которых бизнес быстро теряет устойчивость: клиентские базы, производственные системы, интеллектуальная собственность, цифровые платформы. Итоговый список будет уникальным для каждой организации.

Начните с недопустимых событий, характерных именно для вашего бизнеса. Это ситуации, после которых компания получает неприемлемый ущерб: остановку важной производственной линии, утечку данных клиентов, кражу информации о новом продукте, внедрение вредоносного кода в разработку или недоступность критически важных ресурсов. Такой список лучше делать коротким, чтобы он оставался управляемым и действительно помогал расставлять приоритеты.

Затем разработайте этот список вместе с топ-менеджментом. Для такой работы подходят модерируемая стратегическая сессия, деловая игра или разбор бизнес-кейса, где представители бизнеса и ИБ совместно определяют критичные активы и перечень недопустимых событий. Когда эта работа завершена, связать деятельность ИБ с финансовыми, репутационными и юридическими последствиями становится значительно проще.

Шаг №4. Постройте регулярный диалог с топ-менеджментом

Кибербезопасность воспринимается как стратегическая функция тогда, когда она встроена в управленческие процессы на постоянной основе: квартальные доклады совету директоров, стратегические сессии, обсуждения при запуске продуктов или выходе на новые рынки. Разовые встречи по запросу CEO хуже помогают встроить ИБ в управление рисками. Поэтому формат, периодичность и повестку таких встреч лучше согласовать заранее.

Эффективность работы с топ-менеджментом и советом директоров CISO может оценить простым вопросом: способен ли генеральный директор за две минуты объяснить, зачем компании нужна функция информационной безопасности? Если CEO ясно понимает ценность ИБ для бизнеса, это один из признаков, что коммуникация работает.

В исследовании один из CEO говорит, что без участия CISO в стратегическом планировании у функциональных менеджеров не хватает понимания рисков, а у самого CISO не хватает понимания целей бизнеса. Поэтому стратегию они разрабатывают совместно, и CEO не приходится управлять этим процессом в ежедневном режиме. Такая модель показывает: инициатива в диалоге должна исходить не только от бизнеса, но и от самого CISO.

Шаг №5. Системно развивайте компетенции

В исследовании Трансформация роли CISO представлена карта компетенций, которая объединяет три направления: знания, навыки и образ мышления. Внутри них собраны компетенции, без которых сегодня сложно выстроить полноценный диалог с руководством компании: понимание финансов, стратегирование, коммуникация, принятие решений, управление изменениями и эмоциональная зрелость. Эту карту удобно использовать для честной самооценки.

Посмотрите на нее и определите, каких компетенций вам не хватает именно сейчас. Такой подход помогает выстроить последовательный план развития вместо случайного выбора обучения. Техническая экспертиза остается базой профессии, но ее уже недостаточно, если CISO должен защищать бюджеты, участвовать в стратегии и объяснять риски людям, которые принимают решения о развитии бизнеса.

Именно вокруг этих задач Positive Education строит практикум CISO 3.0: не как продолжение технического обучения, а как программу для руководителей ИБ, которым нужно говорить с CEO, обосновывать инвестиции в безопасность и становиться участниками стратегических решений.

Современный CISO работает на стыке технологий и бизнеса, поэтому профессиональное развитие выходит за рамки технической экспертизы.


Секлаб · Биологический риск
Иммунитет её не видит.
Антибиотики не берут.
Её не существует. Пока.
38 учёных против одной бактерии →