Между чем и чем не пролетит доллар или кто и как руководит в ИБ?

Между чем и чем не пролетит доллар или кто и как руководит в ИБ?


Не имеет смысла нанимать толковых людей, а затем указывать
что им делать. Мы нанимаем толковых людей,
чтобы они говорили, что делать нам.
Стив Джобс, основатель Apple

Давно мы не рассматривали ситуацию с кадрами в ИБ, а, уж, с руководящими кадрами – тем более.
Хотя попытки были здесь , здесь и здесь .
А про руководителей, “которых все ищут” здесь .
name='more'>
В связи с закрытием половины банков за последние пять-шесть лет, большой процент безопасников время от времени пребывает в активном поиске компании, где их примут, поймут и дадут возможность вносить изменения в сложившуюся информационную инфраструктуру в соответствии с их пониманием требований по информационной безопасности.
У специалистов служб ИБ в текущей ситуации, из-за дефицита кадров на рынке, есть выбор, в какой компании и, что немаловажно, под началом какого руководителя работать. И они этим выбором активно пользуются, чередуя компании: крупные и мелкие, государственные и коммерческие, с авторитарными ИБ‑руководителями и с теми, кто поспокойнее.
Ниже рассмотрим типы руководителей служб ИБ, исходя из следующей, условной градации:
- руководитель – “бывший силовик”;
- руководитель – “бывший военный”;
- руководитель – “технарь c ИТ-шным прошлым”;
- руководитель – “бумажный безопасник”.
Сразу оговорюсь, что у собирательного образа руководителя службы ИБ того или иного условного типа, как мне кажется, сумма положительных качеств, скорее всего, будет превалировать над суммой отрицательных. В данной статье критически, преимущественно в чёрно-белых тонах рассматриваются характеристики руководителей, исходя из крайних проявлений тех качеств, которые приобретены руководителем в ходе предыдущей трудовой деятельности или на текущей должности.
Кто-то скажет, что не хватает руководителя с профильным ИБ-шным бэкграундом? Пока таких примеров немного, но ситуация, безусловно, будет меняться и руководителей с профильным образованием будет всё больше и больше.
Итак, поехали!

“Руководитель – силовик”
Стиль руководства: авторитарный (также его принято называть “автократическим”).
Обязательный атрибут личного кабинета: множество сувенирных, канцелярских принадлежностей, календарей и так далее с аббревиатурами силовых ведомств.
Любимая фраза: “сделал – доложи, не сделал – тоже доложи”.
Такой руководитель – “бывший силовик” - стремится набирать к себе в команду, прежде всего, тех, кого хорошо знает и понимает по прошлому своему опыту – бывших сотрудников из органов с техническим бэкграундом, время от времени, при необходимости, разбавляя их “технарями – бОтанами”.
Считается, что авторитарный стиль руководства наиболее эффективен в экстремальных ситуациях, которые предусматривают безоговорочное выполнение задач в сжатые сроки, не считаясь с “потерями”. Руководитель-силовик склонен воспринимать только те решения своих подчинённых, которые дают отдачу сразу, без проволочек и лишних рассуждений, не особо вдаваясь в анализ последствий как своих действий, так и действий подчинённых.
Опыт работы на высокой позиции в органах будет, как нельзя, кстати, в общении с нижестоящими сотрудниками службы, но сильно мешать в общении с вышестоящими, а также работниками других подразделений (оказывается люди вокруг – не сплошь карманные обезьянки и с ними надо считаться и желательно быть всегда вежливым).
Попав в банк, такой руководитель быстро усваивает правила “хорошего тона”, что приводит к базовой модели его поведения: “следить за базаром”, быть максимально любезным с работниками сторонних подразделений и сурово-беспощадным - к своим.
Это тот тип руководителя, который постоянно “задалбывает” подчинённых своей критикой. Вообще, критика от руководителя  — уместна до тех пор, пока она не начинает демотивировать сотрудника, отбивать у него охоту проявлять инициативу.
Любимое занятие руководителя-силовика – критиковать, не стесняясь в выражениях, облажавшихся подчинённых. Даже при положительной оценке действий своего сотрудника у руководителя всегда присутствует некое “но”: “в этот раз ты всё сделал как надо, но в следующий раз прежде, чем что-то делать, согласовывай все действия со мной”. Натренирован по щелчку включать вспышки гнева, переходить с литературного языка на “понятный”, при этом словарный запас резко падает до уровня “ниже пояса”.
При любом разборе полётов у него всегда есть победители и проигравшие, а подчинённые никогда не знают, откуда грянет гром и как не стать участником игры “в виноватого”.
Такой руководитель (как бывший силовик) всегда склонен преувеличивать угрозы и последствия, что негативно сказывается на сотрудниках, но почти никак не влияет на уровень защищённости компании. От страха облажаться и не выполнить ту или иную задачу от вышестоящего руководства, руководитель-силовик начинает скатываться в микроуправление коллективом. Это выражается в постоянных напоминаниях о несделанном, накачках и мелочном, назойливом контроле.
Железная дисциплина в коллективе проявляется в каждодневной переработке подчинёнными и работе в выходные.
Зато возглавляемую таким руководителем службу ИБ уважают все другие подразделения банка за исполнительскую дисциплину, подтянутость личного состава, оперативность и так далее (ну, разве что, ИТ-шники, иногда, прикалываются).
Выполняемые службой работы не особо увязываются с общим планом того, что должно быть сделано в организации по направлению “информационная безопасность”. Нормативка по ИБ такому руководителю как мёртвому припарки.
Команда
Мысли ИБ-команды: “Чувствую себя как выжатый лимон”; “Работы всё прибавляется, а денег не видно”, “Какая-то регулярная email-спам-атака от шефа”.
Полный упадок энтузиазма в команде.
Никто не хочет тратить свои силы на то, что никак не связано с непосредственными задачами от руководителя.
Утомление от калейдоскопа задач медленно, но верно переходит в цинизм. Люди перегорают под прессингом задач и указаниям руководства и начинают уходить. А уходят обычно лучшие, потому что им есть, куда.

“Руководитель – военный”
Стиль руководства: ближе к авторитарному, но с особенностями, которые можно выразить фразой: "отец солдатам".
Обязательный атрибут личного кабинета: знамя полка (это не шутка) и плазменная панель телевизора на стене с постоянно работающей тв-программой “Звезда”.
Любимая фраза: “пулей ко мне!” (вообще, любит часто пользоваться в общении с подчинёнными глаголами: “зайди”, “сделай”, “сбегай”, “доложи”).
Руководитель – “бывший военный” будет набирать себе команду, руководствуясь принципом “не служил – не мужик” (к девушкам это не относится). Из поколенческих трендов (ну, всякие там: поколения X, Y, Z) знает поколения: призывного возраста, военнослужащий и демобилизованный.
Знает и любит рассказывать массу неприличных анекдотов. Несмотря на то, что пить ему уже противопоказано, по-прежнему, является душой любой компании. Коллекционирует фразы типа “между ж..пой и диваном доллар не пролетит” (кстати, как не странно, приписывается Биллу Гейтсу) и так далее.
На первых порах часто путает служебную записку с раппортом, а косяки работников банка (выуженные подчинёнными из DLP-системы), с оперативной обстановкой.
Будучи, как правило, кандидатом военных наук с опытом преподавания в профильных “академиях”, любит выступать с докладами на отраслевых конференциях, демонстрируя очевидные успехи вверенного ему подразделения. При этом качество слайдов от доклада к докладу растёт, чего не скажешь об уровне вверенной ему информационной безопасности организации.
Часто плавает в вопросах, на какие обстоятельства надо реагировать и вникать, а какие для его службы не имеют значения.
Всегда проигрывает на совещаниях технически грамотному оппоненту (например, директору по ИТ), так как тот обладает бОльшей информацией по технологиям и процессам и поэтому всегда манипулирует теми, у кого ее нет. Зато никому не уступит пальму первенства в понимании человеческой природы в деле обеспечения безопасности. Его речевая избыточность подбешивает слушателей, но “народный юмор” всё сглаживает.
Команда
Мысли ИБ-команды: “Вообще непонятно, зачем мы существуем”; “Пора сваливать отсюда!”; Походу, на горизонте начинает маячить оптимизация численности”; “А я даже радуюсь слухам, что скоро всех сократят”.
В службу набираются специалисты абсолютно не компетентные в том, что касается сложных технологий и систем защиты.
У подчинённых прослеживается неприятие новых инициатив от своего руководителя. Поэтому, как правило, процветает имитация бурной деятельности: чиним то, что не ломалось. Результаты работы никого особо не радуют, нет чувства удовлетворения достигнутым.

“Руководитель – технарь”
Стиль руководства: демократический (также известный, как “сопричастный”).
Нет и никогда не было личного кабинета.
Любимые фраза: “лох не мамонт – сам не вымрет” (приписывается Мавроди). Любимое занятие - просить у бизнеса денег на ИБ.
У такого руководителя не возникает необходимости командовать людьми – они следуют за ним по собственному желанию.
Руководитель – технарь с ИТ-шным прошлым (программист-разработчик, сисадмин, сетевик и прочий “маг технологий”) позволяет всем членам команды принимать участие как в выполнении задач, так и в их планировании.
Всегда старается вдаваться в детали, помогая решать возникающие вопросы и проблемы при помощи эрудиции и собственной осведомленности по многим вопросам.
Будучи неисправимым перфекционистом, прежде чем что-то поручить подчинённому, пытается разобраться в этом сам. Самые сложные задачи тоже на нём, при этом со временем начисто утрачивает навык делегирования.
Из-за нежелания выстраивать отношения со смежными подразделениями, возглавляемая им служба имеет низкий статус в организации.
Самая большая его иллюзия заключается в его уверенности, что только техническими средствами можно закрывать те или иные уязвимости и обеспечивать защиту от актуальных угроз.
Выполнение службой слишком большого количества задач может свести на нет цели этих задач и привести к обратному эффекту: реально угрозы перестают эффективно устраняться.
От выгорания на работе такого руководителя спасает только оклад выше рынка.
Все его управленческие ошибки и провалы - следствие свойства характера, которое можно охарактеризовать как “губительное сочувствие”.
Годами обивает пороги руководителей компании и просит денег на ИБ, но, в результате, получит запрашиваемый бюджет только после того, когда произойдёт масштабный инцидент и его уволят как не справившегося со своими обязанностями, а осваивать новый бюджет возьмут другого “мага и волшебника”.
Команда
Мысли ИБ-команды: “Это мне только кажется или начальник действительно похож на загнанного оленя в свете фар?”; “Как аудит или компьютерная атака – хоть увольняйся!”; “Боссу всё-равно указали на дверь, несмотря на кучу пройденных аудитов, пентестов, киберучений, служебок о необходимости изменений с целью повышения киберустойчивости”; “Выделение требуемого бюджета на ИБ после реального взлома называется “посылать войска после битвы”.
Обычно у такого руководителя люди в команде ценят свою работу и работу друг друга. Но большое количество никак не согласованных между собой систем защиты и анализ оповещений от этих систем занимает слишком большой процент рабочего времени (предполагается, что это не основная работа, а дополнительная нагрузка). В результате, эти предупреждения от систем безопасности игнорируются из-за усталости исполнителей.

“Руководитель – бумажный безопасник”
Стиль руководства: либеральный (его также называют “попустительским”). Такой стиль руководства способствует стабильности и бесконфликтности в команде, так как в банке процветает “мнепозволенность”.
Его личный кабинет увешан сертификатами и грамотами, начиная от 2-х часового курса “Правовое обеспечение информационной безопасности” и заканчивая благодарностями от ЦБ.
Любимая фраза – любая, которая содержит слова: “конфиденциальность”, “целостность” и “доступность”.
“Бумажный безопасник” - руководитель с большими амбициями, но с уклоном в контроль и аудит. У него на первом месте стремление все прописать и заинструктировать. Основное внимание в повседневной деятельности он уделяет выстраиванию своей карьеры вокруг информационной безопасности.
У него хорошие отношения с руководством и, благодаря этому, высокий статус его Управления ИБ в организации.
Стоит отметить, что исторически сложившаяся “семейная атмосфера” в банке позволяет существовать микро-управлениям, численность которых составляет “1,5 сотрудника” (как правило, у таких банков ЦБ, обычно, отзывает лицензию).
Несмотря на численность команды – 3 сотрудника вместе с руководителем – ему в своё время, как-то удалось выбить в организационно-штатной структуре структурную единицу - Управление ИБ, а себе, соответственно, запись в трудовой – начальник Управления ИБ.
Оптимизация численности в его “Управлении” возможна только в форме упразднения самой структурной единицы.
Сфера его вовлеченности в бизнесс-процессы организации ограничена операционными и регуляторными (комплаенс) рисками.
На всякий случай держит всегда наготове Календарный план работы Управления ИБ. Под каждым разработанным им нормативным документом по ИБ стоит подпись работника организации об ознакомлении.
Готов выслушивать любые предложения от обратившегося, но отдает предпочтение доверительным встречам с теми, кто в него верит.
Чтобы ещё больше поднять свой статус безопасника постоянно пытается “засветиться” на стороне, участвуя в отраслевых комиссиях, ассоциациях, подкомитетах, конференциях и форумах. При этом значимость его, как организатора, растёт, как на дрожжах, и вот он уже сидит в президиуме очередной отраслевой конференции.
Если не случается какой-нибудь ИБ-конференции, то он, как руководитель, всегда на месте, “на боевом посту”, при этом сотрудники его “Управления” постоянно “в полях” и “на задании”.
Команда
Мысли ИБ-команды: “Новые рабочие руки сами по себе не вырастут”; “Сначала ищешь правду, а потом другую работу”; “Только решишь одну проблему, появляется другая”; “Интересно, этот дурдом когда-нибудь закончится?”; ”Лучше лишний раз не высовываться!”; “Полным провалом вроде бы не пахнет, но и успехом вроде бы тоже”.
Все немногочисленные силы ИБ-команды уходят на “бумажную безопасность”.
Команде попросту не хватает времени на обучение новым компетенциям в ИБ, а сам руководитель предпочитает исключительно то обучение, которое дает полезные для карьерного роста подтверждающие документы.

Выводы
Любой отдельный руководитель – хороший человек, но, как гласит житейская мудрость, “не во всём, не всегда, и не со всеми”.
В больших дозах руководство токсично, а в информационной безопасности - вдвойне. Исходя из событий последних лет, опыт работы руководителем в 3-х невзломанных компаниях - уже удача.
Безопасность в компании – вроде майонеза в оливье – каждый руководитель соответствующей службы добавляет по своему вкусу и жизненному опыту.
Эффективность руководства зависит не только от стиля управления руководителя, но и от очень многих факторов, например, таких.
Факторы, влияющие на успех построения современной системы обеспечения ИБ
- руководство компании: осознание проблем кибербезопасности и готовность активно участвовать в решении возникающих проблем;
- персонал: наличие квалифицированных ИБ-специалистов, способных оценить существующее состояние ИБ в банке и сформулировать проблемы, основные цели и задачи в разрезе необходимых изменений. Готовность бизнес-подразделений и, прежде всего, службы ИТ участвовать в реализации этих изменений.
- технические решения, технологии и процессы: наличие базовой информационной инфраструктуры и возможности интегрировать ее с современными средствами ИБ. Наличие на рынке технических решений и исполнителей, способных на приемлемых условиях реализовать предлагаемые изменения.
От руководителя службы ИБ в организации, конечно, многое зависит, но не всё.
Сценариев развития событий два:
Первый: благоприятный
Кибератаки на компанию (десятки, а то и сотни случаев) –> обнаружение –> реагирование -> отражение –> ликвидация последствий -> молодец!
Слова руководства: “Мы в тебе не ошиблись!”.
Второй: не благоприятный
Кибератака на компанию (атакующим удалось проникнуть за периметр компании) -> взлом -> материальный ущерб –> ликвидация последствий –> увольнение.
Слова руководства компании при увольнении шефа службы ИБ: “Мы все облажались, но мы не специалисты, а ты специалист, поэтому, без обид”.
Важно ещё, чтобы руководители служб ИБ в компаниях не только доверяли своим подчинённым, но и были достаточно влиятельны, чтобы донести проблемы ИБ “наверх”.

Alt text