Эффективность руководитель отдела кибербезопасности во многом зависит и от компании, где он работает.
Несовместимость между CISO и компанией, в которой он работает, может привести к стрессу, разочарованию, выгоранию и текучести кадров. Причём как у самого CISO, так и у его подчинённых. Чтобы создать идеальную среду для комфортной работы, стоит заранее определить стиль своего руководства.
Роль CISO в последние годы приобрела большой вес, поскольку развивающиеся и обостряющиеся цифровые угрозы повышают ставки для организаций любого размера и направленности. Но вот только организации не всегда чётко представляют, чего они хотят от своих CISO. А CISO, в свою очередь, не всегда ясно представляют, какими лидерами они являются или хотят быть.
«CISO не одинаковы для разных компаний и отраслей. Мы всё ещё находимся в зачаточном состоянии понимания того, что это за роль на самом деле и как она вписывается в стратегический фокус бизнеса», — сказал Стив Черчян, CISO XYPRO Technology Corp., аналитической компании по кибербезопасности.
Предприятия часто обращаются к самим CISO, чтобы определить их роль. Опыт и индивидуальность в значительной степени влияют на то, как конкретный тип CISO ведёт дела, причём зачастую с непредвиденными последствиями для организации.
«Некоторые CISO увидят какую-то возможность и продвинут её вперед. Другие в той же роли будут избегать риска и поддерживать статус-кво», — добавил Черчян.
Джефф Поллард, вице-президент и главный аналитик компании Forrester Research, считает, что несовместимость между руководителями по кибербезопасности и их организациями, которую он называет «недостаточным соответствием CISO компании», приводит к выгоранию и способствует высокой текучести кадров. Согласно исследованию Enterprise Strategy Group, в среднем один конкретный человек работает на должности CISO от двух до четырёх лет, после чего меняет либо должность, либо компанию, в которой работает.
«Когда точки зрения на характер деятельности у руководства компании и CISO различаются, CISO может быть эффективным, но вовлечение в работу будет слабым. Такой CISO не будет чувствовать себя счастливым, мотивированным и заряженным, а мысль о скором уходе из компании будет ходить за ним по пятам», — сказал Поллард.
Джефф Поллард и его коллеги из Forrester — Джинан Бадж, Пол Маккей и Клэр О’Мэлли решили, что CISO, как и генеральным директорам, нужна структура, помогающая им эффективно идентифицировать себя и определять ситуации, в которых они преуспевают. Они верят, что архетипическая классификация может определить, сможет ли определённый CISO работать в конкретной компании. Это поможет CISO раскрыть свои сильные стороны, чтобы избежать болезненных кризисов идентичности на рабочем месте. А компании поможет избежать сопутствующих минусов, связанных с недовольством CISO своей работой.
По словам Полларда, в ходе проведения исследовательских интервью с действующими CISO было замечено, как проявились шесть различных архетипов.
1. Трансформационный CISO. Специалисты Forrester описали трансформационного CISO как энергичного, экстравертного, динамичного и откровенного руководителя. Этот человек, как правило, уже имеет значительный бизнес-опыт. Трансформационный CISO возглавляет работу по превращению программы безопасности, ориентированной на внутренние потребности, в такую, которая соответствует потребностям клиентов и бизнес-результатам. Трансформационным CISO следует искать энергичные компании со схожими культурными ценностями, которые привержены изменениям на макроуровне.
Когда трансформационные CISO успешно провели нужную им реорганизацию и добились желаемого, они, как правило, теряют интерес к работе, уходят на повышение или меняют компанию. Не потому, что они недовольны, а потому что в рамках этой должности им больше не к чему стремиться.
2. CISO после взлома. Forrester определил «CISO после взлома» как обладающего спокойным, кратким и ориентированным на результат стилем руководства. Этот человек приходит на предприятие после крупного, часто громкого киберинцидента, чтобы смягчить последствия и контролировать новые значительные инвестиции в безопасность.
«Руководители данного архетипа, с которыми мы беседовали, сказали нам, что им нравится, что поначалу работа на должности очень сложная и требует масштабных перемен», — отметил Поллард.
Согласно исследованию, этот тип CISO должен оставаться в новой роли по крайней мере несколько лет. Как только предприятие восстановит свое равновесие и достигнет более сильной позиции в области безопасности, оно, скорее всего, будет готово к новому CISO. А действующий руководитель, скорее всего, и сам захочет перейти в другую компанию, оказавшейся в схожей ситуации, чтобы продолжить заниматься любимым делом.
3. Тактический эксперт. Как выяснили исследователи Forrester, CISO, обладающие тактическим и операционным опытом, часто являются опытными технологами-практиками. Например, успешный инженер по безопасности может получать повышение за повышением, что в конечном итоге приведет его к руководящей должности CISO. Поллард описал этих профессионалов как ориентированных на детали, аналитических, способных, адаптирующихся и решительных. Такие CISO превосходно справляются с операционными сбоями и привносят практический подход к непредвиденным техническим проблемам по мере их возникновения.
Тактические и операционные эксперты могут оставаться счастливыми и продуктивными в своих ролях CISO бесконечно. Однако, если бизнес-модель организации начинает претерпевать серьезные изменения, трансформационный CISO может лучше подойти для соответствующей адаптации программы безопасности.
4. Гуру соблюдения требований. Данный архетип CISO часто имеет менее техническое образование, но хорошо разбирается в законах о конфиденциальности данных, нормативных требованиях, аудитах и так далее. Стиль руководства CISO такого типа, как правило, основан на подходе к управлению рисками с акцентом на соответствие всем необходимым стандартам и требованиям. Гуру соблюдения требований, как правило, дисциплинированы, организованы, ориентированы на детали и не любят хаоса. Они защищают интересы организации с помощью строгих процессов и тщательного соответствия документации.
Этим лидерам в области безопасности следует искать должности в организациях с интенсивным регулирующим давлением, где они могут вносить значимый вклад.
Специалисту по соблюдению требований следует подумать об уходе с должности CISO, если вопросы регулирования становятся менее важными, будь то из-за изъятия активов или смены бизнес-приоритетов. Например, такому CISO, скорее всего, не понравится работа в организации, стремящейся переориентироваться на агрессивную технологическую стратегию, ориентированную на внешний рынок.
5. Устойчивый CISO. Такой тип руководителя лучше всего подходит для организации, которая стремится поддерживать существующую систему безопасности с постепенными улучшениями в течение времени. Это требует спокойного, взвешенного стиля руководства и способности отстаивать консервативные, но последовательные инвестиции в программу кибербезопасности.
«Устойчивые CISO обладают своего рода спокойной уверенностью. Они не боятся перемен, но они действительно хороши в адаптации существующей программы в рамках организационных ограничений», — сказал Поллард.
Однако, поскольку угрозы кибербезопасности сегодня развиваются так быстро, этот медленный и устойчивый подход может иметь ограниченный срок годности. Аналитики Forrester посоветовали CISO устойчивого архетипа переходить на новые должности, если они начинают чувствовать, что организационное сопротивление изменениям означает, что им приходится брать на себя неприемлемый уровень риска.
6. Ориентированный на клиента CISO. Ориентированные на клиента руководители пользуются возможностью взаимодействовать с внешними заинтересованными сторонами, такими как клиенты, СМИ и общественность. Обычно это уверенные в себе и харизматичные лидеры, которые преуспевают в хаотичной, быстро меняющейся среде, а также обладают глубоким пониманием процессов разработки приложений и управления продуктами.
Этот тип CISO нуждается в компании, которая рассматривает разработку программного обеспечения как центральную часть своей бизнес-модели, а безопасность — как ключевой отличительный признак.
Ориентированному на клиента CISO, следует подумать об уходе с должности, если организация решит, что её программа безопасности должна стать более ориентированной на внутренние потребности, тем самым ограничивая возможности для внешних взаимодействий, которые любит этот тип руководителей.
В какой-то степени CISO, которые соглашаются на работу в той или иной компании, чаще всего не понимают собственных архетипов лидерства в области кибербезопасности и являются «жертвами случая». Многие, получив приглашение на собеседование, просто думают, что от таких возможностей не отказываются, и просто надеются на лучшее.
Несоответствие архетипа CISO компании, в которой он работает, может со временем даже вызвать чувство недомогания. Например, устойчивый CISO, от которого ждут настоящей революции в безопасности компании, зачастую испытывает беспокойство, а его уверенность в себе страдает. В свою очередь, трансформационный по своей натуре CISO, на которого внезапно возложены обязанности сохранить стабильность и постоянство без каких-либо реформаций, как правило, испытывает хроническое разочарование и чувство бессмысленности своей деятельности.
Чтобы не пожалеть о трудоустройстве в какую бы то ни было компанию, даже очень крупную и известную, желательно заранее определиться со своим архетипом и искать такую компанию, которая подойдёт по всем требованиям, а не отчаянно хвататься за первое же предложение.
Однако любой опыт, даже отрицательный, это всё же опыт. И если в первый раз с трудоустройством не повезёт, затем CISO уже точно будет знать, чего хочет, и в какой компании предпочёл бы работать
Сбалансированная диета для серого вещества