5 лет назад я написал заметку про шкалу значимости CISO, в которой попробовал посмотреть на руководителя ИБ глазами аудитории, которая смотрит на него и его активность внутри компании. А как на CISO смотрят топ-менеджеры? Как оценивают их зрелость? Мне тут в руки (и не спрашивайте, откуда) попала модель CALM (The CISO Assessment Level Model), которая описывает уровень зрелости CISO в глазах генерального директора или совета директоров. Эта модель была разработана агентством по поиску руководящего персонала Russell Reynolds Associates и используется ими при поиске и собеседовании CISO.
Выделяется 4 уровня CISO — к первому, самому низкому, уровню относится около 60% всех руководителей ИБ. На 4-м уровне находится около 100 человек во всем мире; по мнению агентства, преимущественно в США. Первый уровень — это больше про ИТ-безопасность, в то время как 4-й — это про общение с бизнесом на одном уровне, а также занимаются обучением членов совета директоров и их семей!
Модель CALM очень проста в использовании. Первый вопрос, который надо задать себе (если вы топ-менеджер), — это «Какого уровня CISO вы имеете сейчас?» (этот же вопрос может себе задать сам CISO, пробуя посмотреть на себя со стороны). Также топ-менеджмент должен спросить себя, каково его нынешнее отношение к кибербезопасности и куда организация должна прийти, и в течение какого времени, в этом вопросе. В ответе на эти вопросы может помочь таблица ниже.
Можно обратить внимание на следующие моменты:
- Уровень 1. CISO этого уровня существуют в организациях, в которых ИБ является частью ИТ-функции. Больший фокус на этом уровне делается на контроле доступа и предотвращении угроз, а не на обнаружении и реагировании. Достаточно большой фокус на регуляторику. Редко появляется перед лицом топ-менеджмента и мало коммуницирует с другими подразделениями, интроверт. Этот уровень обычно подходит тем организациям, где влияние кибератак не так уж и велико.
- Уровень 2. ИБ смотрится чуть шире, чем просто проблема ИТ. Есть место инновациям и трансформации, а также коммуникациям с другими подразделениями внутри организации, например, с HR. С точки зрения NIST CSF фокус на все основные направления деятельности (защита, обнаружение, реагирование) и очень слабая поддержка функции восстановления систем после атак. Этот уровень обычно подходит тем организациям, где вероятность или частота кибератак достаточно высока, но ущерб не так велик.
- Уровень 3. CISO на этом уровне достаточно часто общается с советом директоров и сильно ориентирован на изменения в компании. Влиятельный, инновационный, активно использующий аналитику данных. Делится информацией с коллегами по отрасли. Подходит для организаций, где достаточно высок ущерб от кибератаки.
- Уровень 4. На этом уровне ИБ становится частью ДНК организации, является элементом стратегии развития компании. CISO участвует в обсуждении и принятии всех критических и конфиденциальных решений, например, в слияниях и поглощениях.
После того, как топ-менеджмент разобрался с тем, какой CISO у них сейчас, они должны посмотреть на следующую таблицу, которая показывает, какой CISO им нужен и какие требования к этой функции будут предъявляться? Если отмечается совпадение уровней «что есть сейчас» и «что нужно», то значит CISO на своем месте и ничего менять не надо. Если есть отличия, то это уже тема для дальнейших дискуссий и поиска новых кандидатов.
Интересно, что с точки зрения лидерских компетенций, от CISO с самого начального, первого, уровня требуется ориентация на результат и умение управлять своей командой. Если с лидерством и командообразованием все понятно, что нацеленность на результат у нас нечасто звучит в дискуссиях с CISO. Ведь это означает, что надо уходить от транзакционной модели ИБ в сторону стратегической, понимать, куда движется компания и какова связь бизнеса с ИБ, брать на себя ответственность за все, что делается в этом направлении, активно взаимодействовать с другими подразделениями и т.п.
А вы как оцениваете сами себя, если вы CISO, или своего CISO, если вы топ-менеджер?
Заметка Модель CALM для оценки зрелости CISO с точки зрения топ-менеджмента была впервые опубликована на Бизнес без опасности .
