Многолетний руководитель отдела безопасности Джордж Герчоу стремился привлечь первоклассных инженеров и разработчиков в области безопасности для формирования своей команды.
Герчоу считал этих сотрудников “суперзвездами” — и они много раз доказывали его правоту. Это были амбициозные и целеустремленные люди, “которые приходили и просто блистали. Они отлично справлялись со своей работой, а затем уходили”.
Герчоу обнаружил, что набор таких суперзвезд не создает высокоэффективную команду, которую он определяет как команду, хорошо работающую вместе для защиты компании, активно участвующую в процессе и укрепляющую доверие между собой и бизнес-подразделениями. Он понял, что для создания отличной команды ему нужен лучший состав работников.
Такие команды не формируются сами по себе. “Каждый должен работать над созданием лучших команд”, — говорит Герчоу.
Здесь он и другие опытные руководители в области безопасности делятся шестью стратегиями для этого.
1. Создайте разнообразную команду
Усвоив, будучи CISO в прошлой компании, что наличие только одного типа работников не позволяет создать лучшую команду в целом, Герчоу изменил свои практики подбора и найма персонала. Он стремился сбалансировать амбициозных инженеров, которых он нанимал для инноваций и крупных инициатив, и чье пребывание в должности могло быть недолгим, поскольку они стремились к другим проектам, с теми, кого он называет “звездами” — прилежными, сосредоточенными работниками, которые умело и надежно выполняли повседневные рутинные задачи, составляющие основную часть обязанностей отдела безопасности.
“Вам нужна смесь и тех, и других”, — говорит Герчоу, ныне CSO в Bedrock Security и преподаватель в IANS Research.
Герчоу также выступает за наем работников с разным опытом, говоря, что “получение этих разных знаний дает разные перспективы, и внедрение их в стратегию безопасности — это здорово; это создает различную синергию”.
2. Четко определите миссию
Шэрон Чанд, руководитель отдела киберзащиты и устойчивости в американской фирме профессиональных услуг Deloitte, говорит, что характеристикой высокоэффективной команды является согласованность в отношении миссии команды.
Однако для этого члены команды должны знать, в чем заключается миссия, и принять ее.
“Это должна быть очень четкая миссия, сформулированная руководителями”, — говорит она, объясняя, что миссия дает указания о том, что каждый должен делать.
CISO могут думать, что миссия отдела безопасности ясна — или что миссия просто сформулирована как “защита организации от угроз” — но Чанд говорит, что миссия, которая обеспечивает ясность и детали в отношении рисков, угроз и приоритетов безопасности, уникальных для организации, основанных на ее отрасли и бизнесе, дает командам цель для сплочения и направление того, как действовать, “не проверяя и не передавая дела по цепочке”.
Таким образом, Чанд говорит, что четкая миссия обеспечивает скорость — необходимое качество для команд безопасности в эпоху, когда темпы атак ускоряются.
“Признаком высокоэффективной команды является то, что команда понимает свою роль в обеспечении успеха бизнеса, потому что они понимают, что дело не только в снижении количества критических оповещений или реагировании на события в рамках определенных SLA; речь идет о том, чтобы бизнес мог продолжать работать. Это помогает с целью и мотивацией”, — добавляет Чанд.
Герчоу также видит, как четкая миссия помогает создать сильную команду: “Сказать разработчикам, что они должны что-то сделать для соответствия требованиям, не вдохновляет их, — говорит он, — но это происходит, если вы говорите о рисках и о том, как продвигать бизнес, если вы ставите это в терминах того, что это даст бизнесу”.
3. Правильно оснастите команду для выполнения миссии
Высокоэффективной команде необходимы правильное обучение, инструменты и методы для выполнения своей миссии, и в сфере кибербезопасности все обстоит точно так же, говорит Чанд.
Конечно, ни у одного CISO нет неограниченного бюджета для финансирования каждой потребности, которую могут определить сотрудники, поэтому важно быть стратегическим, зная сильные стороны членов команды и определяя, где им нужно больше обучения, какие инструменты они лучше всего приспособлены для оптимизации и на чем они должны сосредоточиться для улучшения.
“CISO должны предоставлять им правильное обучение и технологии для развития их навыков в соответствии с миссией”, — добавляет Чанд.
Теперь это включает в себя обеспечение того, чтобы команда безопасности могла использовать искусственный интеллект для преобразования своих ролей, говорит она. “Это учит их использовать данные и аналитику и использовать ИИ по-другому”.
Использование ИИ также повышает способность улучшать производительность команды, отмечает Чанд, поскольку масштабирование использования ИИ в отделе безопасности “создает пропускную способность”, которая позволяет CISO и их сотрудникам выйти из реактивного режима и получить время и ресурсы для повышения квалификации.
4. Отлично расставляйте приоритеты
CISO могут создать высокоэффективную команду, улучшив установление и сообщение приоритетов, чтобы члены команды знали, на чем сосредоточить свое время и усилия, говорит Натан Венцлер, полевой CISO для консультирования клиентов в фирме кибербезопасности Optiv.
“Мы давно знаем в отрасли, что мы не можем объять необъятное, мы не можем исправить каждую уязвимость, мы не можем исправить каждую строку кода. Просто слишком много нужно сделать, и у нас нет ресурсов, чтобы сделать все это. Поэтому расстановка приоритетов — это правильный путь”, — говорит он. “Это функция, которую, по словам многих людей, они выполняют, но многие не выполняют ее хорошо”.
CISO, которые консолидируют данные из своих инструментов безопасности для создания целостного представления об угрозах и уязвимостях и согласовывают стратегию безопасности с бизнесом, могут получить ясность в отношении приоритетов и лучше направлять свои команды, говорит Венцлер.
“Это нелегкая проблема для решения, — добавляет он, — но там, где она решается, становится намного легче провести прямое сравнение с тем, где вы больше всего подвержены риску, а затем расставить приоритеты в том, какую работу необходимо выполнить”.
5. Развивайте у работников “мягкие навыки”, чтобы повысить взаимодействие с коллегами по бизнесу
Специалисты по безопасности не всегда обладают сильными деловыми, коммуникативными и лидерскими навыками. “Последние 20 лет или около того мы очень хорошо разбирались в технических вопросах; теперь нам абсолютно необходимо начать развивать “мягкие навыки” в наших командах”, — говорит Венцлер.
Он подчеркивает необходимость коммуникативных навыков, в частности, говоря, что они необходимы командам безопасности для эффективного изложения информации о политиках и процедурах, которым бизнес должен следовать для противодействия киберугрозам.
“Команды, которые сегодня работают лучше всего, — это те, которые успешно заставляют всех остальных поверить в то, что они делают”, — говорит Венцлер. “Они [достигают] этого, когда их рассматривают как помощников бизнеса, а не просто как подразделение ИТ, и они делают это, когда общаются на языке, который понимает бизнес”.
Способность специалистов по безопасности эффективно взаимодействовать со своими коллегами по бизнесу посредством улучшения коммуникации, деловой хватки, эмпатии и тому подобного помогает им быть лучшими работниками, объясняет Венцлер. Это связано с тем, что они получают больше понимания и ясности в отношении рисков, которые наиболее важны для бизнеса, понимания, которое они затем могут применить к тому, как они выполняют свою работу в сфере безопасности.
Другие отмечают, что команды безопасности, которые имеют тесные взаимоотношения и сотрудничество со своими деловыми партнерами, также имеют больше межфункционального влияния и более высокий уровень доверия, что помогает им получить поддержку в отношении правил и требований безопасности.
“Это означает, что безопасность обеспечивается, и происходят фактические улучшения”, — добавляет Венцлер.
6. Назначайте — и наделяйте полномочиями — заместителей
В высокоэффективных командах есть CISO, которые знают, что они не могут делать все в одиночку, и вместо этого полагаются на заместителей, которые помогают нести бремя, говорит Стив Мартано, преподаватель IANS Research и партнер в практике кибербезопасности Artico Search.
“CISO должен определять своих главных заместителей или, если они у них уже есть, они должны поручать им больше оперативных задач и стратегических потребностей, связанных с их дисциплиной, что позволяет CISO быть больше руководителем по бизнес-рискам и действительно выступать в качестве коллеги финансового директора, руководителя отдела продукта и лидеров P&L в бизнесе”, — говорит Мартано.
Это может показаться большей победой для CISO, чем для команды в целом, но это не так, говорит Мартано. Скорее, это создает более сильных лидеров во всем отделе безопасности, которые могут быстро реагировать на потребности членов команды, а не всегда должны передавать вопросы, проблемы и планы CISO и ждать ответов.
“Сильные заместители означают, что вы, как CISO, можете сэкономить циклы, потому что вам не нужно быть таким внимательным к повседневной оперативной работе, которой они руководят”, — говорит Мартано.
Наделение заместителей полномочиями может быть трудным для CISO, говорит Мартано, отмечая, что “есть много CISO, которые действуют из-за чрезмерной осторожности и, следовательно, микроуправляют своими командами”.
Он советует CISO, которые хотят создать более сильную команду лидеров, сначала оценить, кто у них есть, какими навыками они обладают и какие навыки им необходимо развивать. Затем CISO необходимо спланировать, как они будут обучать этих лидеров, чтобы они брали на себя больше задач и надзора на уровне руководителей.
“Дайте им свободу принимать решения, совершать ошибки и использовать вас в качестве резонатора”, — говорит Мартано. “Пусть люди представляют вас на встречах и стараются извлечь максимум пользы из людей, заставляя их думать больше о бизнесе и более стратегически”.
Мартано говорит, что создание сильной команды лидеров имеет преимущества, которые каскадом распространяются по всем рядам, поскольку эти заместители, как правило, применяют тот же подход к тем, кого они курируют, наделяя полномочиями своих непосредственных подчиненных и ожидая, что они будут делать то же самое с теми, кто им подчиняется. В результате работники на всех уровнях повышают квалификацию, берут на себя больше обязанностей и принимают на себя больше ответственности.
“Эти CISO, — говорит Мартано, — создают среду, которая способствует развитию лидеров по всей цепочке”.
Всегда имейте в виду, что редакции некоторых изданий могут придерживаться предвзятых взглядов в освещении новостей.
8/9
Автор – Mary K. Pratt
