Что нужно CISO, чтобы попасть в совет директоров

У руководителей по кибербезопасности часто складываются непростые отношения с советами директоров. Многим советам не хватает экспертизы в области кибербезопасности, и в результате директорам по информационной безопасности (CISO) приходится сталкиваться с препятствиями при получении одобрения совета. Другие руководители служб безопасности могут не иметь прямой связи с советом или их могут считать слишком техническими специалистами, чтобы заручиться необходимой поддержкой.

Один из способов, которым некоторые CISO работают над улучшением этих отношений, — это самим становиться членами советов директоров, чтобы лучше понимать, что важно и как общаться с членами совета. Другие могут стремиться занять должности в советах, чтобы повысить свой статус, помочь в формировании инструментов будущего или внести вклад в расширение знаний сообщества.

Последнее имеет место в случае с Джейми Нортоном, заместителем председателя совета ISACA. «Как давний член, я достиг этапа в своей карьере, когда у меня было больше гибкости в управлении временем, и я захотел внести свой вклад в отрасль. Возможность сделать это в глобальном масштабе с ISACA идеально подошла», — рассказывает Нортон CSO.

Для Митра Минай, руководителя по глобальному киберздоровью в Accenture, дело было в том, чтобы стать частью решения, а не обращаться к совету только в моменты высокого давления.

«Я видела своими глазами, как понимание советом директоров киберрисков и рисков цифровизации напрямую влияет на результаты деятельности организации, особенно в сфере здравоохранения, где инциденты в области кибербезопасности могут сказаться на безопасности пациентов и непрерывности ухода», — говорит Минай, которая является членом совета Австралийской ассоциации по информационной безопасности (AISA), консультативным членом отрасли Австралийского центра кибербезопасности и членом комитета по цифровому управлению в Uniting AgeWell.

«Вовлечение на уровне управления позволяет мне вносить вклад раньше и более стратегически, помогая советам формировать аппетит к риску, приоритеты инвестиций и устойчивость до возникновения кризисов», — добавляет она. «Это также дает возможность помочь советам ориентироваться в растущем пересечении технологий, доверия, регулирования и целей организации».

Как и в здравоохранении, инциденты в области кибербезопасности могут иметь катастрофические последствия и для других критически важных инфраструктурных услуг. Для CISO, стремящихся изменить ситуацию, консультативные советы поставщиков являются еще одним вариантом.

Натан Морелли, руководитель отдела кибербезопасности и ИТ-устойчивости в SA Power Networks, говорит, что его мотивацией для вступления в консультативные советы поставщиков был осознанный шаг по влиянию на глобальные дорожные карты продуктов, защищающих жизненно важные услуги.

«В критической инфраструктуре последствия [киберинцидентов] значительны, и я хотел убедиться, что используемые нами инструменты действительно подходят для этой цели. Вступая в эти советы, я получаю место за столом, где могу формировать технологии завтрашнего дня, а не просто реагировать на них. Речь идет о выходе за рамки периметра одной организации для влияния на устойчивость всего сектора», — говорит Морелли, который является членом консультативных советов Cyera, CrowdStrike, Proofpoint и SailPoint.

Получение роли в совете — непростой путь

Однако CISO должны знать, что получить место в совете может быть непросто. Несмотря на многолетнее участие в Канберрском отделении ISACA, Нортон предпринял несколько попыток, прежде чем получить место в совете. Он подал заявку один раз и потерпел неудачу; на следующий год он попытался снова, но безуспешно. По его словам, трудно не воспринимать такие отказы на свой счет, добавив, что он получил отличные отзывы и ему посоветовали подать заявку снова.

«Было много размышлений о процессе и о том, что стало причиной результата — проблемы с экспертизой, опытом или просто с навыками, которые требовались совету», — говорит он. «Требуемые навыки вскоре совпали с моей экспертизой, и я добился успеха. С тех пор это было замечательное путешествие».

Кроме того, это значительные обязательства, добавляет Нортон: «Многие часы в неделю уходят на работу, связанную с советом, и встречи, многие из которых проводятся рано утром между 12 и 2 часами ночи по австралийскому времени».

Консультативные и комитетские должности не требуют каких-либо специальных сертификатов, но для эффективности на уровне совета необходимы управленческие способности и авторитет, говорит Минай, которая планирует пройти формальное обучение по управлению в Австралийском институте директоров компаний (AICD) в течение следующих 12–18 месяцев в рамках целенаправленного продвижения к более широким ролям неисполнительных директоров.

Советы для CISO, нацеленных на роль в совете

Для CISO, заинтересованных во вкладе в глобальные советы поставщиков, Морелли советует сосредоточиться на том, чтобы быть партнером, а не просто клиентом. Это требует способности четко сформулировать, как эволюция продукта влияет на профиль риска целого сектора.

Для советов, не относящихся к отрасли, или общественных советов CISO должны быть готовы участвовать в обсуждениях отчетов о прибылях и убытках (P&L), отчетов ESG или заявлений о современном рабстве. Вы там, чтобы обеспечить надзор за всей стратегией и устойчивостью организации.

Вот другие главные советы от Минай, Морелли и Нортона:

• Начинайте с управления, а не с должностей. Комитеты, советы некоммерческих организаций и отраслевые ассоциации дают реальный опыт управления.
• Отделяйте управление от исполнения/менеджмента. Эффективность совета требует надзора и суждений, а не оперативного решения проблем.
• Изучите язык советов. Советы фокусируются на аппетите к риску, компромиссах, результатах и создании ценности, а не только на контроле и инструментах.
• Инвестируйте в формальное образование по управлению. Даже опытные руководители выигрывают от структурированного обучения по управлению при переходе на должности в советах.
• Выбирайте с умом. Сосредоточьтесь на советах, где ваша экспертиза действительно важна, и на компаниях, которые соответствуют вашим ценностям.
• Рассмотрите волонтерство. Ориентация на некоммерческую организацию или благотворительную организацию для вашей первой должности в совете может помочь вам получить ценный первый опыт работы в совете.
• Используйте свою сеть контактов. Возможности для работы в советах часто возникают из существующих отношений. 
• Получите сертификацию. Рассмотрите возможность получения Сертификации NACD по директорству или аналогичных квалификаций.

Как и в случае с вашей ролью CISO, важны брендинг и нарратив. Исследуйте и составьте биографию для совета, которая подчеркивает ключевые навыки и опыт, такие как финансовый, юридический, управленческий, управление рисками, антикризисное управление, навигация в нормативно-правовой среде и стратегическое управление.

Преимущества взгляда на совет с другой стороны

CISO получат много преимуществ от членства в совете. Главное из них, по словам Нортона, — это более глубокое понимание мышления директора.

«Понимание того, что представляет собой существенный вопрос, какой уровень детализациичлены совета хотят видеть в отчетности, а также вклад в аппетит к риску и корпоративную стратегию» были бесценны, — говорит он. «Как CISO в моей основной работе это значительно помогает сбалансировать сообщения для совета и понять, как правильно выстроить обсуждения».

Опыт Минай также повлиял на ее мышление и лидерство. Среди преимуществ, которые она получила, — развитие долгосрочной общекорпоративной перспективы за пределами функциональной оптимизации; более глубокое понимание того, как советы балансируют риск, инвестиции, культуру и ожидания заинтересованных сторон; знакомство с принятием решений в условиях неопределенности при неполной информации; и укрепление способности переводить технические риски и риски кибербезопасности в стратегические и финансовые последствия.

«Эти роли также расширили мой опыт в сферах ухода за престарелыми, академической среде, государственном секторе и некоммерческих организациях, что укрепило мое суждение и влияние как старшего руководителя», — говорит Минай.

Для Морелли это возможность увидеть, куда движется отрасль через 18–24 месяца.

«Существует также значительный накопительный эффект от сети контактов. Сидение в одной комнате с ведущими CISO и бизнес-лидерами мира дает уровень стратегического интеллекта, который не может воспроизвести ни одна служебная записка. Это заставляет вас расти как лидеру, потому что вы постоянно подвергаетесь вызовам со стороны коллег, работающих в глобальном масштабе», — говорит он.

Даже при том, что руководителей по кибербезопасности все чаще приглашают в залы заседаний, одно только приглашение не гарантирует эффективности. Минай говорит, что CISO, которые добиваются успеха на руководящих должностях, — это те, кто может переосмыслить кибербезопасность как вопрос доверия, устойчивости и корпоративного управления, а не просто технической защиты.

«Советы ищут не очередного оператора безопасности; они ищут ясное мышление, спокойное суждение и стратегическое понимание в условиях сложности», — говорит она. «Именно здесь опытные CISO могут внести уникальный и долгосрочный вклад».