Рекрутеры, занимающиеся поиском ИТ-специалистов высшего звена, часто говорят, что найти по-настоящему квалифицированного и опытного CSO (Chief Security Officer) — одна из самых сложных задач. Причина кроется в возрастающей ответственности, возлагаемой на этих ключевых сотрудников, которые зачастую входят в состав высшего руководства (C-suite) и могут даже подчиняться напрямую генеральному директору.
К сожалению, это может создавать значительное давление на организацию, вынуждая нанимать быстро, что, возможно, приведет к сокращению процесса проверки. Аналогично, специалисты по безопасности могут быть склонны преувеличивать свои навыки и знания, вводя работодателя в заблуждение относительно реальной ценности, которую они могут принести на эту должность.
Учитывая оба сценария, CSO опросил ведущих технических рекрутеров и действующих CSO о том, как и отдельные лица, и организации могут избежать инфляции званий CSO и понять, является ли лидер в области ИТ-безопасности «настоящим профессионалом». Обмен мнениями показывает, что успешный CSO — это человек, одинаково компетентный в технологических решениях, бизнес-процессах и коммуникационных стратегиях.
«Сильный лидер выходит за рамки безопасности ради самой безопасности и осваивает искусство хореографии рисков, что требует сочетания технической грамотности и управленческого суждения», — объясняет Канани Брекенридж, генеральный директор и хедхантер из базирующейся в Сан-Диего компании Kismet Search.
«Сильные лидеры в области ИТ-безопасности достаточно глубоко понимают ландшафт угроз, чтобы принимать обоснованные решения, и не прячутся за жаргоном», — добавляет она. «Их реальная ценность проявляется в приоритизации рисков, ясном общении с нетехническими заинтересованными сторонами и способности преобразовывать безопасность в бизнес-результаты. Они знают, когда нужно эскалировать проблему, когда сказать «нет», и когда «достаточно хорошо» — это на самом деле правильное решение».
Кроме того, CSO высшего уровня понимают, что их ценность не в том, чтобы говорить «нет», а в том, чтобы конструировать «да», объясняет Брекенридж. Они понимают, что их работа заключается не в устранении рисков, а в обеспечении того, чтобы организация принимала правильные риски для сохранения конкурентоспособности.
Опасности предоставления слишком большого влияния не тому специалисту по ИТ-безопасности
Самый большой риск, объясняет Брекенридж, — это ложная уверенность, когда организация считает себя в большей безопасности, чем есть на самом деле. Помимо пустой траты бюджета, это создает хрупкость. Раздутый лидер часто строит «культуру соответствия», а не «культуру безопасности». В конечном итоге это оставляет компанию уязвимой перед тем, что Брекенридж называет «двойным провалом»: у вас происходит крупный взлом, несмотря на то, что вы потратили много денег — и вам было присвоено звание CSO.
Одним из примеров того, как организация может нанять или продвинуть не того CSO, является ситуация, когда она очаровывается евангелистами в области безопасности и продуктов, способными определять и внедрять лучшие в своем классе архитектуры и фреймворки безопасности. Но этим людям может не хватать сплоченной стратегии в области интегрированных коммуникаций, духа сотрудничества, навыков найма, комплексного обучения или общих деловых практик, объясняет Даг Уолд, вице-президент по подбору персонала в кадровом агентстве Executive Alliance.
Уолд считает, что такая ошибка, вероятно, произойдет, когда нанимающие команды слишком сильно сосредоточены на текущих потребностях в архитектуре и решениях по безопасности. Они могут не учесть императивы лидера по безопасности высшего звена по определению, внедрению и оптимизации разработки критически важных программ — таких как последовательное обучение сотрудников и команд, юридическое сопровождение вопросов конфиденциальности, проверка поставщиков, обеспечение непрерывности бизнеса и процессы изменений — в качестве основных столпов комплексной стратегии безопасности.
«К сожалению, это случается чаще, чем большинство людей могли бы себе представить, поэтому меня нанимают для поиска замены», — объясняет Брекенридж. «Это часто проявляется как «авторитет, обусловленный кризисом». После крупного отраслевого взлома советы директоров часто паникуют и наделяют CSO чрезвычайными полномочиями. Если этому лидеру не хватает зрелости, чтобы использовать это влияние, он создает внутри компании «промышленно-безопасный комплекс», который часто бывает дорогим, раздутым и оторванным от дорожной карты продукта и ИТ-ландшафта».
Поиск правильного баланса опыта и ответственности
Марк Г. Маккрири, партнер и главный специалист по ИИ и ИТ-безопасности в бостонской юридической фирме Fox Rothschild LLP, видел оба крайних проявления: когда безопасность полностью оттесняется на второй план, и когда специалистам по безопасности предоставляются чрезмерные, необоснованные полномочия.
В некоторых фирмах недавно назначенный CSO может выступать в роли привратника без необходимого управления, регламентов или согласования с партнерами для обоснования права вето, объясняет Маккрири. Этот дисбаланс становится очевидным, когда политики существуют, но фирма не отрабатывала, кто что делает под давлением — будь то юридическое реагирование и реагирование на кризисы, технические действия, коммуникации или работа с клиентами. Зрелые организации проактивно назначают и репетируют эти роли.
Брекенридж соглашается: «Многие так называемые CSO никогда на самом деле не управляли бюджетом или не руководили действиями во время крупного инцидента с данными или безопасностью».
Учитывая высокие ставки, почему какая-либо организация рискует нанять CSO с недостаточным опытом? Обычно это сочетание времени, внешнего вида или защитного найма, который может быть более обусловлен внешними факторами, чем внутренней логикой, объясняет Брекенридж.
Например, организация может использовать звание CSO как «приманку для аудита», чтобы удовлетворить регуляторов или страховых агентов. В других случаях это игра на удержание: талантливому техническому архитектору присваивают звание уровня C, чтобы его не переманили, несмотря на отсутствие у него опыта в управлении прибылями и убытками (P&L), управлении советом директоров или организационном дизайне.
Назовите это случаем, когда звание опережает мандат, говорит Маккрири. Новое звание может быть создано для удовлетворения анкет клиентов или в маркетинговых целях, но фактические полномочия, бюджет и объем ответственности еще не догнали его.
Опыт и навыки, которыми должен обладать CSO
Отсекая лишнее, что должен привнести в эту роль первоклассный CSO?
«Сильный лидер уравновешивает риск и доход. Настоящий CSO может переводить сложные риски, связанные с кибербезопасностью, конфиденциальностью и ИИ, в конкретные риски для клиентов и дел, объясняя их на языке бизнеса, который легко понятен партнерству», — говорит Маккрири.
В случае с юридической фирмой Fox Rothschild это означает прямую связь угроз с такими вопросами, как конфликты, привилегии, Руководящие принципы внешних консультантов (Outside Counsel Guidelines) и, в конечном итоге, доверие клиентов.
«Эффективное управление должно быть операционным с первого дня», — говорит Маккрири. «Политика не должна просто лежать на полке; она должна быть напрямую связана с практическими руководствами, четко определенными ролями и путями эскалации, которые бизнес регулярно отрабатывает. Подумайте о политиках реагирования на инциденты, фреймворках киберинцидентов и руководствах по взлому данных, работающих вместе».
Как CSO может распознать, что его звание может быть завышено
«Разрыв самозванца» CSO, как называет это Брекенридж, обычно проявляется в совете директоров и тогда, когда человек тратит больше времени на демонстрацию авторитета и принятие решений, чем на достижение результатов. «Если вы обнаруживаете, что говорите только о технических уязвимостях, а не о деловых рисках, вы, вероятно, директор с титулом CSO».
Поскольку многие фирмы имеют разную структуру должностей, статус звания также может зависеть от организации, ее размера и рыночного сегмента, а также от общих функций и обязанностей специалиста по ИТ-безопасности, объясняет Уолд. В целом, звания должны основываться на более общепринятых рыночных ориентирах.
«Обычно, приступая к работе, специалисты по ИТ-безопасности осведомлены о звании, которое они преследуют. От нанимающей компании зависит поддержание соответствия функций должности, а не превращение ее в функцию, не отражающую изначально заявленное звание и задачи», — говорит Уолд.
Чтобы убедиться, что работодатель и кандидат на должность CSO находятся на одной волне, Уолд считает, что специалиста по безопасности «следует поощрять общаться с другими непосредственными членами команды и партнерами из отделов стратегии продукта, операций, бизнеса, финансов и юридического отдела — чтобы получить представление о перспективах, потребностях, дорожной карте и связанных точках соприкосновения для достижения консенсуса о жизнеспособности этой возможности».
Как CSO могут убедиться, что они «настоящие профессионалы»
Лидеры в области ИТ-безопасности могут понять, что они настоящие профессионалы, когда бизнес обращается за их советом по вопросам, не связанным с безопасностью, и они чувствуют себя комфортно, когда их оспаривают по поводу других деловых решений, объясняет Брекенридж.
«Когда руководитель бизнес-подразделения запрашивает ваше мнение о выходе на новый рынок или сделке M&A, потому что ценит вашу оценку рисков, вы достигли цели», — говорит Брекенридж. «Вы также знаете, что готовы, когда можете с комфортом принять «информированный риск» и чувствуете, что можете спокойно подписаться под известной уязвимостью, потому что бизнес-ценность запуска перевешивает технический долг».
Другие верные признаки того, что вы заслуживаете этого звания: вы можете уверенно выполнять план. Вы способны инициировать звонок об инциденте, следовать политике реагирования фирмы и выполнять план действий при взломе без создания проблем с привилегиями или нарушений этических барьеров, объясняет Маккрири.
«Вы установили ритм, который действительно меняет ситуацию. Вы руководите совещаниями по безопасности и активно участвуете в целевых группах или подкомитетах по ИИ, где решения приводят к ощутимым результатам, таким как новые политики, средства контроля или обучение», — говорит Маккрири. «Вы эффективно обучаете своих заинтересованных лиц. Вы проводите обучение и предоставляете практические рекомендации по ИИ и информационной безопасности, которые организация действительно использует».
Заверение себя и организации в том, что в роли все в порядке
Чтобы продемонстрировать как себе, так и организации, что они подходят для этой роли, CSO должны убедиться, что соблюдаются стратегия безопасности, процессы и защитные меры, при этом демонстрируя тесную интеграцию с руководителями программ в области права, конфиденциальности, соответствия требованиям, а также в вопросах интеграции и отношений с поставщиками, говорит Уолд.
В эпоху новых правил раскрытия информации SEC инфляция званий больше не является косметической, говорит Брекенридж. Это материальный риск. Наличие звания CSO без реальных полномочий, бюджета или владения программой подвергает отдельных лиц ответственности за неудачи, которые они не контролируют.
«Самые сильные лидеры в области безопасности, которых я вижу, опасаются званий без мандата. Их волнует сфера деятельности, результаты и доступ, а не внешний вид», — говорит Брекенридж.
Чтобы доказать свою ценность, CSO должны сместить акцент с «дней без инцидентов» на «метрики устойчивости», объясняет Брекенридж.
«Докажите, что когда что-то ломается — а это неизбежно произойдет — время восстановления сокращается, а радиус поражения уменьшается», — говорит Брекенридж. «Когда вы сможете показать, что безопасность является беспрепятственной частью конвейера CI/CD, а не просто воротами в конце, организация поверит, что функция здорова. И коллеги будут искать ваш совет на ранних этапах, а не на поздних, что часто является самым сильным сигналом доверия».
С точки зрения рекрутинга и карьерного роста, Брекенридж отмечает, что завышенные звания также искажают долгосрочную карьерную траекторию. Когда способности не соответствуют званию, это быстро проявляется на будущих собеседованиях, особенно на уровне руководства, где результаты, управление и доверие значат больше, чем ярлыки.
«Ключевой момент в том, что рынок — объективный судья», — говорит Брекенридж. «Когда лидеры проходят собеседование на следующую должность, их оценивают по тому, чем они фактически владели, на что влияли и что доставили. Завышенные звания имеют тенденцию быстро обесцениваться при проверке реальными результатами и операционным опытом».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – David Weldon
