Даже самые опытные CISO (директоры по информационной безопасности) иногда сталкиваются с непреодолимыми препятствиями в своих организациях. Несмотря на все усилия по построению отношений, техническую глубину и деловую хватку, они не могут получить необходимой поддержки для защиты своих организаций — и самих себя — от надвигающейся катастрофы.
В целом, роль CISO трудна, и поэтому большинство директоров по ИБ меняют работу каждые два-три года или даже реже. Отсутствие поддержки со стороны высшего руководства и недостаточный бюджет, соответствующий размеру и отрасли организации, являются основными причинами такой текучести кадров CISO, согласно отчету ISSA «Жизнь и времена специалистов по кибербезопасности».
В частности, CISO уходят из-за ограниченного взаимодействия с советом директоров, высокой ответственности при недостаточных полномочиях, несогласованности действий руководства и постоянных барьеров на пути внедрения управления рисками и обеспечения устойчивости, сообщил представитель ISSA.
Многие из этих препятствий являются общими для всех отраслей, так как же CISO узнать, когда пора двигаться дальше?
Они ищут сигналы.
Красный флаг: пустые слова
Распространенным «красным флагом» и причиной ухода CISO с работы является то, что руководство «говорит красивые слова» аудиторам, клиентам и конкурентам, говорит CISO из FinTech Марий Поскус, популярный блогер по вопросам руководства в сфере безопасности, который опубликовал эссе об уходе с «ролей «театра безопасности».
Поэтому еще до подписания нового контракта Поскус предлагает искать недавние события, предшествовавшие найму первым CISO в организации. «Я часто это вижу. Обычно после крупного взлома они снижают штрафы, говоря, что наймут своего первого CISO. На самом деле, друг из Новой Зеландии сегодня обратился ко мне с такой же историей», — рассказывает он CSO.
Другие признаки того, что руководство говорит пустые слова о безопасности, включают постоянные отказы в ресурсах, отсутствие принятия ответственности за риски и отказ от подписания выявленных рисков на высшем уровне, что делает CISO уязвимым. С этой целью Поскус поделился хартей по кибербезопасности, который описывает обязанности высшего руководства в отношении программы кибербезопасности.
И поскольку отсутствие доступа к совету директоров является одной из главных причин ухода, Поскус советует искать проблемные линии отчетности, которые блокируют доступ к руководству, например, через начальника, который отказывается сообщать о проблемах и запросах руководству.
Красный флаг: когнитивный диссонанс
Отсутствие доступа к руководству и совету директоров неоднократно упоминается в отчетах Cybersecurity Ventures как одна из главных причин, по которым CISO решают покинуть свои должности, по словам Стива Моргана, основателя Cybersecurity Ventures. Он также называет отсутствие поддержки в качестве еще одной главной причины ухода CISO.
Отчет Splunk «CISO 2025» показал, что только 29% респондентов имели адекватный бюджет по сравнению с 41% членов советов директоров, которые считали бюджеты на кибербезопасность адекватными.
Этот когнитивный диссонанс был очевиден в случае Наваба Кабира. Он отказался от предложения занять должность CISO на полный рабочий день, став «дробным» CISO после того, как слияние оставило его в подчинении IT-директора, а не генерального директора, как это было раньше. «Один из ключевых «красных флагов» для CISO — это когда их начальник, обычно CIO или CTO, постоянно блокирует попытки эскалации задач до генерального директора, преуменьшая реальный риск, прося CISO принять этот риск и говоря, что генеральному директору просто все равно. Таким образом, риск никогда не упоминается на совещаниях высшего руководства», — говорит Кабир.
После слияния инициативы и стратегии вмешательства, разработанные им, так и не прошли дальше директора IT (пришедшего после слияния) к высшему руководству. Поэтому Кабир понял, что пора уходить. «Это одна из причин, почему я стал дробным руководителем по кибербезопасности, что мне очень нравится, потому что теперь меня нанимают, чтобы изменить ситуацию в компаниях моих клиентов».
Красный флаг: нарушение этических границ
Прежде всего, самый большой «красный флаг» — это когда руководство нарушает вашу профессиональную и личную этику. Например, когда генеральный директор или совет директоров хотят скрыть пробелы в соблюдении нормативных требований, замолчать подлежащие отчетности инциденты и отказаться брать на себя ответственность за выявленные пробелы и сбои в отчетности, о которых их уведомили. «Это случается чаще, чем мы думаем, потому что большинство CISO не будут публично рассказывать о том, что произошло за кулисами и заставило их уйти, особенно когда они ищут новую работу», — объясняет Поскус. «Ваша честность — ваш самый важный актив, поэтому это самый большой «красный флаг», когда мы говорим об уходе с должности, а не о том, чтобы остаться и бороться».
В таких сценариях CISO, скорее всего, не хватает критически важных союзников в организации. Признайте это чувство уязвимости, советует Поскус, потому что это огромный «красный флаг». Отделы кадров и юридические отделы в таких ситуациях не помогут, потому что они лояльны бизнесу, добавляет он.
Так было в случае с бывшим CISO Uber Джо Салливаном, которого «бросили под автобус» теневое руководство Uber после взлома в 2016 году. Напротив, CISO SolarWinds Тим Браун чувствовал полную поддержку после исторического взлома цепочки поставок в 2020 году, который распространился на 18 000 бизнес-клиентов через систему обновлений продукта Orion для управления сетью.
«Джо оказался в такой сложной ситуации. Компания действовала агрессивно по отношению к нему, что сильно отличалось от моего опыта в SolarWinds», — говорит Браун, который занимался реагированием на взлом.
Зеленый флаг: они вас прикрывают
В отличие от работодателя Салливана, Браун делится, что все, кто участвовал в реагировании на взлом SolarWinds — от IT-специалистов до сотрудников отдела коммуникаций, юристов и руководства — чувствовали то же, что и он, в плане исправления ситуации для клиентов и регуляторов. «Моя ситуация была сложной, но во многих отношениях управляемой благодаря поддержке моей команды. С первого дня мы не сомневались в правильности наших действий. Мы решили быть прозрачными с нашими клиентами вплоть до подачи отчетности в SEC», — объясняет Браун.
Даже когда после взлома вступил в должность новый генеральный директор в рамках запланированного перехода, и когда SEC обвинила SolarWinds и Брауна в мошенничестве за подтверждение соответствия требованиям безопасности SolarWinds незадолго до сложного взлома цепочки поставок, Браун чувствовал постоянную поддержку.
Учитывая его доступ к совету директоров и генеральному директору, Браун задолго до взлома знал, что компания его поддерживает. Он также указывает на еще один «зеленый флаг»: приверженность компании учений в формате «tabletop» для моделирования последствий серьезных взломов. В ходе этих тренировочных сценариев команды работали вместе под руководством, ориентированным на клиента, которое пропагандировало прозрачность и обучение, — тот же план действий, которого они придерживались и во время взлома 2020 года.
В конечном итоге SEC сняла обвинения с Брауна, и в ноябре он присутствовал на виртуальном тосте в свою честь, чтобы отпраздновать снятие обвинений «без ущерба». Более 200 CISO из ведущих компаний присоединились, включая соведущего Джо Салливана. В конечном счете, как и надеялся Браун, весь этот опыт предоставил уроки, которые помогут продвинуть роль CISO на новый уровень зрелости.
Изменение внутреннего мышления
По мере того как CISO выгорают или уходят в стрессовых условиях, многие, как и Кабир, обращаются к дробной работе. И в его случае работа с новыми клиентами дает ему множество возможностей превращать «красные флаги» в «зеленые».
Например, он указывает на отсутствие доступа к совету директоров и ресурсов. Во многих случаях, когда он вступает в должность, предыдущие руководители по кибербезопасности не понимали бизнес и говорили на техническом языке, который был непонятен руководству. В результате ему приходилось работать с уставшими, сопротивляющимися командами руководителей, которые не хотят повторять этот опыт с новым руководителем по кибербезопасности.
Для таких клиентов он любит собирать всех на совещание и проводить интерактивные «стресс-тесты на непрерывность бизнеса» в сценариях «tabletop», которые затрагивают приносящую доход деятельность. «Возьмем производство: если эта машина выйдет из строя на шесть-восемь часов, каковы будут наши убытки от простоя?» — это привлекает внимание, — говорит Кабир. — «Тогда финансовый отдел начинает обсуждать это внутри своих команд, и это выходит за рамки генерального директора, потому что теперь это рассматривается как бизнес-проблема».
Таким образом, CISO могут изменить культуру, чтобы превратить «красный флаг» в «зеленый». Но знание того, когда и как это сделать, зависит от упомянутых индикаторов. Даже при дробной роли CISO по-прежнему должны ожидать, что некоторые из их клиентов попытаются пойти на компромисс с этикой, например, скрывая результаты проверок. К счастью, этот «красный флаг» обычно проявляется на ранних стадиях аудита, когда руководители и бизнес-подразделения кажутся напуганными отвечать на вопросы, как будто пытаясь что-то скрыть.
«Многие «красные флаги» связаны с отсутствием культуры безопасности или несоответствием в понимании допустимого уровня риска компании и реальных рисков. Этот «красный флаг» выходит за рамки: если они не хотят, чтобы их спрашивали о том, что они сделали до сих пор, это огромный «красный флаг», означающий, что они что-то скрывают», — объясняет Кабир.
Для безопасности он имеет страхование ответственности и пользуется услугами собственного юрисконсульта — как и должны делать все CISO с достаточно высокой зарплатой, которые отчитываются перед советом директоров и высшим руководством. Потому что, как и в случае с Джо Салливаном и многими другими неучтенными случаями, CISO не могут рассчитывать на то, что их организации поддержат их юридически или профессионально, если произойдет крупный инцидент — особенно если эти руководители, в силу своей неадекватной реакции и отсутствия поддержки, являются его причиной.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Deb Radcliff
