С точки зрения стороннего наблюдателя, для людей, достигших должности директора по информационной безопасности (CISO), смена отрасли не должна представлять проблемы. Однако в реальности многие руководители в сфере безопасности регулярно обнаруживают обратное: однажды начав работать в определенной отрасли, им порой бывает трудно из нее уйти. Это также связано с тем, что руководители и рекрутеры часто по-прежнему полагают, что опыт CISO полезен только в рамках его текущего сектора.

Тем не менее, ИТ-эволюция последних 15 лет привела к растущей межотраслевой стандартизации технологий. Несмотря на это, CISO, желающим, например, перейти из производственного сектора в сферу здравоохранения, приходится доказывать, что их навыки применимы от одного сектора к другому. В этой статье вы узнаете, как это сделать.  

1. Стратегическое планирование смены

Первое условие, которое должны выполнить руководители в сфере безопасности для успешной смены отрасли, — это приобретение необходимой адаптивности. Это знает Тимоти Янгблад по собственному опыту. Специалист по безопасности уже занимал руководящие должности в сфере безопасности в нескольких крупных американских компаниях. Среди прочего, он был первым глобальным CISO в Dell. Однако сначала он изучил проблемы различных отраслей в качестве консультанта в KPMG: «Я вынес много важных уроков из своей работы в консалтинге для своей карьеры. Например, что у каждой отрасли есть свои нюансы, но основные принципы безопасности всегда одинаковы».

По словам Янгблада, пониманию различных отраслевых требований также способствовало общение со специализированными отраслевыми ISAC (преимущественно распространенными в США): «Эти группы обеспечивают обмен информацией между государственным и частным секторами и являются отличным способом понять, как другие отрасли решают одну и ту же проблему».

CISO без опыта работы в консалтинге (или доступа к ISAC), желающим сменить отрасль, рекомендуется стратегически выявлять структурные сходства. Сэл ДиФранко, управляющий партнер кадрового агентства DHR Global, объясняет: «Ищите секторы, которые структурно схожи с вашей текущей отраслью. Это, как правило, обеспечивает легкий переход — или может стать первым шагом к переходу в другую, более отдаленную отрасль».

По словам менеджера, руководители в сфере безопасности из фармацевтической отрасли могут без проблем перейти в сферу здравоохранения: «Конечно, между компаниями в этих областях много различий. Однако с технологической точки зрения они схожи: в обоих случаях это строго регулируемая среда с одинаковыми жесткими требованиями к технологиям».

2. Демонстрация успехов

CISO, стремящимся начать карьеру в новой отрасли, следует как можно раньше продемонстрировать, что их прошлые успехи также актуальны для новой компании. ДиФранко объясняет: «Если то, чего достиг кандидат на должность, способствует достижению целей новой компании, вероятность того, что ему дадут шанс проявить себя, значительно возрастает. Но дело не только в самих результатах, но и в умении сформулировать, как вы собираетесь достичь тех же результатов в новой отрасли».

Именно этот подход успешно применил Янгблад, когда переходил с должности CISO у американского гиганта потребительских товаров Kimberly-Clark в McDonalds, где ему в основном приходилось привыкать к операционным структурам. Кроме того, специалист по безопасности научился адаптироваться к отраслевым угрозам — например, будучи CSO в T-Mobile: «В телекоммуникационной отрасли SIM-свопинг является серьезной проблемой. Большинство посторонних не осознают, что это криминальная индустрия с миллиардными оборотами, которая в некоторых случаях даже спонсируется государством».

Глубокое понимание специфического для отрасли ландшафта рисков также имеет решающее значение для Майкла Мелина, генерального директора и CISO в компании по предоставлению услуг безопасности Cyber Self-Defense. Мелин знает, о чем говорит: его карьера началась в правоохранительных органах, после чего он перешел в качестве специалиста по безопасности сначала в финансовый сектор, а затем в здравоохранение. «Существует множество схожих рисков — но в основе всегда лежит управление рисками. Если вы сможете продемонстрировать, что разбираетесь в соответствующем ландшафте рисков, это может дать вам значительное преимущество».

3. Проведение аналогий

С точки зрения карьеры, самый большой риск для CISO и руководителей в сфере безопасности — быть воспринятыми как специалисты только для одной отрасли. Марк Эшворт, CISO в американском First Bank, советует в этом случае сосредоточиться на демонстрации передаваемых навыков: «При каждой подаче заявления осознавайте, что основные принципы всегда одинаковы, независимо от отрасли».

Мелин добавляет: «В основе лежит выявление рисков и принятие соответствующих мер по их снижению: для этого руководители в сфере безопасности должны работать с заинтересованными сторонами на всех уровнях своей организации в любой отрасли и разрабатывать общий план, соответствующий конкретным требованиям».

Или, как выражается ДиФранко: «Суть в том, чтобы продемонстрировать актуальность, проводя при этом аналогии с другими отраслями» (fm)

Хотите прочитать больше интересных статей по теме ИТ-безопасности? Наша бесплатная новостная рассылка доставит все, что должны знать руководители и эксперты по безопасности, прямо в ваш почтовый ящик.