Современный CISO становится новым финансовым директором

Ciso кибербезопасность ии риски управление исполнительная власть csoonline.com

В какой-то момент каждый руководитель службы безопасности слышит вопрос: «Мы в порядке?». Автор рассуждает об эволюции роли CISO, которая становится все более стратегической и ответственной, подобно CFO. Рост киберрисков и внедрение ИИ требуют новых структур управления.

В какой-то момент каждый руководитель службы безопасности слышит один и тот же вопрос в той или иной форме: «Мы в порядке?» Он обычно возникает, когда на кону что-то важное, и спрашивающий должен быть уверен в ответе.

Я понял, что на самом деле означает этот вопрос, в компании, где работал в начале своей карьеры. Мы получили информацию о том, что злоумышленники готовятся атаковать фирмы, работающие в сфере финансовых услуг, в период праздников, рассчитывая на минимальный штат сотрудников и замедленную реакцию. У нас были процедуры именно для такого повышенного уровня готовности, и мы их применили. Момент, который мне запомнился, произошел в коридоре. Глава бизнес-подразделения остановил меня и прямо спросил: «Мы в порядке?» Он не просил отчета о состоянии наших средств контроля или подробного изложения плана реагирования на инциденты. Ему нужно было, чтобы опытный руководитель посмотрел ему в глаза и с убежденностью сказал, что мы в безопасности.

Этот инстинкт, потребность в ком-то, кто несет достаточную ответственность, чтобы сказать «мы в порядке» и иметь это в виду, лежит в основе продолжающихся дебатов в индустрии кибербезопасности: не стала ли роль CISO (директора по информационной безопасности) неустойчивой. Список обязанностей продолжает расти. От руководителей службы безопасности ожидают, что они будут курировать киберустойчивость, соблюдение нормативных требований, риски третьих сторон, непрерывность бизнеса, управление ИИ, реагирование на инциденты и постоянно усложняющийся ландшафт угроз. Советы директоров, регуляторы, клиенты и инвесторы одновременно требуют беспрецедентной прозрачности в отношении киберрисков.

Вывод, к которому приходят многие из-за этого расширения, заключается в том, что традиционная роль CISO больше не может работать. Если ни один человек не может реально овладеть всеми областями, входящими в современную кибербезопасность, возможно, сама роль устарела.

Я считаю, что все наоборот. Современный CISO исчезает из одной своей версии и возрождается как нечто большее. Он претерпевает ту же эволюцию, которую роль финансового директора (CFO) прошла за последние два десятилетия.

Исторически CFO в основном рассматривались как финансовые операторы. Их обязанности были сосредоточены на учете, отчетности, контроле, аудите и бюджетировании. По мере того как бизнес становился крупнее, глобальнее, более регулируемым и более зависимым от технологий, эта модель менялась. CFO эволюционировал из финансового специалиста в стратегического руководителя, ответственного за формирование решений в масштабах всего предприятия. McKinsey задокументировала этот сдвиг, обнаружив, что количество функций, подчиняющихся CFO, значительно расширилось, и что руководители бизнеса стали рассматривать их как критически важных драйверов изменений во всем предприятии, а не просто как хранителей баланса.

Никто, увидев этот расширяющийся мандат, не пришел к выводу, что роль CFO становится неактуальной. Они признали, что финансы стали более важными для бизнеса.

То же самое происходит и в кибербезопасности. Годами безопасность рассматривалась как техническая дисциплина, действующая на периферии организации. Сегодня значительный инцидент в сфере кибербезопасности может остановить операции, нарушить доходы, вызвать регуляторное давление, подорвать доверие клиентов и повлиять на рынки. Киберриск стал бизнес-риском, и этот сдвиг коренным образом меняет назначение CISO. Руководители службы безопасности все чаще входят в комитеты по управлению рисками предприятия наряду со своими коллегами, а регуляторы уделяют гораздо больше внимания тому, как безопасность встраивается в проектирование продуктов и систем с самого начала. Оба этих фактора свидетельствуют о том, что безопасность перешла из функции бэк-офиса в зал, где принимаются решения о бизнес-рисках.

Данные отражают, насколько уже изменилась роль. Согласно Отчету Splunk о CISO за 2026 год, почти все CISO теперь включают управление и управление рисками ИИ в число своих основных обязанностей. Семьдесят восемь процентов сообщают о личной ответственности, связанной с инцидентами безопасности, по сравнению с 56% всего годом ранее. Роль теперь несет индивидуальную юридическую ответственность наряду с операционной подотчетностью. Это, безусловно, описание исполнительной функции.

От современных руководителей службы безопасности теперь ожидают, что они будут помогать советам директоров понимать риски, участвовать в стратегическом планировании, ориентироваться в нормативных обязательствах, курировать программы обеспечения устойчивости и создавать управление в отношении новых технологий, таких как искусственный интеллект. Эти обязанности выходят далеко за рамки традиционных операций по обеспечению безопасности, и работа значительно опередила организационные структуры, которые ее поддерживают.

Некоторые компании отреагировали, создав более крупные и специализированные руководящие команды по безопасности. Инициатива Microsoft Secure Future Initiative является наиболее ярким примером. Компания учредила Совет по управлению кибербезопасностью под руководством Глобального CISO, назначив более десятка заместителей CISO по основным областям безопасности, включая разработку, ИИ, облачные сервисы, игры и государственные системы. Это представляет собой одну из крупнейших трансформаций в области безопасности в отрасли, в которую вовлечены тысячи инженеров и структура управления, созданная для координации безопасности в поистине разветвленной организации.

Некоторые наблюдатели трактуют такие структуры как доказательство того, что традиционная модель CISO разрушается. Если присмотреться, вы увидите обратное. Microsoft расширила организацию, поддерживающую руководство службой безопасности, а не демонтировала ее. Централизованная ответственность остается за глобальным CISO, в то время как исполнение распределяется между специализированными руководителями и командами.

Именно так выглядят зрелые исполнительные функции в масштабе. Крупные предприятия не устраняют CFO, когда финансы становятся сложнее. Они добавляют контролеров, руководителей казначейства, подразделения FP&A и команды по связям с инвесторами. Сложность не устраняет исполнительную ответственность. Она углубляет потребность в ней.

Существует общая, общеорганизационная безопасность: SOC, управление уязвимостями и другие услуги, от которых зависит вся фирма. Затем есть безопасность на уровне бизнес-подразделений, возглавляемая заместителями CISO или CISO бизнес-подразделений, чья задача — обеспечить защиту своих отдельных подразделений. Эти встроенные руководители формируют требования к общим службам и осуществляют независимый надзор за ними, оставаясь при этом достаточно близкими к своему бизнесу, чтобы понимать, что ему действительно нужно. Один центральный руководитель владеет всей картиной, а специализированные руководители доносят ее до каждого уголка организации.

Из этого прямо следует один структурный момент: CISO никогда не должен подчиняться CTO (техническому директору). Лицо, ответственное за безопасность, не должно находиться в подчинении у лица, ответственного за разработку и выпуск технологий, поскольку эти два мандата могут тянуть в разные стороны. Безопасность должна подчиняться COO (операционному директору), CRO (директору по рискам) или CEO (генеральному директору), где она может независимо говорить о рисках и быть услышанной.

ИИ еще больше ускоряет эту эволюцию. Организации развертывают автономные системы, способные давать рекомендации, запускать рабочие процессы и действовать со скоростью машины. ИИ не может взять на себя ответственность за решения, стоящие за этими действиями. Кто-то все равно должен определить, что можно делегировать машинам, создать системы управления, определить приемлемый риск и отчитаться за эти решения перед регуляторами, советами директоров и акционерами. В большинстве организаций этот кто-то — CISO.

Самое практичное место для начала — это простой принцип: каждое действие ИИ должно прослеживаться до ответственного человека. В такой формулировке мы вообще не делегируем решения ИИ. Мы заставляем машины работать, сохраняя при этом человека, ответственного за их действия. Этот принцип заставляет ответственность находиться где-то конкретно в организации, а не растворяться в системе.

Стоит задуматься: ИИ может укрепить аргументы в пользу руководства службой безопасности на уровне исполнительной власти, а не ослабить их. Годами CISO управляли поведением людей внутри организаций. Теперь они одновременно управляют поведением людей и машин — мандат, у которого нет очевидного потолка.

Индустрия кибербезопасности продолжает задаваться вопросом, сможет ли роль CISO выдержать предъявляемые к ней требования. Лучший вопрос заключается в том, достаточно ли быстро организации адаптируют свои руководящие структуры, чтобы соответствовать тому, куда уже движется эта роль.

Будущее руководства службой безопасности вряд ли будет представлять собой свободное скопление специалистов, работающих без четкой ответственности. Оно будет больше похоже на другие зрелые исполнительные функции, со специализированными руководителями, работающими под началом единого ответственного руководителя, который понимает, как риск связан с бизнесом в целом. Поскольку киберриск становится неотделимым от бизнес-риска, этот руководитель становится незаменимым.

Эта статья опубликована в рамках Сети экспертных авторов Foundry.
Хотите присоединиться?

Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.

Похожие новости: