Спросите любого директора по информационной безопасности (CISO), что не дает ему покоя, и вы, вероятно, услышите знакомый перечень угроз: программы-вымогатели, государственные киберпреступники, использующие ИИ, и уязвимости, скрывающиеся в постоянно расширяющемся цифровом пространстве. Годами роль CISO определялась состоянием постоянной бдительности, реактивной позицией перед лицом непрекращающейся осады.
Почти в каждом разговоре с CISO я спрашиваю, что бы они сделали, если бы могли вернуть 25% своего времени. В ответ я слышу не пожелания о более продолжительных отпусках на тропических островах. Вместо этого ответы формируют новый список желаний, сосредоточенный на инновациях и трансформации.
Вдохновленные мощью и потенциалом ИИ, CISO составляют списки, рисующие картину нового, нормального состояния безопасности: проактивного, глубоко человекоцентричного и автономного. Речь идет не о добавлении еще одной мигающей коробочки в стек безопасности, а о практичной — и порой глубокой — дорожной карте для перестройки самой функции безопасности. Это фундаментальный сдвиг парадигмы создания ценности безопасностью, переход от центра затрат к центру инноваций, который действительно поддерживает бизнес.
Основываясь на моих беседах, вот три основные темы, характеризующие новый коллективный список желаний инновационного CISO.
От тактического долга к стратегическому предвидению
Прежде чем CISO сможет сосредоточиться на горизонте, ему необходимо сначала укрепить почву под ногами. Первая тема в списке каждого CISO — это желание создать основу совершенства, которая позволит реализовать по-настоящему проактивную стратегию. Это начинается с погашения тактического долга, который поглощает так много времени. Руководители стремятся наконец разобраться с наведением порядка — завершить 10% проектов, находящихся на 90% готовности.
В сфере безопасности эти последние 10% далеко не незначительны. Они включают неисправленные системы, неправильно сконфигурированные или заброшенные облачные активы и другие открытые двери, через которые злоумышленники могут легко пройти. Эти незавершенные проекты представляют собой не только постоянный пробел в безопасности, но и значительную трату бюджета и ресурсов, которые CISO отчаянно хотят вернуть.
Эта фундаментальная работа распространяется на всю экосистему. Руководители хотят иметь время для методичного анализа всех оценок поставщиков. В эпоху взаимосвязанных API и сторонних зависимостей защита CISO сильна настолько, насколько силен его самый слабый поставщик. Они постоянно думают о следующем сценарии Log4j и знают, что без должного контроля над риском цепочки поставок их стратегия покоится на карточной домике.
Наконец, расчистка завалов означает выполнение каждого плана действий и вехи (POAM) по результатам аудитов. Это выходит за рамки простой галочки, демонстрируя институциональную целостность. Это доказывает совету директоров и регулирующим органам, что безопасность — это зрелый, подотчетный и непрерывный процесс, а не просто вечная игра в “бей крота”, ведущаяся после получения плохого отчета.
Расчистив завалы и закрыв существующие пробелы, они могут переключить свое внимание на более широкую картину: превентивную безопасность, которая останавливает атаки до их начала. Это фундаментальное совершенство дает им авторитет и умственное пространство для посвящения критически важного времени расчету рисков; например, анализу того, позволяют ли более быстрые возможности обнаружения корректировать или отключать определенные превентивные меры контроля.
Это также обеспечивает более эффективную стратегическую коммуникацию с советом директоров, сформулированную на языке принятия бизнес-рисков и допустимого уровня риска.
Создание единой, интегрированной защиты
Вторая основная тема в списке желаний — устранение разрозненности, которая постоянно преследует службы безопасности. Группы по безопасности приложений (AppSec), облачной безопасности (CloudSec) и управлению, рискам и соответствию (GRC) работают с разными электронными таблицами и инструментами, часто с разными целями. Такая модель неэффективна, дорога и оставляет огромные лазейки для злоумышленников.
CISO стремятся разрабатывать инновационные процессы и решения, которые объединяют разрозненные команды. Как один руководитель красноречиво описал мне, конечная цель — это “прекрасная паутина автоматизаций”. Например, это означает автоматизацию подтверждения соответствия для всех инструментов безопасности, чтобы при запросе аудитора доказательство соответствия генерировалось за секунды, а не в ходе трехнедельной экстренной проверки, отвлекающей 10 аналитиков от их основных обязанностей.
Это видение позволяет всем функциям безопасности беспрепятственно работать вместе, а ИИ — коррелировать данные из всех источников для получения единой, унифицированной картины рисков.
Эта интеграция выходит за рамки самой команды безопасности. Ключевой приоритет — привнести “гармонию безопасности в юридический отдел” с точки зрения конфиденциальности и глубоко встроить соответствие требованиям в инженерию безопасности. В мире GDPR, CCPA и множества других нормативных актов конфиденциальность — это уже не просто юридическая проблема, а основная задача безопасности и инженерии. CISO хотят сотрудничать со своими генеральными юрисконсультами, чтобы встраивать конфиденциальность по умолчанию в жизненный цикл разработки, а не просто реагировать на утечки данных или запросы о конфиденциальности.
Это видение также прагматично. CISO устали от “полочного ПО” — дорогостоящих, сложных инструментов, которые их команды слишком заняты, чтобы правильно развернуть. Их список включает время для стратегического решения проблем: изучения существующих платформ для поиска творческих способов улучшить свою работу, а не просто погони за следующим “серебряным пулем”. Речь идет о творческой инженерии для создания среды, которая, как сказал мне один CISO, “просто работает”.
Безопасность как движитель бизнеса под руководством человека
Наконец, список желаний CISO глубоко человечен. Это начинается с глубокого изменения мышления: от роли “привратника” к роли партнера. Их конечная цель — поддержка бизнеса посредством эффективного управления рисками, освобождая руководителей от операционных задач и позволяя им выступать в качестве настоящих партнеров высшего руководства. Это требует вложения времени в понимание бизнеса: сидеть с менеджерами по продуктам, участвовать в продажах и изучать, что движет доходом.
Хотя ИИ может автоматизировать задачи, он не может построить доверие. CISO настаивают на выделении времени для человеческого взаимодействия — построения отношений с партнерами, наставничества сотрудников и сотрудничества с коллегами-руководителями. Это незаменимая человеческая работа, которая создает политический капитал и межфункциональную согласованность, необходимые для реальных изменений.
Этот человекоцентричный взгляд также является ключом к решению самой насущной проблемы безопасности: нехватки талантов. Список желаний наполнен страстным желанием инвестировать в людей. Внутри компании это означает удвоение усилий по развитию талантов, способных расти и внедрять инновации. CISO хотят предоставить своим сотрудникам время и бюджет для получения желаемых образовательных кредитов и пространство для подлинных инноваций. Это не просто “приятное дополнение”, а критически важная стратегия удержания. Именно так они предотвращают выгорание своих лучших аналитиков из-за усталости от оповещений и дают им возможность решать самые уникальные и сложные проблемы компании.
Внешне эта страсть распространяется на вклад в сообщество, взаимодействие со средними и старшими школами для воспитания следующего поколения защитников и решение проблемы нехватки талантов у ее истоков.
Создавая среду обучения и инноваций, CISO дают своим сотрудникам возможность достичь последнего — и, возможно, самого важного — пункта в их списке желаний: времени для разрушения и переосмысления неэффективных процессов безопасности, которые они наблюдали и были вынуждены терпеть на протяжении всей своей карьеры.
Будущее за человеческим руководством и ИИ
В совокупности эти темы из списка желаний рисуют четкую картину будущего лидерства в области безопасности. Это будущее, в котором CISO больше не являются просто главными защитниками, а стратегическими бизнес-партнерами, которые культивируют устойчивость и способствуют инновациям. Реализация этого видения означает переход от погони за оповещениями к предвидению угроз, предоставление специалистам по безопасности возможности выполнять свою самую значимую работу и использование ИИ не для замены человеческого опыта, а для его усиления.
Цель состоит в том, чтобы построить функцию безопасности, столь же интеллектуальную, адаптивную и креативную, как и люди, лежащие в ее основе. Это будущее, к которому мы все должны стремиться.
Эта статья опубликована в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
