Материал раздела Основной

От контролера до топ-менеджера: как меняется роль директора по ИБ

IT · Информационная безопасность Карьера

Статьи Odgers Berndtson

Раньше директор по ИБ играл роль технического эксперта и контролировал выполнение политики компании, теперь же управляет рисками и отвечает за результаты. Дарья Светличная, проектный менеджер Odgers Berndtson Russia, — о том, что это меняет в его работе

Фото: Петр Ковалев / ТАСС

На рынке достаточно стереотипов о директорах по ИБ. Многие менеджеры, далекие от ИБ и ИТ, думают, что эти руководители посвящают большую часть времени контролю исполнения сотрудниками внутренних политик и процедур, то есть фокусируются на запретах.

Как становятся директорами по ИБ

Согласно данным глобального опроса директоров по информационной безопасности — 2022 (Global Chief Information Security Officer (CISO) Survey), проведенного консалтинговой компанией Heidrick & Struggles, около 71% директоров по ИБ в мире — выходцы из ИТ-отдела.

В России развитие специалистов в информационной безопасности чаще всего происходит по одному из трех сценариев:

вертикальный рост. Окончил военный вуз, пошел служить в правоохранительные органы или отдел безопасности компании. Постепенно вырос до директора по ИБ;
горизонтальный рост. Перешел из ИТ в ИБ-департамент на ранних этапах карьеры, в первые три–пять лет после окончания университета;
модель «подрядчик — заказчик». Перешел из ИБ-вендора или интегратора во внутреннюю ИБ-службу компании.

Образ директора по ИБ «старой формации» автоматически ассоциируется с опытным руководителем, который почти не вовлечен в стратегию и не мыслит категориями потенциальной бизнес-выгоды. Возможно, еще 15–20 лет назад так оно и было. Не секрет, что в некоторых российских компаниях ИБ-функция по-прежнему обособлена от бизнеса: директора по ИБ не входят в правление, а иногда и в список ключевых топ-менеджеров, не вовлечены в разработку стратегии и, соответственно, не несут ответственности за результаты бизнеса. ИБ-департамент получает ресурсы по остаточному принципу. Это ограничивает возможности директора по ИБ собрать в команде квалифицированных молодых специалистов, за которых идет борьба на рынке. В результате ИБ-отдел не может планомерно развиваться и наращивать экспертизу. Чаще всего такая ситуация наблюдается в компаниях с низкой цифровой зрелостью, где идет процесс базовой автоматизации или нет дополнительных ресурсов для инвестиций в технологии.

Однако общий уровень зрелости функции информационной безопасности по всему миру растет. И роль директора по ИБ эволюционирует — это больше не технический исполнитель, стоящий в стороне от фронт-офиса.