От контролера до топ-менеджера: как меняется роль директора по ИБ
На рынке достаточно стереотипов о директорах по ИБ. Многие менеджеры, далекие от ИБ и ИТ, думают, что эти руководители посвящают большую часть времени контролю исполнения сотрудниками внутренних политик и процедур, то есть фокусируются на запретах.
Как становятся директорами по ИБ
Согласно данным глобального опроса директоров по информационной безопасности — 2022 (Global Chief Information Security Officer (CISO) Survey), проведенного консалтинговой компанией Heidrick & Struggles, около 71% директоров по ИБ в мире — выходцы из ИТ-отдела.
В России развитие специалистов в информационной безопасности чаще всего происходит по одному из трех сценариев:
- вертикальный рост. Окончил военный вуз, пошел служить в правоохранительные органы или отдел безопасности компании. Постепенно вырос до директора по ИБ;
- горизонтальный рост. Перешел из ИТ в ИБ-департамент на ранних этапах карьеры, в первые три–пять лет после окончания университета;
- модель «подрядчик — заказчик». Перешел из ИБ-вендора или интегратора во внутреннюю ИБ-службу компании.
Образ директора по ИБ «старой формации» автоматически ассоциируется с опытным руководителем, который почти не вовлечен в стратегию и не мыслит категориями потенциальной бизнес-выгоды. Возможно, еще 15–20 лет назад так оно и было. Не секрет, что в некоторых российских компаниях ИБ-функция по-прежнему обособлена от бизнеса: директора по ИБ не входят в правление, а иногда и в список ключевых топ-менеджеров, не вовлечены в разработку стратегии и, соответственно, не несут ответственности за результаты бизнеса. ИБ-департамент получает ресурсы по остаточному принципу. Это ограничивает возможности директора по ИБ собрать в команде квалифицированных молодых специалистов, за которых идет борьба на рынке. В результате ИБ-отдел не может планомерно развиваться и наращивать экспертизу. Чаще всего такая ситуация наблюдается в компаниях с низкой цифровой зрелостью, где идет процесс базовой автоматизации или нет дополнительных ресурсов для инвестиций в технологии.
Однако общий уровень зрелости функции информационной безопасности по всему миру растет. И роль директора по ИБ эволюционирует — это больше не технический исполнитель, стоящий в стороне от фронт-офиса.