5 лет назад я написал заметку про шкалу значимости CISO, в которой попробовал посмотреть на руководителя ИБ глазами аудитории, которая смотрит на него и его активность внутри компании. А как на CISO смотрят топ-менеджеры? Как оценивают их зрелость? Мне тут в руки (и не спрашивайте, откуда) попала модель CALM (The CISO Assessment Level Model), которая описывает уровень зрелости CISO в глазах генерального директора или совета директоров. Эта модель была разработана агентством по поиску руководящего персонала Russell Reynolds Associates и используется ими при поиске и собеседовании CISO.
Выделяется 4 уровня CISO — к первому, самому низкому, уровню относится около 60% всех руководителей ИБ. На 4-м уровне находится около 100 человек во всем мире; по мнению агентства, преимущественно в США. Первый уровень — это больше про ИТ-безопасность, в то время как 4-й — это про общение с бизнесом на одном уровне, а также занимаются обучением членов совета директоров и их семей!
Модель CALM очень проста в использовании. Первый вопрос, который надо задать себе (если вы топ-менеджер), — это «Какого уровня CISO вы имеете сейчас?» (этот же вопрос может себе задать сам CISO, пробуя посмотреть на себя со стороны). Также топ-менеджмент должен спросить себя, каково его нынешнее отношение к кибербезопасности и куда организация должна прийти, и в течение какого времени, в этом вопросе. В ответе на эти вопросы может помочь таблица ниже.
Можно обратить внимание на следующие моменты:
Уровень 1. CISO этого уровня существуют в организациях, в которых ИБ является частью ИТ-функции. Больший фокус на этом уровне делается на контроле доступа и предотвращении угроз, а не на обнаружении и реагировании. Достаточно большой фокус на регуляторику. Редко появляется перед лицом топ-менеджмента и мало коммуницирует с другими подразделениями, интроверт. Этот уровень обычно подходит тем организациям, где влияние кибератак не так уж и велико.
Уровень 2. ИБ смотрится чуть шире, чем просто проблема ИТ. Есть место инновациям и трансформации, а также коммуникациям с другими подразделениями внутри организации, например, с HR. С точки зрения NIST CSF фокус на все основные направления деятельности (защита, обнаружение, реагирование) и очень слабая поддержка функции восстановления систем после атак. Этот уровень обычно подходит тем организациям, где вероятность или частота кибератак достаточно высока, но ущерб не так велик.
Уровень 3. CISO на этом уровне достаточно часто общается с советом директоров и сильно ориентирован на изменения в компании. Влиятельный, инновационный, активно использующий аналитику данных. Делится информацией с коллегами по отрасли. Подходит для организаций, где достаточно высок ущерб от кибератаки.
Уровень 4. На этом уровне ИБ становится частью ДНК организации, является элементом стратегии развития компании. CISO участвует в обсуждении и принятии всех критических и конфиденциальных решений, например, в слияниях и поглощениях.
После того, как топ-менеджмент разобрался с тем, какой CISO у них сейчас, они должны посмотреть на следующую таблицу, которая показывает, какой CISO им нужен и какие требования к этой функции будут предъявляться? Если отмечается совпадение уровней «что есть сейчас» и «что нужно», то значит CISO на своем месте и ничего менять не надо. Если есть отличия, то это уже тема для дальнейших дискуссий и поиска новых кандидатов.
Интересно, что с точки зрения лидерских компетенций, от CISO с самого начального, первого, уровня требуется ориентация на результат и умение управлять своей командой. Если с лидерством и командообразованием все понятно, что нацеленность на результат у нас нечасто звучит в дискуссиях с CISO. Ведь это означает, что надо уходить от транзакционной модели ИБ в сторону стратегической, понимать, куда движется компания и какова связь бизнеса с ИБ, брать на себя ответственность за все, что делается в этом направлении, активно взаимодействовать с другими подразделениями и т.п.
А вы как оцениваете сами себя, если вы CISO, или своего CISO, если вы топ-менеджер?
Заметка Модель CALM для оценки зрелости CISO с точки зрения топ-менеджмента была впервые опубликована на Бизнес без опасности.
Сообщения блогов группы “Личные блоги” (www.securitylab.ru)