Первые директора по информационной безопасности (CISO) были в основном технически ориентированными руководителями. С тех пор они превратились в мастеров управления рисками, смягчения угроз, соблюдения нормативных требований, обеспечения конфиденциальности данных и многого другого.
Когда Стив Кац стал первым директором по информационной безопасности в 1995 году, Netscape Navigator был самым популярным браузером в мире, Марк Цукерберг учился в средней школе, до появления смартфонов оставалось десять лет, а SSL 2.0 был совершенно новым.
Citicorp предложила Кацу должность директора по информационной безопасности (совершенно новая должность, которой раньше никогда не существовало) в то время, когда банк все еще оправлялся от инцидента, произошедшего в годом ранее, когда хакеры пытались украсть 10 миллионов долларов посредством мошеннических международных переводов. Киберпреступники украли 400 000 долларов, прежде чем Citicorp сорвала их аферу. «Двое русских детей из Санкт-Петербурга пытались найти способ получить бесплатную телефонную связь», — вспоминал Кац в интервью 2021 года для подкаста CISO Stories автора Тодда Фицджеральда.
В результате этого Citicorp создал должность директора по информационной безопасности и предложил ее Кацу. Он согласился на революционную работу, оставив работу главы отдела информационной безопасности в JP Morgan и войдя в анналы истории кибербезопасности.
Когда Кац скончался в декабре 2023 года в возрасте 81 года, коллеги по информационной безопасности отдали дань уважения ему как «отцу кибербезопасности». Лаура Динер, директор по информационной безопасности компании Northwestern Mutual, предоставляющей финансовые услуги в Милуоки, вспоминает его как щедрого наставника. «У нас тяжелая работа. Но он был готов просто позвонить вам и поговорить, если у вас возникли какие-то конкретные проблемы. Он дал мне свой личный номер телефона. Он дал мне номер своей жены! В целом он был очень позитивным человеком», — рассказал Динер CSO.
Динер и другие директора по информационной безопасности подхватывают факел, который первым зажег Кац, и вот взгляд на то, как изменилась роль CISO за три десятилетия с тех пор, как он ее основал.
Роль директора по информационной безопасности переходит от технических навыков к мягким навыкам
Кац понятия не имел, что представляет собой должность директора по информационной безопасности, когда принял ее в 1995 году. Так же, как и Citicorp. «Они сказали, что у вас есть не заполненный чек, постройте что-то великое — что бы это ни было», — рассказал Кац во время подкаста 2021 года. «Генеральный директор сказал: «Правление понятия не имеет, просто сделайте что-нибудь». Citicorp дала Кацу всего две директивы после того, как наняла его: «Создать лучший отдел кибербезопасности в мире», а также «выйти и провести время с нашими ведущими международными банковскими клиентами, чтобы ограничить ущерб».
С тех пор работа директора по информационной безопасности стала намного сложнее. Согласно книге Фицджеральда «КОМПАС CISO: Навигация по лидерским навыкам в области кибербезопасности с помощью идей пионеров», опубликованной в 2019 году, прием на работу Каца положил начало первой эпохе CISO с 1995 по 2000 год, когда CISO сосредоточились на паролях и безопасности входа в систему. Фицджеральд делит меняющиеся роли на хронологию последующих эпох:
- С 2000 по 2004 год : директора по информационной безопасности, отвечающие за соблюдение нормативных требований.
- 2004–2008 : Риск-ориентированные директора по информационной безопасности.
- 2008–2016: Директора по информационной безопасности, осведомленные об угрозах (социальные, мобильные и облачные).
- 2016–2022 годы: директора по информационной безопасности, заботящиеся о конфиденциальности персональных данных
- 2022–2027+ : интегрированный, устойчивый к бизнесу директор по информационной безопасности.
Фицджеральд рассказал CSO, что изначально эта должность считалась технической, но теперь в ней больше внимания уделяется бизнес-стратегии. «Сегодня гораздо больше внимания уделяется мягким навыкам, тому, чтобы быть деловым партнером и руководителем», — говорит он.
Со временем работа директора по информационной безопасности превратилась из буквального понимания тонкостей функционирования ИТ-сетей компании в понимание того, как “собирать осколки” (в прямом и переносном смысле) в условиях кризиса кибербезопасности, говорит Яэль Наглер, генеральный директор Yass Partners, директор по информационной безопасности коучинговой и консалтинговой фирмы в Вашингтоне, округ Колумбия. Сегодня, добавляет она, директор по информационной безопасности должен выступать в качестве стратегического партнера внутри своей организации.
«По мере развития этой роли она фактически переместилась все дальше от технологической сферы в комнату для совещаний руководителей. Навыки CISO эволюционировали, а также существенно изменился характер их взаимодействия». Наглер говорит, что это взаимодействие включает сотрудничество с такими подразделениями, как технологии, финансы, аудит, юристы и комплайенс. По данным Gartner Research, такой тип сотрудничества за пределами ИТ-сферы имеет решающее значение для современных директоров по информационной безопасности. После того, как компания Gartner проанализировала эффективность 227 директоров по информационной безопасности с 2020 по 2023 год, она пришла к выводу, что «наиболее эффективные директора по информационной безопасности» в три раза больше регулярно встречаются с заинтересованными сторонами, не связанными с ИТ (например, руководителями продаж, руководителями маркетинга и руководителями бизнес-подразделений), чем с ИТ.
Директора по информационной безопасности научились интерпретировать риски с точки зрения бизнеса
Сегодняшний директор по информационной безопасности должен уметь сообщать о киберугрозах в терминах, которые представители бизнеса могут понять почти мгновенно. «Это способность формулировать риск таким образом, чтобы он был связан с бизнес-процессами в организации», — говорит Фицджеральд. «Нужно уметь понимать, что означает риск. Означает ли это, что я не могу вести бизнес? Означает ли это, что мы не сможем лечить пациентов в нашей больнице из-за атаки программы-вымогателя?»
Динер говорит, что директора по информационной безопасности играют очевидную роль в таких инициативах как реализация плана обеспечения непрерывности бизнеса или тестирование аварийного восстановления. По ее словам, поскольку цифровая трансформация проникает в структуру каждой организации, директор по информационной безопасности также должен вывести кибербезопасность из традиционного технологического бункера. «Важно обеспечить, чтобы безопасность стала важной частью культуры компании и чтобы те, кто наверху, понимали тех, которые внизу», — говорит Динер.
Сегодняшний директор по информационной безопасности перегружен, напряжен и полон тревог
По оценкам исследования Cybersecurity Venture, проведенного в 2023 году , в настоящее время во всем мире насчитывается около 32 000 директоров по информационной безопасности. Однако по мере роста числа директоров по информационной безопасности росло и их коллективное чувство тревоги. В январе 2024 года совместный опрос IANS/Artico среди 663 директоров по информационной безопасности в Канаде и США показал, что 75% были готовы сменить работу по сравнению с 64% годом ранее, а число директоров по информационной безопасности, удовлетворенных своей работой и компанией, сократилось с 74. % до 64% за тот же период.
«Управленцы по информационной безопасности испытывают двойственность тревоги и возможностей, что объясняется сокращением расходов на кибербезопасность, ростом кибер-преступлений, ростом инструментов генеративного искусственного интеллекта и ужесточением правил кибербезопасности, подчеркивающими требования к раскрытию информации», — говорится в исследовании.
Неспокойная психика сегодняшнего директора по информационной безопасности не является сюрпризом для Фицджеральда. Он отмечает, что ни одна из основных обязанностей, возложенных на директоров по информационной безопасности в предыдущие эпохи, не стала менее важной. Вместо этого теперь ожидается, что директора по информационной безопасности будут заниматься всеми из них: управлением рисками, оставаться в курсе возникающих угроз, соблюдением нормативных требований, конфиденциальностью персональных данных и повышением устойчивости бизнеса путем интеграции кибербезопасности во всю культуру и деятельность организации. «Ни одна из этих вещей на предыдущих этапах не исчезла. Их не заменили, а добавили новые», — говорит Фицджеральд.
Ответственность стала новой проблемой
Дополнительным эффектом является ужесточение нормативно-правовой базы по всему миру, включая Европейский Союз. В США бывший директор по информационной безопасности Uber Джо Салливан был осужден в 2023 году за сокрытие информации об утечке данных; В том же году Комиссия по ценным бумагам и биржам выдвинула обвинения против директора по информационной безопасности SolarWinds Тимоти Г. Брауна в связи с кибератакой 2020 года.
«Люди в кругах директоров по информационной безопасности очень много говорят об ответственности. Мы все обеспокоены этим», — признает Динер. «Люди очень серьезно относятся к изменениям в законодательстве и нормативной базе и на то есть причины».
По мнению Наглера, более четкие параметры регулирования могут оказаться «лучшим подарком» для директоров по информационной безопасности. «Лидеры обращают на это внимание, и мы надеемся, что это приведет к более продуманным действиям и ответственной разработке программ кибербезопасности в организациях. Это прекрасная возможность для директоров по информационной безопасности повысить свою роль и свою ценность для компании, выйдя за рамки просто технологий и став стратегическим партнером», — говорит она.
Это может потребовать более частых и содержательных встреч с топ-менеджерами. Тем не менее, исследование IANS/Artico показало:
- Только 20% директоров по информационной безопасности считаются руководителями высшего звена в своих организациях.
- Лишь 50% директоров по информационной безопасности ежеквартально взаимодействуют со своим советом директоров.
- Хотя 85% опрошенных хотят получить от своего совета директоров четкие инструкции по толерантности к риску, только 36% их получают.
«Во многих случаях директора по информационной безопасности по-прежнему подчиняются ИТ-директору или техническому директору. Поэтому, хотя они и должны отчитываться перед генеральным директором, многие из них до сих пор этого не делают», — говорит Фицджеральд.
Переосмысление позиции директора по информационной безопасности на будущее
Что же делать директору по информационной безопасности в наши дни перед лицом постоянно появляющихся киберугроз, достижений искусственного интеллекта и меняющегося законодательного ландшафта? В исследовательской записке 2022 года, в которой директора по информационной безопасности были объявлены просто «перегоревшими», Сэм Ояи из Gartner утверждал, что эту роль необходимо полностью переосмыслить: роль лидера в области совместного управления рисками, а не единственного вратаря, которому поручено предотвращать нарушения. «CISO должен превратиться из лица, де-факто ответственного за обработку киберрисков, в лицо, ответственное за обеспечение того, чтобы бизнес-лидеры имели возможности и знания, необходимые для принятия обоснованных, качественных решений по информационным рискам», — написал Олиай, вице-президент по кибербезопасности в Гартнере.
Вторя этому, Наглер призывает сегодняшних директоров по информационной безопасности «признать, что это не единственная их обязанность» — сбалансировать деликатную двойственность управления рисками и обеспечения роста бизнеса. Скорее, по ее словам, их обязанность состоит в том, чтобы «убедиться, что команда лидеров способна сбалансировать это: объясняя, предвидя и понимая, к чему все идет».
Фицджеральд советует нынешнему поколению директоров по информационной безопасности сосредоточиться на стратегии и управлении, «следя за тем, чтобы все делалось правильно и чтобы беря на себя ответственность за безопасность всей организации, а не только за ее технологическую составляющую».
Последнее слово остается за самым первым директором по информационной безопасности. В 2021 году, когда Стив Кац размышлял о своей новаторской работе в Citicorp в 1995 году, он прозорливо описал свой подход к этой должности очень похожими словами. «ИТ-отделы были лишь незначительной частью проблемы», — сказал Кац. «С самого первого дня основная философия заключалась в том, что информационная безопасность — это проблема бизнес-рисков, это проблема управления бизнес-рисками».
Понравилось: “современный CISO напряжен и полон тревог”, “ответственность стала новой проблемой”. Здесь не поспоришь.