Роль Директоров по информационной безопасности (CISO) расширяется, и эти руководители высшего звена приобретают обязанности и дополнительные роли, выходящие за рамки их основной функции. Двойные должности, такие как CISO плюс CIO, CTO, вице-президент по инжинирингу, руководитель по продукту или руководитель по инфраструктуре, отражают сдвиг в сторону более широких обязанностей и признания разносторонних навыков CISO.
Многие из деловых качеств CISO, такие как управление рисками, стратегическое мышление, лидерство и способность согласовывать технологические инициативы с бизнес-целями, приводят к положительным результатам в этих расширенных ролях. Опыт CISO используется при встраивании безопасности в бизнес-процессы и управлении сложными системами. Однако те, кто находится на этих ролях, говорят, что это требует четкого контроля риска, поддержки команды, баланса между техническими и бизнес-целями и стратегического сдвига приоритетов.
Оглавление
Двойная должность обеспечивает стратегическую интеграцию и согласование
Двойные должности предоставляют CISO новые рычаги для стимулирования стратегической интеграции и согласования мер кибербезопасности в организации.
Джефф Белкнап, директор по информационной безопасности и вице-президент по инжинирингу в LinkedIn, руководит командой инженеров-программистов, отвечающих за создание и поддержку инфраструктуры безопасности, такой как управление идентификацией и доступом, сбор журналов и аналитика, управление ПО и ИТ-инфраструктурой, совмещая это с обязанностями CISO.
Белкнап получил несколько советов в начале своей карьеры от опытного CISO о том, почему полезно иметь собственных инженеров-программистов. Возможно, это не нашло отклика в его ранние дни, но это осталось с ним и подтвердилось с годами. «Со временем понимаешь, что для того, чтобы действительно иметь влияние в качестве лидера программы безопасности, нужно создать и поддерживать собственную инфраструктуру», — говорит Белкнап CSO.
Он обнаружил, что гораздо проще решать проблемы, работая напрямую с собственной инженерной командой, тогда как если это партнерское соглашение, то у этих команд, естественно, разные приоритеты и метрики, которых нужно придерживаться. «Никто не будет внедрять инновации так, как это делают мои команды, потому что они очень близки к проблеме безопасности», — говорит он.
Белкнап считает, что наличие собственной команды инженеров ставит его в более сильную позицию при работе с партнерами. Когда он ищет поддержку или помощь в проекте, его команда уже что-то построила, что сокращает объем работы, необходимой от команды партнеров. «Это означает, что мы можем положиться на них, чтобы они отвечали за то, что могут сделать только они. Мне не нужно втягивать их в работу, которую могу сделать только я, или работу, которая не соответствует их компетенции», — говорит он.
По словам Адама Эли, руководителя отдела цифровых продуктов в Fidelity Investments, который ранее был директором по информационной безопасности и имеет большой опыт работы в этой сфере, эти должности с двойным названием также отражают тот факт, что директора по информационной безопасности все чаще выступают в роли технологических лидеров организации.
Эли говорит, что поскольку CISO обычно работают в масштабах всей организации, знают, как работают бизнес-направления, и являются лидерами людей и технологий, а также кризисными менеджерами, это дает им хорошую возможность для работы на двойных или более высоких должностях. «Многие CISO пришли из сферы технологий или инженерии, и этот опыт работы с группами технологий и продуктов развивает у них набор навыков для перехода на другие должности, особенно по мере того, как компании продолжают инвестировать в технологии и цифровые продукты», — говорит Эли.
С другой стороны, развиваются такие тенденции в технологиях, как облачные вычисления, DevOps, автоматизация и управление жизненным циклом инфраструктуры, и «мы видим, как границы между различными функциями становятся все более размытыми, а безопасность все больше интегрируется в эти процессы», — говорит Эли в CSO.
На посту директора по информационной безопасности Эли смог изучить различные направления бизнеса, наладить связи и работать в масштабах всей компании. «Перейдя на должность менеджера по продукту, я уже имел общее представление о том, как работает компания, какие проекты были важны, какие технологии использовались, и у меня были налаженные связи внутри компании», — говорит он.
Директора по информационной безопасности хорошо разбираются в бизнесе в целом
Для Джея Пастериса, главного операционного директора Blue Mantis, который ранее занимал должности директора по информационной безопасности и директора по информационным технологиям компании, не так много других должностей, которые предполагают такую же горизонтальную видимость всей организации в сочетании с пониманием процессов других отделов.
Он считает, что эти роли с двойным названием могут обеспечить более прямую линию подчинения генеральному директору или совету директоров, что важно для отчетности о рисках. Это дает CISO большую автономию для отчетности перед советом директоров и помогает им понимать бизнес-риски, поскольку CISO смотрит на все различные части организации. «Это не просто технологии, это данные, пользователи, клиенты и угрозы. Это размышления о том, как сделать бизнес устойчивым, и совет директоров и генеральный директор должны иметь эту прозрачность и возможность работать на двусторонней основе с CISO», — говорит Пастерис CSO.
Совмещение обеих ролей также помогает гармонизировать миссию повышения эффективности бизнеса при сохранении безопасности организации, что иногда может противоречить друг другу. Кроме того, CISO понимают, какими должны быть бизнес-результаты и где также находятся бизнес-риски. «У нас есть возможность объединить все это, и это становится действительно ценным для организации. Вот почему вы видите, как CISO начинает продвигаться на должность COO», — говорит Пастерис CSO.
«Еще одной отличительной чертой роли CISO является то, что она одновременно является и поставщиком, и потребителем услуг безопасности, что дает ей уникальную возможность понимать процесс разработки инженерных решений, маркетинговый стек, то, что использует отдел продаж и т. д.», — говорит Чад Макдональд, главный операционный директор Radiant Logic.
Проблемы и риски, связанные с двойными должностями
Хотя есть много причин рекомендовать двойные должности CISO, это не лишено своих проблем. CISO обычно сообщают, что уже перегружены, и риск в том, что это только усложнит ситуацию.
«Если накладываются дополнительные обязанности, это должно сопровождаться выделением дополнительных ресурсов. Вы не можете пойти к CISO, который и так слишком распылен, и добавить ему обязанностей, не предоставив ему дополнительных людей или денег», — говорит Белкнап.
Также может быть сложно интегрировать другие команды, такие как инженерные или продуктовые, в группу безопасности, когда они обычно не видят себя частью сферы безопасности. «Если вы используете программное обеспечение, аудит, инфраструктуру или любой вид ИИ для улучшения безопасности, вы являетесь специалистом по безопасности, даже если вы поначалу себя таковым не считаете. Придется понять, что цель — это создание отличного программного обеспечения, которое помогает улучшать безопасность и уменьшать трения», — говорит Белкнап CSO.
Пастерис говорит, что важно быть осторожным, не беря на себя слишком много риска. «Не пытайтесь заменить собой юрисконсульта, не пытайтесь заменить собой ответственного за обработку персональных данных, не пытайтесь заменить некоторые из тех очень специфических ролей, которые имеют связанные с ними юридические последствия».
Вместо этого постарайтесь установить прочные партнерские отношения в этих областях и всегда разделяйте обязанности и избегайте конфликтов в рамках более масштабной сферы управления рисками. «Вы же не хотите быть тем парнем, который принимает решения о рисках, оценивает риск, а также ставит печать одобрения на риск», — добавляет Пастерис.
CISO, которые могут расширить свои функции, должны действовать медленно и тактически выверенно, чтобы максимально использовать возможность укрепления этих стратегических альянсов, считает Макдональд, который был директором по информационной безопасности и руководителем аппарата Radiant Logic до того, как стать главным операционным директором. «Убедитесь, что есть пересечение с новой областью, которую вы забираете под свою ответственность, чтобы не упустить из виду свою основную ответственность как директора по информационной безопасности», — говорит он.
CISO также следует избегать брать на себя ответственность за все и сделать создание операционных групп приоритетом, чтобы гарантировать, что они могут действовать в соответствии со стратегией организации. В противном случае им будет трудно набрать критическую массу и не хватит ресурсов, чтобы должным образом сосредоточиться. «Чаще всего директора по информационной безопасности, которые испытывают трудности, на самом деле не установили для себя стратегическую функцию; они все еще руководствуются в своих действиях только тактическими соображениями», — говорит Макдональд.
Также необходимо изменить критическое мышление, чтобы охватить больше стратегических приоритетов. «По мере того, как руководители служб информационной безопасности взрослеют и учатся управлять рисками, им приходится терять из виду забавные мигающие лампочки и смотреть на стратегическое направление не только функции безопасности, но и всей организации, чтобы действовать в соответствии с целями организации», — добавляет Макдональд.
Розалин Пейдж
Источник: https://www.csoonline.com/article/2510280/cisos-successfully-take-on-dual-titles.html
Вопрос неоднозначный. Здесь есть над чем поразмыслить и подискутировать.
С одной стороны при совмещении должностей CISO и CIO, например, возникает внутренний конфликт интересов, нарушается один из базовых принципов ИБ, прописанный во всех стандартах, такой как разграничение обязанностей (SoD), и, казалось бы, ничего хорошего из этого выйти не может.
С другой стороны, находясь в свое время на должности начальника отдела ИБ достаточно крупного российского холдинга, мне очень не хватало собственных инженеров и администраторов ИБ для реализации стратегических планов и тактических мероприятий. Быть в роли сторожевого пса, надзирающего за ИТ отделом и, не имея собственных ресурсов, пытающегося заставить их действовать на благо ИБ (внедряя, настраивая и поддерживая в рабочем состоянии технические меры ИБ), вопреки их собственным интересам и приоритетам, — задача не благодарная.