10 способов убить свою карьеру в ИБ
|
20 января 2020 |
|
Наткнулся тут на статью с одноименным названием, вольный и облегченный перевод которой и предлагаю.
Большинство CISO считают, что инциденты ИБ не приведут к их увольнению.
Только 6.8% CISO считают, что крупная утечка или иная проблема с ИБ
могут повлечь за собой разрыв трудового договора. 21,7% считает, что
инцидент может стать причиной только выговора, а 56% и вовсе думает, что
руководство компании поможет им решить возникшие из-за инцидента
проблемы. С другой стороны 55% CISO работает в своей должности менее 3-х
лет, а еще 30% - менее двух лет. По оценкам экспертов, многие
руководители ИБ покидают свои компании на хороших условиях, с "золотым
парашютом". Но немалое количество руководителей кибербезопасности
действительно покидают свои насиженные места по причинам, далеким от
инцидентов ИБ. Можно выделить 10 таких причин:
- Неумение говорить с руководством на бизнес-языке. Коль скоро
тема ИБ все чаще ложится в повестку дня советов директоров и
исполнительных органов компании, то руководство ожидает от CISO умения
донести понятным языком сильные и слабые стороны политики ИБ и как они
укладываются в общую стратегию бизнеса. Многие CISO попадают на свои
позиции благодаря своим техническим навыкам и это приводит к тому, что
через какое-то время бизнес разочаровывается в своих ставленниках и
отправляет их в отставку, пытаясь найти им более бизнес-ориентированных
безопасников.
- Маскировка проблем. Многие CISO показывают своему руководству
только положительные новости, считая, что демонстрация негатива
приводит к их негативной оценке со сторону топ-менеджмента. Они не хотят
выглядеть некомпетентными и поэтому скрывают все плохое. Кто-то
считает, что излишние технические детали только мешают руководству
разбираться в ИБ и поэтому почти ничего не рассказывают на управляющих
комитетах, что в итоге играет плохую шутку с CISO. Если последний не
может быть честным и открытым перед руководством, то доверие к нему
падает, а за ним грядет и увольнение. Проблемы есть у всех. Грамотный
CISO отличается от своего "шапкозакидательного" коллеги тем, что не
только признает негативные стороны в своей работе, но и имеет план по
устранению проблем и улучшению ситуации.
- Сюрприз для руководителя. Никто не любит сюрпризов и никто не
хочет попасть впросак из-за инцидента, о котором CISO не предупредил
своего босса, и который (инцидент, а не босс) требует крупных и
незапланированных затрат на восстановление. Гораздо хуже, если
топ-менеджмент узнает об инциденте не от своего руководителя, а из СМИ
или от коллег на каком-либо публичном мероприятии.
- Остаться в одиночестве. Нередко бывает так, что руководство
не хочет замечать бревна в своем глазу и признавать, что у них есть
проблемы в ИБ, о которых говорит честный CISO. Это может привести к
тому, что CISO останется в одиночестве и ему придется выбирать -
остаться честным перед самим собой, честно рассказать о проблемах и их
последствиях и, возможно, уйти из компании, в которой не любят
"правдолюбов", говорящих о проблемах, или дуть в общую дуду "у нас все
хорошо, у нас нет проблем", как это делают другие руководители
подразделений, вешающих лапшу руководителю, который и рад ловиться на
эту удочку.
- Человек "нет". Нередко безопасники дуют на воду и ставят
палки в колеса всем новым и, якобы, небезопасным бизнес-инициативам.
Вместо того, чтобы вместе с инициаторами разработать план снижения
рисков при внедрении новой идеи или проекта, они просто говорят им
"нет". Один раз "нет", второй, третий... И вот "нет" уже говорят самому
CISO, когда он заводит разговор о росте своей зарплаты или соцпакета или
численности сотрудников и бюджетов. А потом "нет" слышит и сам CISO на
вопрос о том, есть ли у него перспективы в компании. Надо уметь
двигаться вместе с бизнесом, а не тянуть его на дно своими опасениями,
что "мы все умрем".
- Пропуск чего-то важного. Да, возможно вас не уволят из-за
крупного инцидента. Но если вы допустили серьезную дыру в процессах
приобретенной компании или недооценили риски в своем предприятии или
незаметили тенденций в области угроз, которые нанесли вам ущерб, то у
руководства может возникнуть недоверие к вам и вашей способности
учитывать интересы бизнеса, а это первый шаг к увольнению.
- Забывчивость о конкурентах. Руководство имеет возможности
оценивать то, что происходит у конкурентов, если не с точки зрения
бюджетов и ресурсов на ИБ, то с точки зрения потерь от каких-либо
инцидентов. Вас могут уволить за то, что ваша компания потеряла больше,
чем ваши конкуренты, которые тоже пострадали от той же проблемы, но
пострадали меньше.
- Падающий парень. Если CISO берут на позицию, которая на
несколько уровней ниже других руководителей со схожим кругом
обязанностей и ответственности, то дни такого безопасника сочтены.
Скорее всего его берут для того, чтобы повесить на него всех собак и
потом с "почестями" уволить, если что-то пошло не так. В зависимости от
того, где в иерархии находится CISO, зависит то, является ли ИБ для
компании фактором развития или центром затрат.
- Нелюбящий пролетариат. В оригинале идея звучит немного не
так, но в том варианте, как мне кажется, для России это неактуальная
проблема. По мнению автора, если CISO в своем команде не толерантен к
расовым, этническим, половым или иным меньшинствам, то высока
вероятность, что руководство компании не будет мириться с таким низким
уровнем культуры в подразделении ИБ и сменит главного безопасника.
- Некомандный игрок. Нельзя все делать в одиночку. Те, кто это
пробует делать, не только будут перегружены работой, но и демонстрирует
неспособность делегировать задачи, что ставит компанию под угрозу. Если
CISO не окружает себя умными специалистами, которые знают, как поступать
правильно без подсказки сверху, то у таких CISO не получится выстроить
эффективную службу ИБ и они будут обречены на провал. CISO должен уметь
нанимать нужных людей и иметь возможность это делать. Если руководство
дает карт-бланш главному безопаснику, но не дает ему ресурсов, то дни
такого безопасника сочтены - он просто не сможет ничего сделать в
одиночку. Первоклассная команда не только способна решать самые сложные
задачи, но и показывает, что CISO относится к касте высших
руководителей, а не прозябает в условиях нехватки ресурсов со
студентами, которые "пороха не нюхали".
Оставить свой комментарий:
Комментарии по материалу
Данный материал еще не комментировался.