Нелегкая судьба CISO

Когда я перечитал эту заметку — понял, что как-то депрессивно получилось. Поэтому небольшой дисклеймер: ребята, у нас лучшая в мире профессия, мы находимся на пике технологий, ловим злодеев и защищаем бизнесы. Просто для мировой славы, признания обществом и места на ежеквартальной встрече директоров надо ещё немного подождать ;) Будьте разумными, оценивайте риски, разбирайтесь в бизнесе — и успех придет.

Как-то в один момент оказался у меня CISO в подчинении, один CISO мой бывший подчиненный, а третий почему-то сменил недавно Linkedin на что-то поскромнее, а поскольку я искал ещё одного начальника в родственную организацию — в общем, яоказался окружен одними CISO.

Это заставило задуматься о своей полной профессиональной непригодности: с позиции Service Desk Manager — хлоп… и в CISO. 3 года после студенческой скамьи — и вот уже CISO….

Зависть и рефлексия на тему: а кто же я тогда? Тварь дрожащая или CISO власть имущий и привела к появлению данной заметки.

В аббревиатуре CISO (Chief Information Security Officer) ключевое слово вовсе не Security, не Officer и тем более не Information. А — Chief.

Приставка Chief в англосаксонском корпоративном мире означает принадлежность к высшей касте топ-менеджеров, которые занимаются тем, что принимают судьбоносные решения, влияющие на компанию и отвечают за ключевые направления и развитии компании.

Например, CEO — генеральный директор, CFO — финансовый директор, CRO — главный по рискам (наличие такой позиции очень важно, например, для банков). Зачастую все это замешано в густую солянку совместно с VP, председателями, заместителями и прочими членами правления.

В целом, приставка CxO в должности предполагает, что человек занимает одну из первых позиций в организации и влияет на стратегию организации и определяет стратегию одного из критичных направлений деятельности организации.

Если придерживаться этих определений, то получается, что в глобальном масштабе даже CTO/CIO только начинают вылезать из-за дна бэк-офисного андеграунда и получать полноценное место за столом. Развитие технологий и мода на технологические стартапы к этому активно подталкивает. Но в целом — эти парни научились доказывать, что без технологий в наше время нынче не уедешь, и считаться с технарями приходится. Да и Интернет помог…

Вы, наверное, уже понимаете в какое место корпоративной пищевой цепочки я хочу поместить бедных информационных безопасников (и себя в том числе) — будь они CISO или нет. Если нет, то говоря нежно: в лучшем случае консультативная функция. Никто не будет:

  • Отменять слияние из-за неустановленного патча.
  • Тормозить вывод прорывного программного продукта из-за отсутствия там ролевой системы доступа.
  • Отменять запуск новой рекламной компанию из-за незащищённого FTP.

В усредненном реальном мире ИБ — это производная от ИТ, которая является производной от Operations.

И у этой производной второго порядка — пока в лучше случае есть возможность уговорить подлатать дыры на ходу мчащегося поезда, а машинист тормозить не будет — он будет только подбрасывать угля и бить по шаловливым ручонкам, тянущимся к тормозу.

Есть версия что термин CISO придумали хитрые кадровики, чтобы подбросить понтов для страждущих. Или мы сами себе его выдумали, чтобы благозвучнее было….

Ситуация меняется, но массово безопасники увеличат вескость своего слова ещё очень сильно не скоро.

Что конечно не отменяет некоторых примеров, когда их слово будет звучать громко и к ним будут прислушиваться (и менять стратегию!!!):

  • Верю, что в недавно взломанном LastPass главный ИБ-шник один из главных людей.
  • Наверное, в Яндексе кто-то слушает своих безопасников (хотя эта история, для меня показывает, что именно первично).

В общем — буду рад получить в комментарии примеры где ИБшников слушают и слушаются.

Морали тут нет никакой. Пишите все, что хотите у себя в резюме и линкедине — если это поможет устроиться в хорошее достойное место, значит быть вам CISO бензоколонки.

Очень было бы здорово как получить примеры-исключения из моей теории, так и наборот. Поэтому пишите в комментариях.

Like what you read? Give Nikita Yurevich a round of applause.

From a quick cheer to a standing ovation, clap to show how much you enjoyed this story.