Существует много неверных представлений о роли CISO. Большинство из них связано с тем, что эта должность появилась недавно, а нынешние директора по ИБ – это бывшие технари.

По мнению Грегори Тухилла, директора CERT Института Университета Карнеги-Меллона: «Это создает представление о том, что CISO некомпетентны в бизнес-вопросах и потому не заслуживают места за столом, когда речь идет о том, как развивать компании. Такое восприятие связано с ошибочным мнением, будто бы директора по ИБ ничего не понимают в бизнесе и разбираются только в технологиях. Напротив, CISO – это мост между топ-менеджментом и техническими специалистами».

«Топ-менеджмент и даже ИБ-отделы часто неправильно понимают роль CISO. Это мешает построению эффективных мер безопасности», – добавляет Джон Аллен, управляющий директор направления технологий, медиа и телекоммуникаций консалтинговой фирмы MorganFranklin Cyber.

Собрали семь распространенных заблуждений о CISO и как от них избавиться.

1. CISO - всего лишь технический специалист

Одна из первых вещей, которую важно однозначно понять про CISO – они занимаются не только сменой паролей, установкой патчей и настройкой файрволлов. Современные CISO редко заняты рутинной ручной работой. Они больше сосредоточены на стратегических вопросах, таких как обеспечение защиты облаков или ИИ-инструментов.

Еще иногда CISO участвуют в поглощении и слиянии (M&A) компаний. Оценивают состояние ИБ потенциального объекта покупки, выявляют риски, сложности соблюдения нормативных требований или возможности интеграции в материнскую компанию.

«Распространено заблуждение, что рабочий день CISO состоит из реагирования на инциденты и изучения угроз, – замечает Кэтти Дженкинс, исполнительный вице-президент и CISO страховой компании Liberty Mutual Insurance. – Такие моменты есть, но большая часть моего дня посвящена стратегическому планированию, взаимодействию со стейкхолдерами, обучению других сотрудников – и себя самой, кстати говоря».

ИБ меняется настолько быстро, добавляет Дженкинс, что ей приходится выделять много времени на изучение исследований и обмен опытом с коллегами.

Помимо защиты IT-инфраструктуры, эффективный CISO фокусируется на защите самого бизнеса, говорят эксперты. Для этого важно понимать, как именно безопасность вписывается в бизнес-процессы. Не просто концентрироваться на управлении рисками, а обеспечивать безопасность, которая поможет компании развиваться и не создаст лишних проблем.

По мнению отраслевых экспертов вместо того, чтобы рассматривать CISO как технических исполнителей, нужно рассматривать CISO как стратегических бизнес-лидеров.

2. Безопасность - чисто техническая функция

Самая лучшая ИБ-система и самые эффективные ИБ-инструменты теряют всякий смысл, если сотрудники регулярно переходят по фишинговым ссылкам и используют слабые повторяющиеся пароли. Роль CISO постоянно эволюционирует, и сегодня ИБ-директора вынуждены быть и психологами, и педагогами, и дипломатами, убеждая сотрудников, что безопасность – задача каждого.

Дело в том, что о безопасности вспоминают лишь когда возникает проблема. Более того, руководство может вообще не рассматривать ИБ как часть корпоративной культуры. Эксперты подчеркивают, что успешный CISO тратит столько же времени на работу с людьми, сколько и на использование средств технической защиты.

«Честно говоря, я потеряла счет случаям, когда кто-то предполагал, что мой рабочий день состоит из настройки брандмауэров или исправления уязвимостей», – делится Сэм Тейлор, CISO компании LLC.org. По ее словам, такая ситуация встречается довольно часто.

«Реальность такова, что около 70% моей работы связано с управлением рисками, коммуникацией и обеспечением серьезного отношения руководства к ИБ. Я провожу гораздо больше времени в конференц-залах, чем в SOC. Руководители не интересуются техническими терминами, их волнует риск в финансовом выражении».

Однако, когда Тейлор объясняет руководству, что слабая ИБ способна привести к потере миллионов долларов, а еще юридическим издержкам и штрафам регуляторов, они начинают прислушиваться.

«Роль CISO изменилась, и те специалисты, которые не могут адаптироваться, сталкиваются с трудностями в достижении реальных результатов. Компания может иметь самые современные средства защиты, но, если культура ИБ отсутствует – инцидентов не избежать».

Все начинается с самого верха. До сих пор «есть немало советов директоров и руководителей бизнеса, которые по-прежнему рассматривают ИБ как ИТ-функцию, а не как проблему бизнес-рисков», говорит Джон Аллен из MorganFranklin Cyber.

«Мой коллега из финансового сектора отметил, что его руководители ожидали устранения ИБ-угроз только при помощи средств защиты и отказывались признавать важность обучения сотрудников и культурных изменений».

Многие воспринимают кибербезопасность чисто с технической точки зрения, соглашается Флавио Вильянустре, старший вице-президент по технологиям и глобальный CISO компании LexisNexis Risk Solutions.

«Это далеко от истины. Современный CISO несет ответственность за все аспекты кибербезопасности, далеко выходящие за рамки работы с техникой».

Заблуждения о роли CISO хорошо видны в определенных отраслях. Например, в сфере СМИ и телекоммуникаций ИБ часто воспринимается как инструмент соответствия нормативным требованиям или как функция ИТ-отдела, а не как основа устойчивости бизнеса, отмечает Аллен. Так, один специалист по безопасности цифровых медиа поделился с ним историей. Топ-менеджмент был озабочен комплаенсом и игнорировал инвестиции в превентивные меры безопасности – вплоть до громкого взлома, из-за которого утекли данные клиентов.

«В технологических компаниях безопасность иногда рассматривается как инженерная проблема. Руководители предполагают, что DevOps`ы смогут сами справиться с ИБ без стороннего управления, – комментирует Аллен. – Но реальность такова, что ИБ должна быть интегрирована в стратегию компании. Будь то защита интеллектуальной собственности в сфере медиа или обеспечение безопасности сетей связи от угроз государственного уровня».

3. CISO имеет полный контроль над кибербезопасностью

Топ-менеджмент считает, что после назначения CISO безопасность будет полностью ему подконтрольна. Однако кибербезопасность – обязанность всей компании, подчеркивает Аллен.

«Без сотрудничества между отделами влияние CISO ограничено. Многие специалисты рассказывали, как предлагали ИБ-инициативы, а в итоге встречались с сопротивлением руководства. Оно предпочитало удобство или краткосрочную выгоду вместо долгосрочного снижения рисков».

Например, один из бывших клиентов Аллена из крупной компании рассказал, что ограничения бюджета и готовность принимать риски регулярно перевешивают рекомендации ИБ-специалистов.

«ИБ-специалистам приходится идти на жесткие компромиссы, и когда неизбежно происходят инциденты, руководство нередко несправедливо обвиняет их. Даже если топ-менеджмент ранее проигнорировал ИБ-рекомендации или внедрил их не полностью», – отмечает Аллен.

Еще многие руководители полагают, будто CISO обладают полной автономией над ИБ-стратегией. Однако специалисты часто работают в условиях жестких дедлайнов, ограниченных бюджетов и готовности топ-менеджмента к принятию рисков.

Аллен вспоминает разговор с бывшим CISO одной быстрорастущей SaaS-компании.  Специалист рассказал о сложности внедрения жестких ИБ-мер из-за руководства. Оно предпочло скорость выпуска продукта взамен практикам безопасной разработки кода. Аналогичные кейсы фиксировали в телеком-индустрии. ИБ-отделы могут рекомендовать эффективные меры по защите критической инфраструктуры, однако финальное решение всегда принимается под влиянием приоритетов компании, регуляторных ограничений и запросов клиентов.

Примечательно, что при возникновении инцидента CISO, чаще всего, лично отвечают перед руководством, даже если оно игнорировало предостережения и рекомендации специалиста.

4. Буква «C» в CISO означает, что сотрудник является должностным лицом

Слово «главный» («Chief») подразумевает статус должностного лица компании, говорит Тухилл. Но на практике «подавляющее число CISO не входят в список официальных должностных лиц – и последствия этого значительны».

Должностные лица и директора покрываются соответствующей страховкой перед собственниками компании и стейкхолдерами на случай предъявления исков о возмещении ущерба. Если произойдет крупная утечка данных, и CISO окажется вне страхового покрытия, возможна личная ответственность сотрудника. Поэтому Тухилл настоятельно рекомендует кандидатам в CISO выяснить заранее, предусмотрена ли отдельная страховка, которая защитит их интересы и исключит личную судебную ответственность.

Люди редко осознают, что работа CISO сопряжена с риском личной юридической ответственности, подтверждает Вильянустре.

«Работа CISO не освобождает от сложных ситуаций, связанных с постоянным изменением ландшафта киберугроз, ведь угрозы и злоумышленники постоянно развиваются».

Фактически, полагает он, CISO несут персональную ответственность по гражданским и уголовным обвинениям.

Вероятно, именно из-за этого CISO, в среднем, проводят на своих постах не так много времени – от 18 до 26 месяцев, обращает внимание Вильянустре.

«Это намного меньше, чем другие руководители высшего звена, которые занимают свои должности примерно пять лет».

5. CISO способны полностью устранить риски

Еще одно нереалистичное ожидание – CISO должен предотвращать атаки еще до их начала. На деле инциденты неизбежны. Настоящая задача директора по ИБ – минимизировать ущерб, поддерживать устойчивость системы и обеспечить быстрое восстановление в случае инцидента.

«Часто люди верят, что CISO могут защитить от всех атак, хотя это совершенно неверно, – заявляет Рафаэль Балоч, генеральный директор и основатель консалтинговой фирмы по кибербезопасности RedSecLabs. – Инциденты происходят в зависимости от времени, а не от вероятности, что ставит под сомнение эту точку зрения».

Этот миф произрастает из убеждения, будто безопасность обеспечивается исключительно ИБ-отделом. хотя на самом деле все сотрудники компании являются «первой линией обороны», говорит Дженкинс из Liberty Mutual.

«Каждый сотрудник обязан внести свою лепту. Программа Responsible Defender нашей компании требует, чтобы все 40 тысяч сотрудников по всему миру использовали свои ИБ-навыки и интуицию, чтобы помочь нам распознать и защитить компанию от кибератак», – поясняет она.

CISO препятствуют инновациям

Топ-менеджмент часто рассматривает ИБ как преграду прогрессу из-за чрезмерного анализа рисков и желания соответствовать нормативным требованиям. Сами CISO считают, что наоборот помогают бизнесу быстрее развиваться, обеспечивая безопасность инноваций.

ИБ должна рассматриваться как общая задача для всей компании и получать поддержку от всех ее подразделений. CISO при этом не стоит рассматривать как одиноких защитников.

По мнению Аллена, существует стереотипное мнение, что CISO замедляют появление нововведений. Например, стартапы могут сопротивляться внедрению ИБ-механизмов, потому что считают, что они мешают пользователям. А медиакомпании отказываются от систем управления цифровыми правами (DRM), утверждая, что это усложняет распространение контента.

«Один коллега из глобальной стриминговой платформы рассказывал, как он с трудом внедрил усиленную защиту API. Руководству это казалось ненужным, потому что замедляло выход новых функций – до тех пор, пока эксплуатация уязвимости API не затронула миллионы пользователей, – подчеркивает Аллен. – Фактически, CISO вовсе не против инноваций, они обеспечивают устойчивый рост, встраивая безопасность в процессы цифровизации, а не внедряя ее постфактум».

Чаще всего CISO обязаны сбалансировать риски между гибкостью бизнеса, требованиями регулирующих органов и пожеланиями пользователей, стремясь сочетать ИБ и цели корпоративных инноваций, резюмирует Аллен.

«Их роль выходит за рамки технического надзора – они должны стать стратегическими партнерами, которые выстраивают связь между безопасностью, разработкой продукта и бизнес процессами».

7. У CISO нет проблем с психическим здоровьем

Бытует ошибочное мнение, что CISO справляются со стрессом на работе. И это несмотря на то, что организации атакуют буквально 24/7. Многие ошибочно считают, что после достижения уровня директора по ИБ уже не нужно беспокоиться об ментальном здоровье. Грегори Тухилл считает, что это неверно.

Он настоятельно рекомендует каждому CISO разработать план заботы о психическом здоровье своей команды и обзавестись надежным заместителем. Это поможет не выгореть.

«Нельзя победить в бесконечном марафоне. Вы должны заботиться о своем здоровье, а не только о людях, которыми вы управляете и которым помогаете», – комментирует Тухилл.