Сегодня руководство программой обеспечения безопасности принимает новые формы. Какими навыками должны обладать специалисты в области безопасности, чтобы сохранять конкурентоспособность на рынке труда?
По словам Ли Кушнера, специалиста по карьерному росту, лидерам информационной безопасности будущего нужны навыки, которые выходят за рамки собственно самой сферы безопасности. Директора по безопасности и по информационной безопасности стали ощущать совсем другую ответственность по сравнению с той, что требовалась от них десять лет назад.
«Современному директору по информационной безопасности нужно обладать навыками, которые ставили бы его на одну ступень с высшим руководством», — отметил Кушнер, проводивший на конференции RSA в феврале этого года презентацию, посвященную требованиям, предъявляемым к директору по информационной безопасности.
Каких же ключевых навыков требуют компании от кандидата на должность директора по информационной безопасности? Кушнер называет четыре наиболее важных и рассказывает, каким образом их можно приобрести.
1. Технические знания, связанные с бизнес-операциями
Директору по информационной безопасности всегда нужны были технические знания, и Кушнер убежден в том, что такая тенденция сохранится и в будущем. Именно этими знаниями обусловлена разница между лучшими руководителями подразделений информационной безопасности и их коллегами, получившими образование только в области физической безопасности.
«В условиях, когда предприятия при расширении своего бизнеса все сильнее полагаются на технологии, директор по информационной безопасности должен повышать свой уровень технической компетентности. Широта кругозора является ключевым фактором поддержания доверия к ним, в том числе и в части руководства при выполнении базовых технических функций, включая разработку программного обеспечения, построение инфраструктуры, проектирование и операционную деятельность». Это означает также, что директору по информационной безопасности необходимо постоянно совершенствовать свои технические навыки, не ограничиваясь подготовкой компании к отражению атак и растущих угроз.
«Вместо того чтобы думать о том, что делает тот или иной виджет и насколько он хорош, директор по информационной безопасности должен задавать себе вопросы: “Как отразится использование этой технологии на нашем бизнесе? Какое влияние она окажет на управление цепочками поставок, доступом, мобильными приложениями и т. д.?”» — подчеркнул Кушнер.
В процессе изучения и внедрения новых технологий директор по безопасности обязан помочь представителям основного бизнеса оценить те риски и преимущества, которые этим технологиям присущи.
«В качестве примера здесь можно привести безопасность планшетных технологий и мобильных устройств, — отметил Кушнер. — Во многих организациях думают исключительно о том, какие выгоды данные технологии сулят системе продаж и что они принесут для увеличения производительности труда и повышения эффективности, но директору по безопасности необходимо учитывать и озвучивать риски, таящие в себе угрозу для бизнеса, и определять способы внедрения, при которых обеспечивалось бы соблюдение требований регулирующих органов и соответствие промышленным стандартам и структурам».
2. Знание бизнеса — на совершенно новом уровне
«Главный вопрос, который специалистам по безопасности приходится решать прямо сейчас, связан с тем, что в прошлом уровень их квалификации оценивала группа таких же профессионалов в области безопасности, — заметил Кушнер. — Сегодня же степень их подготовленности оценивает команда управленцев.
Возможно, вы действительно являетесь экспертом в области безопасности приложений, но оценки, выставленные группой профессионалов в части безопасности приложений, подтверждают лишь вашу компетентность в сфере безопасности приложений и не поднимают вас в глазах управленцев.
Вы должны сравнивать себя с другими людьми, присутствующими на заседаниях совета директоров. Многие специалисты по безопасности жалуются, что не получили места в совете директоров. Но произошло это потому, что другие руководители считают их не заслуживающими такого места».
Кушнер рекомендует приобретать навыки и выстраивать карьеру таким образом, чтобы ваши усилия были заметны управленцам. «Понимание ключевых компонентов организации (а не только вопросов, связанных с ее безопасностью) — вот что не оставит вас незамеченным. Изучите внешние факторы, с которыми приходится иметь дело организации, и препятствия, с которыми она сталкивается на рынке. Все это выходит за рамки области безопасности и анализа рисков.
Большинство специалистов по безопасности полагают, что обладают навыками ведения бизнеса. Но дело в том, что зачастую специалист по безопасности и ИТ-директор, финансовый директор или любой другой руководитель высшего звена понимают под навыками ведения бизнеса принципиально разные вещи».
3. Навыки общения — включая умение слушать
«Любой сотрудник должен чувствовать ответственность за безопасность организации, — утверждает Кушнер. — Для правильного выполнения программы безопасности необходимо довести этот постулат до каждого».
Умение слушать зачастую представляется еще более важным, чем умение говорить, особенно на первых этапах общения с другими сотрудниками организации.
Понимание людей и культур — тоже необходимый навык. А большинство людей недооценивают его значимость.
Нельзя, в частности, общаться с сотрудниками службы технической поддержки в той же манере, в которой вы разговариваете с лидером бизнеса.
«Владение разными языками и умение переводить свои действия на язык, который другие уважают и понимают, имеет очень важное значение, — заметил Кушнер. — Эффективное общение руководителя службы безопасности свидетельствует о его широком кругозоре, понимании конкурирующих интересов бизнеса и способности делать правильный выбор».
4. Лидерские навыки — независимо от вашей нынешней должности
По мнению Кушнера, из всех навыков, которые современный работодатель ищет у директора по информационной безопасности или начальника службы безопасности, ведущее место занимают навыки лидера. Многие компании нанимают директора по информационной безопасности, потому что им нужны изменения, и они хотят, чтобы новый руководитель направил усилия в области безопасности по нужному руслу.
«Поскольку информационная безопасность заставляет организации оперативно реагировать на возникновение самых разных неожиданностей, обработкой сигналов и перспективами информационной безопасности необходимо заниматься постоянно, — пояснил Кушнер. — Не только с теми, кто с этим уже хорошо знаком, но и с теми, кто ведет себя противоречиво и игнорирует требования безопасности.
Соответствующие навыки можно вырабатывать на любой должности, даже если сегодня вы находитесь не на лидирующих ролях. Лидерство принимает различные формы.
Вы можете находиться только на начальных ступенях служебной иерархии, но отлично выполнять свою работу. И это уже залог лидерства. Выпуск программного пакета или инструмента, соответствующего нормативным требованиям, — еще один шаг на пути к лидерству. Свое лидерство в организации вы можете утверждать, формируя определенную культуру безопасности. Понятие лидерства не всегда можно точно описать, но, оценив прямые и косвенные признаки и ситуацию в целом, ваши сослуживцы могут признать за вами факт лидерства».
Joan Goodchild. 4 skills CISOs need now. CSO Magazine. February 15, 2011