Но времена изменились. И если в нынешних условиях директор по информационной безопасности начнет демонстрировать всем свой жесткий стиль, велика вероятность того, что уже вскоре он окажется на улице.
Всезнаек никто не любит. И это в полной мере справедливо по отношению к новоиспеченному директору по безопасности, который полон решимости перевернуть все с ног на голову ради спасения корабля. Однако в последнее время на смену такой стратегии все чаще приходит более осторожный подход, предусматривающий на первых порах небольшое отступление с целью знакомства с ситуацией и вовлеченными в нее игроками.
«Прежде чем пытаться вносить какие-то изменения, изучите бизнес, – советует Тод Белл, международный эксперт и консультант по вопросам устранения брешей в системе безопасности в компаниях самой разной величины – от небольших стартапов до компаний из списка Global Fortune 500. – Важно, чтобы вы прислушивались к своей команде и руководителям других подразделений. Иначе излишняя поспешность и допущенные ошибки могут стоить вам карьеры». Первые 90 дней в роли директора по информационной безопасности имеют особое значение. Вы должны предстать перед всеми симпатичным и заслуживающим доверия деловым человеком. Формулируйте свои мысли кратко и точно, прежде чем приступать к их реализации. Не перегибайте палку.
Подписывая трудовой договор, помните, что через три месяца вы будете уволены, если не подойдете компании.
Необходимо, чтобы окружающие поняли: вы надежный человек, а не пустозвон. Нужно закрепить за собой репутацию специалиста, к рекомендациям которого прислушиваются сотрудники, находящиеся как ниже, так и выше вас по служебному положению.
Такой совет очень помог бы Дэйву Дальве три года назад, когда он впервые занял должность директора по информационной безопасности. Тогда мысль о том, что неплохо было бы заручиться поддержкой всех сотрудников ИТ-службы, как-то не пришла ему в голову.
«Усвоенный мной урок заключался в том, что необходимо поддерживать самые тесные отношения с ИТ-специалистами, – вспоминал он. – С сетевыми инженерами, связистами, телефонистами. Важно общаться не только с высшим руководством и членами совета директоров, но и с людьми, которые выстраивают безопасность в других подразделениях».
Первым делом следует провести независимую оценку безопасности – обратить внимание на управление и выполнение операций. Оценка должна основываться на рисках, с тем чтобы директору по информационной безопасности были понятны приоритетные направления.
Это поможет найти понимание в совете директоров. Директор по информационной безопасности, ориентирующийся исключительно на технический персонал, неизбежно потерпит неудачу. Он должен хорошо ориентироваться в вопросах бизнеса и охватывать все его аспекты.
Начинающим директорам по информационной безопасности Дальва рекомендует воспринимать безопасность как процесс, а не как цель.
Советы новому директору по информационной безопасности
- Кибербезопасность – ответственность каждого, а не только ваша. Доведя это до сведения высшего руководства, вы, возможно, сумеете сохранить работу при возникновении в будущем брешей в системе безопасности.
- Будучи членом высшего руководства, не ограничивайтесь только техническими вопросами. Демонстрируйте свою вовлеченность в решение задач, стоящих перед компанией.
- Изучайте особенности бизнеса. Общайтесь со всеми руководителями подразделений и вникайте в волнующие их вопросы. Тогда вы узнаете о бизнесе гораздо больше и повысите значимость своего положения.
- Поддерживайте тесные контакты с ИТ-директором. Независимо от того, подчиняетесь вы ему или нет, отношения с ИТ-директором имеют очень важное значение, и вам необходимо синхронизировать свои усилия при выработке стратегии, реализации проектов и выполнении повседневных операций.
- Выделяйте время на общение с подчиненными, уделяйте внимание совершенствованию их подготовки и дальнейшему развитию. Таким образом вы сможете решить вопросы, связанные с удержанием персонала.
- Выполняйте роль консультанта. Предлагайте решения для поддержки бизнеса.
В условиях слияния
Голан Бен-Они согласен с тем, что понимание функционирования организации и ее сети должно стать первоочередной задачей. Будучи директором по безопасности сетевой архитектуры в IDT, компании, занимающейся разработкой интегральных микросхем, он не раз наблюдал, как в условиях слияния сетевые инженеры и специалисты по безопасности, отвечавшие за поддержание в актуальном состоянии документации и своевременное изменение конфигурации сети, переставали поспевать за темпами изменений в организации.
«Вскоре после слияния часть персонала, занимавшегося изменением конфигурации, оказывалась недоступна, и нам приходилось собирать информацию по кускам или довольствоваться только базовыми сведениями», – отметил Бен-Они.
Выяснялось, что специалисты, которым все это было поручено, не в состоянии больше справляться со своими обязанностями. Ранее они настраивали политики безопасности на основе выявленных следов, бесед с владельцами приложений и анализа системных журналов, а теперь столкнулись с невозможностью использовать методы, к которым привыкли.
Изначально Бен-Они, устанавливая межсетевые экраны нового поколения Palo Alto Networks, хотел лишь добиться возможности осуществлять контроль на седьмом, прикладном, уровне. Двадцать сетевых портов были соединены со специализированным устройством исключительно ради этого контроля и получения дополнительной информации. В конечном же итоге Бен-Они вместе со своей командой интегрировал межсетевые экраны прямо в сеть и начал выстраивать политики на основе тех сведений, которые ему удалось почерпнуть оттуда.
Процесс этот занял пять-шесть дней, после чего ключевая задача документирования среды была решена. В последующие недели проводилась замена устаревшей инфраструктуры более мощными средствами.
«Думаю, для многих вхождение в свою роль, четкое понимание среды, в которой они находятся, является очень важным вопросом, – указал Бен-Они. – Мы нуждались в свежем взгляде. Иногда свежий взгляд действительно очень нужен, и в этом случае приход в компанию человека со стороны может стать для него преимуществом. Каждый год мы задавали себе вопрос: что было бы сделано по-другому, если пришлось бы выполнять все заново? Нужно всегда быть готовым не только задать себе эти сложные вопросы, но и ответить на них. Для нас получение дополнительной информации всякий раз становилось лучом света в темном тоннеле – появлялись интересные факты, помогавшие нам быстро исправлять ситуацию».
Когда с жизненно важными вопросами все будет в порядке, тогда сложатся условия для перехода к следующему этапу: повышению скорости реакции и уменьшению времени, затрачиваемому на исправление выявленных недочетов.
И наконец, последний совет: как можно больше общайтесь с коллегами, черпайте информацию из самых разных источников, к которым относятся и исследовательские компании Gartner и Forrester. Ведь зачастую заниматься исследованиями самостоятельно у директора по информационной безопасности просто нет времени.
– Ryan Francis. What CSOs should do on their first days. CSO. Nov 23, 2015