BISA: С БИЗНЕСОМ НАКОРОТКЕ

BISA: С БИЗНЕСОМ НАКОРОТКЕ

Разговор на одном языке

Руководителям ИБ-служб (на западный манер – CISO) все чаще приходится обосновать экономическую целесообразность любых затрат на ИБ, эффективность вложений и наглядно демонстрировать результаты своей деятельности. При этом количество отраженных атак, зафиксированных в системах мониторинга инцидентов, почему-то не производит впечатления на топ-менеджмент. А ведь в подобном положении недавно находились и ИТ-руководители (CIO). Им тоже приходилось убеждать бизнес в том, что без ИТ-систем ему не жить, что затраты на ИТ – не просто неизбежные расходы, которые нужно «оптимизировать», а инвестиции в развитие бизнеса и наращивание основного капитала компании.

Надо отдать должное крупнейшим зарубежным вендорам, проводившим с заказчиками активную работу. Они объясняли бизнес-руководителям, что ИТ-стратегия не менее важна, чем любая другая стратегия развития, а потому ответственный за ее реализацию человек должен состоять в высшем органе управления компании. Разумеется, для того чтобы общаться с «топами» на одном языке и отстаивать интересы ИТ-службы на советах директоров, ИТ-руководителям пришлось получать бизнес-образование. И чем крупнее предприятие, тем более глубокие менеджерские знания были необходимы.

Корпоративное управление, финансы и бюджетирование, основы юриспруденции, управление кадрами, маркетинг – вот неполный джентельменский набор дисциплин, которые требовалось изучить CIO. Оптимальным выбором были курсы MBA, адаптированные под ИТ-специалистов, так что среди современных ИТ-директоров много выпускников школ MBA. Приправив этот бульон тренингами по увеличению личной эффективности, технике переговоров, искусству презентаций и свободным английским «по умолчанию», мы получим человека в костюме и галстуке, который уверенно себя чувствует в кресле Board of Directors и не просит, а договаривается, опираясь на свои знания и авторитет.

Вернемся к проблемам ИБ-руководителя. Почти всегда в крупной компании служба ИБ находится в ведении одного из вице-президентов (по безопасности, ИТ, а иногда и по кадрам) и не имеет своего голоса на заседаниях высшего органа управления. В корпоративной иерархии «ибэшник» запрашивает что-то, например, у «айтишника», который передает этот запрос руководству, трансформировав его с учетом собственных взглядов и потребностей. В итоге получается не совсем то и так.

Хорошо, если в не очень бюрократизированной компании можно прыгнуть через промежуточную голову и поведать о своих проблемах непосредственно в «высоком» кабинете. Прекрасно, если хозяин этого кабинета способен понять вашу головную боль. Однако чаще всего он озабочен решением «более серьезных» задач и не понимает, почему внедрение дорогостоящей DLP-системы даст его предприятию рыночное преимущество. Мало того, классический «ибэшник» вряд ли удосужится объяснить ему, что внедрение любой системы защиты информации влечет за собой перестройку рабочих процессов и регламентов, и рассказать о том, какие риски за этим кроются и как их оптимизировать.

В данной ситуации выход один – постигать основы бизнес-менеджмента, изучать корпоративную кухню принятия решений, налаживать горизонтальные и вертикальные связи. Когда руководители других функциональных подразделений перестанут воспринимать службу ИБ как помеху бизнесу, это станет первым значительным успехом. Следующей задачей «ибэшника» будет укрепление своего влияния и авторитета за счет решения (в рамках его полномочий) проблем бизнес-подразделений.

Мы привыкли, что ИБ-специалист – в первую очередь, продавец страхов. А если постараться сломить шаблоны, освободив коллег от части страхов? Это вполне возможно при достижении взаимопонимания с бизнесом и разговоре с ним на одном языке.

Конечная цель эволюции менеджера по ИБ – место в совете директоров компании с правом голоса и прямым подчинением генеральному директору. Именно на позиции CISO, приближенной к «высокому телу» ровно так же, как CIO и прочие топ-менеджеры, он сможет не только эффективно защищать информационные активы, главную ценность организации, но и вносить вклад в рост ее конкурентных преимуществ, способствовать устойчивому и безопасному развитию бизнеса.

Радикально или рационально?

Путь от настройщика антивирусов до ИБ-стратега, определяющего корпоративные стандарты и регламенты, долог и тернист. С одной стороны, он означает постоянное накопление опыта и знаний в предметной области, с другой – личностный рост и превращение в сильного управленца.

Мы провели небольшой опрос коллег, работающих по обе стороны баррикад, т.е. представителей заказчиков и поставщиков средств защиты. Все они отметили важность бизнес-образования для повышения эффективности своей деятельности и востребованности на рынке труда. Однако выяснилось, что представления о необходимом и достаточном уровне погружения в тематику бизнес-менеджмента сильно различаются в зависимости от отраслей, в которых работают их компании, размеров бизнеса и корпоративной культуры.

Преобладают крайние точки зрения. Первая, радикальная, – нужно сразу проходить полное обучение по программе MBA. Вторая, рациональная, – следует расширять знания в смежных областях  (делопроизводство, кадры, юриспруденция, управление проектами), не забывая о международных сертификатах по ИБ-менеджменту, таких как CoBiT или CISM от ISACA.

Сертификаты Certified Information Security Manager (CISM) высоко котируются во всем мире и могут служить отправной точкой трансформации ИБ-специалиста в CISO. Успешное прохождение сертификации свидетельствует как об умении выстраивать правильные взаимоотношения между службой ИБ и бизнес-подразделениями с учетом их целей, так и о том, что специалист не только обладает экспертизой по технологиям защиты информации, но и способен разработать и реализовать программу ИБ-развития компании. Другими словами, фокус внимания смещается от локальных задач к стратегическому видению проблем ИБ.

Предпочтение того или иного сценария получения бизнес-образования, конечно, зависит от финансовых возможностей специалиста. Если работодатель поощряет профессиональное развитие ключевых сотрудников и видит необходимость в совершенствовании управленческих навыков руководителей отделов ИБ, то имеет смысл обучаться по полной программе MBA. Вопрос состоит в том, как правильно выбрать провайдера обучения.

Программ MBA в России – хоть отбавляй, но не все дипломы одинаково ценятся в деловой среде. Расценки тоже различаются. Для ориентира: стоимость двухлетней программы MBA для CIO и CISO в РАНХиГС составляет 432 тыс. руб. в год (модульный режим) и 480 тыс. руб. в год (вечерние курсы), а Высшая школа экономики предлагает 20-месячную программу MBA-IT за 496 тыс. руб. Очевидно, что далеко не каждый ИБ-специалист и даже руководитель рискнет получить такое образование за счет собственных средств, но если работодатель готов оплатить часть расходов под определенные обязательства сотрудника – другое дело.

С краткосрочными бизнес-тренингами все проще. Обычно они по карману любому специалисту, решившему заняться профессиональным развитием. Правда, таких предложений на порядок больше, поэтому легче попасть впросак. Выбирая провайдера, почитайте отзывы о курсах и конкретных преподавателях, выясните опыт работы компании на рынке обучения, получите подробное описание программы – она должна максимально соответствовать вашим потребностям.

Важна и форма занятий. Лекции, вебинары, лабораторные и самостоятельные работы, традиционные для предметной области ИБ, малоэффективны, когда речь идет о повышении уровня личной эффективности и мотивации, о развитии лидерских качеств. Неплохие результаты дают деловые игры с элементами командного состязания и мозговые штурмы, на которых имитируются типичные и нестандартные ситуации из реальной практики.

При всем богатстве выбора

Модульный подход к получению бизнес-образования, безусловно, проще и дешевле курсов MBA, но все зависит от амбиций и целей ИБ-специалиста. Некоторые получают удовольствие от инженерной работы, и менеджерские навыки им ни к чему. Другим достаточно вырасти до начальника службы ИБ, получать от руководства задания, кнуты и пряники и раздавать их подчиненным. Третьи хотят влиять на стратегию развития компании с позиций бизнес-рисков и повышения стоимости информационных активов.

При оценке профессионального уровня специалистов можно считать главными «показателями» навыки корпоративной работы и знание основ права. Руководителю по ИБ важно понимать основные бизнес-процессы организации, процедуры согласования и утверждения бюджетов, систему принятия управленческих решений. Он должен разбираться в договорной работе, поскольку штатные юристы могут не вникать в технические аспекты договоров на поставку, обслуживание оборудования и т.д., а ответственным на «накладки» оказывается сам «ибэшник». Юридические навыки важны  для чтения нормативно-правовых документов, регламентирующих защиту информации, и прогнозирования сценариев регулирования отрасли – это позволяет избегать лишних закупок техники и ПО или, напротив, заключать выгодные контракты, пока рынок еще спит. Соответственно, следует подбирать курсы, дающие такие знания.

Отношение опрошенных к уровню владения английским языком оказалось неоднозначным. Большинство считает, что этот уровень должен позволять хотя бы читать техническую документацию в Интернете. На наш взгляд, ИБ-руководитель, намеренный войти в состав топ-менеджмента крупной корпорации, обязан свободно владеть английским.

Начальник ИБ-отдела КБ «АйМаниБанк» и председатель правления НП ПСИБ Фарит Музипов считает первостепенными направлениями бизнес-обучения документооборот, управление персоналом и процессный подход к управлению. Он отмечает: хотя сертификат CISM можно получить в разных местах, ISACA правильно структурирует знания и четко расставляет акценты – как и чем должен заниматься менеджер по ИБ. До декабрьского скачка курса доллара подготовка и сдача экзамена CISM обходились примерно в 50 тыс. руб. Музипов уверен, что сертификация CISM эффективнее курсов повышения квалификации, поскольку на экзамене ISACA оценивается усвоение знаний, а удостоверения курсов часто выдают лишь по факту их посещения.

В соответствии с нетривиальной точкой зрения менеджера по ИБ группы компаний «Транзас» Евгения Родыгина, роль CISO умирает и трансформируется в CBSO (Chief Business Security Officer), поскольку в техническом плане ИБ эволюционирует с системного уровня на прикладной, а с прикладного – на уровень бизнеса. Но и в нынешней роли CISO – по сути, «центр перевода» с языка бизнеса на язык ИБ. Он должен так интерпретировать потребности отдела кадров, бухгалтерии, финансистов, «айтишников», чтобы поддерживать интересы бизнеса компании в целом. Кроме того, без поддержки бизнес-руководства ИБ-проекты не приживаются, поэтому их успешность во многом зависит от зрелости ИБ-руководителя, его вовлеченности в бизнес и доверия к нему. «Ибэшник» может поднять уровень зрелости всех бизнес-процессов, но чаще всего, с сожалением констатирует Родыгин, является всего лишь сисадмином и менеджером по паролям.

Вместо заключения приведем простую формулу. Если ИБ-руководитель хочет развиваться в бизнес-плоскости, а работодатель не позволяет ему этого делать, значит, пора менять компанию. Ну а если работодатель позволяет, ИБ-руководитель все равно должен менять свою компанию, только изнутри и в лучшую сторону.

На десерт

Это – рассказ начальника Управления ИБ компании «Северсталь» Алексея Волкова. «Я всегда учился. Пришла новая «железка», понадобилось обеспечить режим коммерческой тайны, защиту персональных данных или создать корпоративный стандарт по ИБ – сразу иду на соответствующие курсы. Когда появилась ERP, пошел на SAP-овские курсы по безопасности, но понял, что этого уже недостаточно, поскольку основные риски – не в инфраструктуре, а в бизнес-логике. Стал самостоятельно почитывать книжки на данную тему. Позже в компании стартовал проект культурной трансформации, начала создаваться новая бизнес-система, и меня принялись таскать на тренинги по личной эффективности, переговорам, деловому поведению и пр.

Сейчас бизнес ушел далеко вперед. Руководителями становятся молодые умные ребята, дерзкие и хваткие, ничего не боящиеся и готовые постоянно экспериментировать. Они работают в рамках закона, готовы выслушивать понятные им аргументы «ибэшников», но традиционные страшилки типа «будет плохо» на них не действуют – они не покупают риски, а принимают их. Для того чтобы запастись новыми методами взаимодействия и поддерживать свой авторитет в меняющейся среде, я пошел на MBA, где сейчас и учусь». 

Юрий Малинин, ректор АИС
Игорь Елисеев, заместитель директора по развитию АИС