Оглянитесь на сообщество CISO, и вы везде найдете признаки эмоционального выгорания. Там, где директора по информационной безопасности не просто увольняются, вы обнаружите растущее напряжение между ними и их руководителями, что иногда приводит к неожиданным увольнениям. Угостите дружелюбного директора по информационным технологиям своим любимым алкогольным напитком и пообещайте не подписывать записи, и вы услышите истории, которые вызовут у вас раздражение: директоров по информационной безопасности подталкивают к тому, чтобы ввести Правление в заблуждение, директоров по информационной безопасности увольняют, когда они указывают на проблемы с безопасностью, директоров по информационной безопасности с которыми другие руководители не разговаривают, проекты по обеспечению безопасности выполняются, а затем лишаются финансирования.
Директора по информационной безопасности общаются друг с другом, и стресс в отрасли становится реальным, нарастающим и представляет собой серьезную проблему.
Хотя мое любимое юмористическое определение стресса — это «то чувство, когда вы подавляете желание избить того, кто этого заслуживает», я предпочитаю думать о стрессе просто как о затрате энергии, которую вы платите, когда мир и ваши ожидания не совпадают. Когда в мире что-то неожиданно идет не так, вы испытываете стресс. Этот стресс усугубляется тем, что вам приходится тратить время на решение ситуации, к которой вы не были готовы. Но мы слышали все эти истории от наших сверстников, мы готовы, так почему же мы все еще в стрессе?
Это все в названии. Главный Сотрудник по информационной безопасности (или, если вы действительно круты, просто начальник службы безопасности). Тот «Шеф» поначалу возлагал на себя массу весомых ожиданий. Вы сделали это. Ты на вершине кучи. Вы являетесь частью C-Suite, исполнительной команды, которая руководит бизнесом.
Или не.
Опрос за опросом пытается выяснить, перед кем «подотчетен» директор по информационной безопасности, и результаты довольно печальны: директор по информационной безопасности не подчиняется генеральному директору. Есть некоторые опросы, в которых определение «отчитывается» не очень точно, поэтому сообщайте большие цифры, поэтому позвольте мне пояснить: если вы отчитываетесь перед генеральным директором, то вы участвуете в собрании персонала генерального директора. Не расширенное ежемесячное совещание руководства с участием 30 человек, а еженедельное совещание с участием примерно десяти человек: генерального директора, финансового директора, главного юрисконсульта, CRO, CMO, CHRO, CTO, CPO, COO, CIO (возможно) и генерального директора. Начальник штаба. Это собрание, на котором принимаются решения.
Большое собрание руководства, на котором ты собираешься присутствовать? Здесь вам сообщают, каковы решения. Может быть, вам и приходится вносить небольшие коррективы в решения, но вы редко можете повлиять на важное решение, если вы не в маленькой команде.
И это ваш источник стресса. Вместо того, чтобы исходить от главы службы безопасности во время принятия каждого решения, он должен поступать постфактум. CHRO может пресечь плохие идеи в зародыше, но вам придется приложить серьезные усилия, чтобы бороться с той, которая уже катится под откос. ИТ-директор уже обязался (или, что более вероятно, был вынужден принять) меры по сокращению расходов, которые повлияют на безопасность, еще до того, как кто-либо за этим столом даже услышал слово «риск». Люди всегда принимают решения на основе первых впечатлений, а затем задним числом оправдывают свой выбор, и высшее руководство не является исключением. Если вы здесь не для того, чтобы влиять на решение, то не имеет значения, какова ваша должность: вы не входите в состав высшего руководства.
Наша профессия обречена навсегда? Конечно, нет. Профессия CIO только недавно завершила свой переход в C-Suite, и есть ранние признаки того, что по мере того, как каждый бизнес становится технологическим бизнесом, они будут каким-то образом объединены с ролью CTO или CPO. Директора по маркетингу все еще выходят из-под управления продажами, поскольку компании понимают, что «закрытие сделок» — это не то же самое, что управление вашим брендом и воронкой продаж.
Безопасность входит в первую десятку рисков почти каждой компании из списка Fortune 500 (если она еще не входит в первую пятерку). Это не будет должным образом решено, если директор по информационной безопасности всегда бегает и убирает проблемы, созданные решениями, принятыми в комнате без присутствия службы безопасности. Директор по информационной безопасности, с которым часто обращаются как с пресловутым танцующим медведем — появляется по требованию и выполняет процедуру «разоблачения безопасности» для Совета, чтобы успокоить их, а затем возвращается к попыткам заполнить вакансии с неконкурентной зарплатой, преследуя инцидент за инцидентом. — это не рецепт успеха сейчас или в будущем.
Но до тех пор, пока директор по информационной безопасности не будет по-настоящему интегрирован в топ-менеджеры и основные решения не будут приниматься его советом, компании и директора по информационной безопасности будут продолжать расплачиваться за это.
© 2022 IDG Communications, Inc.
https://cyberxhack.org/