“Когда отчитываешься перед CTO, но от его решений зависит, будет ли тебя слушать директор по безопасности — ты уже не просто выполняешь приказы, а работаешь в трёхмерном поле. В этой статье — техника маневрирования без прямых полномочий, которая решает вопросы там, где формальные каналы работают со скрипом.”
Что на самом деле означает «управление вбок»
Если управление «вверх», это отчётность руководству и согласование бюджета, а управление «вниз», это постановка задач подчинённым, то управление «вбок», это влияние на коллег, которые не находятся в твоём прямом подчинении и, как правило, не обязаны тебя слушать. Это особенно актуально для специалистов по информационной безопасности и регуляторики ФСТЭК, 152-ФЗ, которые формально часто подчиняются директору по информационной безопасности, но по факту их работа блокируется или тормозится решениями CIO, CTO или CDO. Непонимание между технарями и «регуляторщиками» — классическая история: разработчики видят в требованиях ФСТЭК бюрократические препоны, а специалисты по ИБ видят в скоростной разработке — угрозы.
Техника «управления вбок», это набор приёмов, который позволяет безопасникам выстраивать рабочие отношения с техническими и бизнес-лидерами на равных, не апеллируя постоянно к начальству. Цель — не «победить» и навязать свои правила, а создать ситуацию, где ваши цели — защита информации и соответствие требованиям — становятся частью их собственных приоритетов.
Три ключевых фигуры: CIO, CTO, CDO — где у каждого «болит»
Чтобы управлять вбок, нужно понять мотивацию и болевые точки человека, с которым вы взаимодействуете. Один и тот же аргумент про «требования 152-ФЗ» будет звучать по-разному для каждого из этих руководителей.
CIO: Операционная стабильность и бюджет
Главная задача CIO (Chief Information Officer) — обеспечить бесперебойную работу всей корпоративной IT-инфраструктуры. Его ключевые показатели — uptime, производительность систем, управление IT-бюджетом. Безопасность для него, это один из рисков, который может нарушить стабильность. Подход к CIO:
- Говорите на языке рисков и простоев. Вместо «нужно установить DLP» скажите: «Уязвимость в системе обмена документами без DLP создаёт риск утечек, что может привести к простою системы по решению ФСТЭК на 30 дней для проверки. Это повлияет на uptime ваших сервисов».
- Привязывайте затраты к предотвращению убытков. Обосновывайте бюджет на средства защиты кибербезопасности не как расход, а как страховку от инцидента, который обойдётся в разы дороже (включая штрафы по 152-ФЗ).
- Предлагайте решения, которые не усложняют администрирование. CIO не любит решения, которые создают дополнительную нагрузку на его команду админов. Ищите варианты с централизованным управлением.
CTO: Технологии, инновации и скорость
CTO (Chief Technology Officer) сфокусирован на продукте, технологическом стеке и скорости вывода решений на рынок. Его главный страх — что «закостенелая безопасность» будет тормозить циклы разработки. Подход к CTO:
- Встраивайте безопасность в процесс разработки (DevSecOps). Предложите не «проверку в конце», а инструменты автоматического сканирования кода на уязвимости (SAST), проверки зависимостей, которые работают внутри CI/CD-пайплайна.
- Говорите на языке технического долга</strong. Уязвимости, это тот же технический долг, только с потенциальными регуляторными последствиями. Предложите план по его «погашению»: «Давайте включим критичные патчи безопасности в каждый второй спринт».
- Будьте советником, а не контрол