Руководитель информационной безопасности в современной компании проводит большую часть времени не за настройкой SIEM-систем и DLP-решений, а за столом переговоров с ключевыми фигурами бизнеса. Его успех определяется не техническими навыками, а способностью находить общий язык с людьми, которые контролируют бюджеты, принимают решения и влияют на культуру организации.
С кем разговаривает руководитель информационной безопасности ежедневно
Заинтересованные стороны руководителя по информационной безопасности представляют собой не абстрактные должности в оргсхеме. Перед нами живые люди с собственными страхами, амбициями и представлениями о приоритетах. Генеральный директор думает о репутации и финансовых потерях. Финансовый директор беспокоится, как вписать ваши расходы в бюджет. Юристы видят только регуляторные риски. Бизнес-линии раздражаются, когда безопасность тормозит запуск нового продукта. А рядовые сотрудники воспринимают вас как человека, который запрещает пользоваться удобными инструментами и требует сложных паролей.
В компаниях с устоявшейся корпоративной культурой к этой картине добавляется еще один слой. Здесь часто смешаны роли и зоны ответственности. Бывает, что технические решения принимает не технический директор, а человек с влиянием у владельца бизнеса. Иногда финансовые ограничения диктует не финансовый директор, а бывший однокурсник генерального директора. Я замечал, что в региональных подразделениях связи между безопасностью и бизнесом строятся иначе, чем в головных офисах. Люди важнее формальных позиций.
Карта влияния почему одни голоса громче других
Матрица влияния и интереса представляет собой не просто инструмент из учебника MBA. Перед нами живая карта, которую нужно постоянно обновлять. Высокое влияние и интерес характеризуют вашего генерального директора и, возможно, главного финансиста. Их нельзя терять из виду. Регулярные короткие обновления лучше громоздких отчетов. Высокое влияние но низкий интерес отличают часто юридический отдел или внешних аудиторов. Им нужны четкие факты и соответствие требованиям, а не детали процессов. Низкое влияние но высокий интерес проявляют энтузиасты из разных отделов.
С ними можно тестировать новые подходы и собирать обратную связь. Низкое влияние и низкий интерес не делают людей бесполезными. Они могут стать вашими союзниками в будущем.
Однажды я видел, как новый руководитель службы информационной безопасности потратил три месяца на подготовку идеальной системы мониторинга угроз. Он не заметил, что главный инженер считает это пустой тратой времени. Внедрение провалилось. А его коллега в другой компании начал с того, что просто пил кофе с ключевыми людьми, слушая их основные проблемы. За те же три месяца он собрал команду из разных отделов, которая сама запросила улучшение безопасности.
Как говорить с генеральным директором на одном языке
Взаимодействие с руководством отличается от продаж в классическом понимании. Перед нами перевод технических рисков в бизнес-термины. Генеральному директору не важно, сколько у вас SIEM-систем или какие алгоритмы шифрования. Ему важно понимать, что именно может сломаться, сколько это будет стоить и как это повлияет на его отношения с партнерами или регуляторами.
Вместо фразы «Нам нужны средства на модернизацию DLP-системы» попробуйте: «Без новых решений мы рискуем потерять контракт с ключевым клиентом из-за утечки их данных. Инвестиции сегодня предотвратят потери в размере годового контракта». Сравните цифры. Не говорите, что кибератаки выросли на 15 процентов. Скажите, что каждая атака такого типа в вашей отрасли в среднем обходится в сумму, равную двум зарплатным фондам вашего ИТ-отдела.
Я часто вижу, как руководители по информационной безопасности ошибочно считают, что генеральный директор должен разбираться в технических деталях. Подобное представление оказывается иллюзией. Ваша задача упростить сложное, но не упрощать суть. Показать последствия без запугивания. Привести аналогии из его опыта. Если он пришел из производства, сравните кибербезопасность с охраной склада или контролем качества. Если из продаж, объясните, как защита данных повышает доверие клиентов.
Соседи по офису: технические и бизнес-руководители
Взаимодействие с коллегами по руководству представляет собой баланс между сотрудничеством и конкуренцией за ресурсы. Руководитель информационных технологий отвечает за стабильность и эффективность ИТ. Технический директор думает о новых технологиях и инновациях. Руководитель аналитических проектов управляет данными как стратегическим активом. У каждого свой набор KPI и свой взгляд на безопасность.
Руководитель ИТ часто воспринимает вас как ограничение. Ваша задача показать, что безопасность позволяет избежать простоев и штрафов, а не просто тратить деньги. Технический директор видит в вас тормоз для экспериментов. Докажите, что вы можете ускорить внедрение новых решений, если заранее заложить защиту. Руководитель аналитических проектов беспокоится, что требования безопасности сделают данные недоступными для аналитики. Предложите решения для безопасного доступа к информации, а не ее полной блокировки.
В одной компании конфликт между руководителем безопасности и техническим директором едва не привел к увольнению обоих. Технический директор хотел быстро внедрить облачные сервисы, руководитель безопасности требовал двухмесячного аудита. Компромисс нашли, когда поняли, что оба хотят одного, чтобы бизнес рос без инцидентов. Начали с пилотного проекта на небольшом направлении. Это сработало. Теперь они проводят совместные встречи раз в две недели.
Первые 90 дней как не утонуть в деталях
Первые три месяца на позиции руководителя службы информационной безопасности определяют успех дальнейшей работы. Список действий должен быть реалистичным, а не идеальным.
Первые две недели слушайте больше, чем говорите. Встретьтесь с каждым ключевым заинтересованным лицом один на один. Узнайте их основные проблемы, страхи и как они видят вашу роль. Записывайте не только слова, но и невербальные реакции.
К концу первого месяца определите три самые серьезные угрозы для бизнеса здесь и сейчас. Не пытайтесь решить все проблемы сразу. Выберите те, где можно показать быстрый результат.
К 60 дням представьте план не как техническую документацию, а как историю с началом (текущее состояние), серединой (ваши шаги) и концом (бизнес-выгоды). Включите конкретные цифры и сроки.
К 90 дням запустите один заметный проект, который улучшит безопасность и заметят все. Это может быть упрощение процесса смены паролей или защита одного ключевого сервиса.
Не пытайтесь доказать свою компетентность через сложные термины. Лучше признать, что чего-то не знаете, но найдете ответ. Люди ценят честность больше чем иллюзию всезнайства.
Практическое задание которое изменит ваше положение
Возьмите лист бумаги или цифровой документ. Нарисуйте таблицу с четырьмя колонками: имя человека, его формальная роль, реальное влияние (по шкале от 1 до 10), его главная проблема связанная с безопасностью. Затем добавьте пятую колонку как вы можете помочь решить эту проблему.
Это упражнение кажется простым, но работает. Один руководитель безопасности в крупном банке потратил на него неделю. Он обнаружил, что главный бухгалтер боится штрафов за утечки клиентских данных. Руководитель безопасности предложил ей совместный отчет для регуляторов, где она стала соавтором. Такой подход выстроил доверие лучше любых технических презентаций.
Почему это работает когда другие методы проваливаются
Большинство руководителей безопасности начинают с технических аудитов и требований к бюджету. Подобный подход часто оказывается ошибочным. Безопасность представляет собой не функцию, а культуру. А культура строится через людей. Когда вы понимаете, что для финансового директора безопасность означает способ избежать непредвиденных расходов, а для руководителя продаж гарантирует сохранение клиентов, ваши предложения перестают быть абстрактными.
Самый частый вопрос, который мне задают после тренингов: «А если генеральный директор вообще не интересуется безопасностью?». Ответ прост: найдите его точку напряжения. Может, это страх перед конкурентами, которые получат доступ к вашим разработкам. Или волнение перед выходом на новый рынок, где требования к защите данных жестче. Или просто гордость за компанию. Подключитесь к этому.
Что я бы сделал иначе зная то что знаю сейчас
Если бы я начинал сегодня, я бы потратил первые две недели не на изучение систем, а на изучение людей. Мне нужно понять их неформальные связи, то, как принимаются решения в компании, кто действительно влияет на распределение ресурсов. Технические решения придут позже. Без поддержки ключевых фигур даже самый продуманный план останется на бумаге.
Кибербезопасность это не война против угроз. На самом деле это постоянный диалог с бизнесом. Ваша задача не построить неприступную крепость, а сделать так, чтобы бизнес мог развиваться, не опасаясь катастроф. Перед нами гораздо более тонкая и сложная работа, чем просто настройка систем защиты.
#технологии #IT #бизнес #информационнаябезопасность #кибербезопасность #управление #стратегия
Читайте нас в Telegram: https://t.me/seberd_ru