В 1995 году в Citibank появилась новая должность Chief Information Security Officer. Ее создали после того, как хакер Владимир Левин украл 10 миллионов долларов через межбанковскую сеть SWIFT. Тогда это решение казалось перестраховкой. Сейчас мы понимаем, что это был первый шаг к признанию кибербезопасности стратегическим направлением бизнеса, а не технической функцией.
История роли CISO отражение эволюции бизнеса в цифровую эпоху. Те, кто изучает эту историю, не просто набираются фактов. Они понимают, какие кризисы формируют профессию, как меняются ожидания от руководителей безопасности и почему сегодняшние требования к CISO выглядят именно так. Без этого знания легко остаться в прошлом, продолжая защищать периметр, когда бизнес уже перешел в облака и мобильные приложения.
Глобальная эволюция CISO от ИТ-администратора до члена совета директоров
Ранние CISO 1990-х были по сути старшими системными администраторами с расширенными полномочиями. Их задача сводилась к защите серверных комнат и управлению антивирусными программами. Весь мир изменился в 2002 году после скандала с Enron. Закон Сарбейнса-Оксли сделал безопасность финансовой отчетности обязательной для публичных компаний США. CISO внезапно получил доступ к кабинетам CFO и начал участвовать в стратегических решениях.
Подлинная трансформация произошла после 2013 года. Серия громких утечек — Target, Sony, Anthem — показала, что кибератаки могут уничтожить репутацию компании за несколько часов. Советы директоров начали спрашивать: «А у нас есть CISO? И что он говорит о наших рисках?» GDPR в 2018 году добавил финансовый стимул — штрафы до 4% глобального оборота. Это превратило CISO из контролера в бизнес-партнера.
Сегодня в 47% компаний из Fortune 500 CISO входит в совет директоров. В 2024 году после инцидента с атакой на Colonial Pipeline, которая остановила поставки топлива в восточные штаты США, роль CISO окончательно перестала быть технической. Теперь это стратегическая позиция, ответственная за выживание бизнеса в условиях кибервойн.
Российский путь CISO от начальника отдела до члена правления
В России эволюция пошла другим путем. До 2005 года «начальник отдела ИБ» существовал только в банках и спецслужбах. Его основная задача — соответствие требованиям ФСТЭК и защита от вирусов. Фактически это был технический специалист под началом ИТ-директора.
Первый переломный момент пришел с законом 152-ФЗ о персональных данных в 2006 году. Компании начали создавать позиции ответственных за ПДн, но эти люди редко имели реальную власть. Настоящая трансформация началась в банковском секторе после введения ЦБ требования 719-П в 2018 году. Банки были вынуждены создать дирекции ИБ с прямым подчинением председателю правления. Сбербанк, Тинькофф и ВТБ показали пример: CISO стал равен CFO по влиянию.
Промышленность и ритейл отставали до 2021 года, когда вступил в силу закон о КИИ (187-ФЗ). Атаки ransomware на российские предприятия в 2022-2024 годах стали последним катализатором. Владельцы бизнеса поняли, что кибератака может остановить предприятие на месяц и привести к банкротству. К 2025 году в топ-100 российских компаний 68 CISO подчиняются напрямую генеральному директору или совету директоров.
Разница между российским и западным путем очевидна. Западная эволюция шла от бизнес-требований через регуляторику к технической реализации. Российская — от регуляторных требований к осознанию бизнес-ценности. Сегодня эта разница стирается, но специфика остается: российскому CISO приходится одновременно быть экспертом по ФСТЭК/ЦБ и стратегом для бизнеса.
Карьерная лестница ИБ как прыжки с парашютом без инструкции
Многие технические специалисты мечтают стать CISO, но не понимают, что это разные профессии. Технический эксперт решает конкретные задачи: настроить SIEM, закрыть уязвимость, расследовать инцидент. Руководитель группы учится управлять людьми и процессами. CISO же управляет бизнес-рисками и влияет на стратегию компании.
Первый этап — переход от технического специалиста к руководителю группы. Здесь главная ловушка — попытка делать всю техническую работу самому. Успешные руководители понимают: их ценность в расстановке приоритетов и защите команды от хаотичных запросов. Один мой коллега оставался ночевать в офисе два раза в неделю, закрывая инциденты вместо своих подчиненных. Результат — выгорание команды и его собственное увольнение через полтора года.
Второй этап — становление директором по ИБ. Здесь технические знания становятся необходимым минимумом. Главное — умение говорить с бизнесом на его языке. Вместо «нужен EDR» вы объясняете: «без современной системы обнаружения угроз мы теряем 3% клиентов после каждой утечки данных. Инвестиция в EDR окупится за 8 месяцев за счет сохранения лояльности». Это принципиально иной подход.
Третий этап — превращение в CISO топ-100 компаний. Здесь технические детали вообще уходят на второй план. Вас оценивают по тому, как вы защищаете репутацию компании, снижаете регуляторные риски и помогаете бизнесу расти. Я помню историю, когда CISO одного из крупнейших ритейлеров согласовал запуск новой линейки онлайн-торговли с критикой безопасности. Вместо запрета он предложил поэтапную реализацию с минимальными рисками. Бизнес получил новые каналы продаж, а ИБ — доверие руководства.
Построение личной карты развития за три шага
Ваша карта развития CISO строится на честной самооценке. Сядьте с листом бумаги и проведите три линии — технические навыки, управленческие компетенции, бизнес-понимание. Оцените себя по каждой от 1 до 10. Большинство технических специалистов имеют 8-9 по первой линии и 2-3 по двум другим.
Теперь определите, какой этап ваш текущий. Если вы руководитель группы, ваша цель — научиться управлять не людьми, а рисками. Это значит понимать не только как работает SIEM, но и как его эффективность влияет на финансовые показатели компании. Замеряете время обнаружения угроз? Переведите это в потенциальные убытки от простоя системы.
Если вы уже директор по ИБ, сосредоточьтесь на бизнес-переговорах. Практикуйтесь переводить технические потребности в бизнес-выгоды. Вместо «нужен дополнительный аналитик в SOC» говорите: «инвестиция в расширение SOC снизит время реагирования на инциденты с 4 часов до 30 минут, что сохранит нам 200 миллионов рублей годовой выручки от простоя критических систем».
Для тех, кто стремится в члены правления, главное — стратегическое видение. Учитесь видеть связи между кибербезопасностью и другими рисками компании: финансовыми, репутационными, операционными. CISO, который может предсказать, как атака на поставщика повлияет на производство и стоимость акций, всегда будет в фокусе внимания совета директоров.
Практическое задание ваш личный план до позиции CISO
Возьмите чистый лист и разделите его на три колонки: текущая позиция, навыки для следующего этапа, конкретные действия в ближайшие 6 месяцев. Не пишите абстрактные цели вроде «развить лидерство». Конкретизируйте: «провести три переговора с финансовым директором без технического жаргона», «внедрить метрику времени реагирования на инциденты, связанную с убытками бизнеса».
Добавьте четвертую колонку — риски. Что может помешать вашему развитию? Для технических специалистов это часто сопротивление менеджмента новым подходам. Для руководителей нехватка бизнес-образования. Честное признание рисков помогает подготовиться к ним заранее.
Самое важное в этом задании не идеальный план, а начало движения. Я видел, как талантливые специалисты годами откладывали карьерный рост, ожидая «идеального момента» для перехода на управленческую позицию. Идеального момента не бывает. Есть момент, когда вы решаетесь сделать первый шаг и учиться на практике.
Почему история повторяется но не для тех кто ее помнит
Российский рынок ИБ сегодня переживает тот же этап, который Запад прошел 10-12 лет назад. Это подарок для тех, кто готов учиться на чужих ошибках. Западные CISO 2010-х годов тратили годы, чтобы доказать бизнесу ценность безопасности. Сегодня российским коллегам этот путь не нужен рынок уже понимает важность ИБ после волн атак ransomware.
Но есть и ловушка. Многие руководители ищут готовые шаблоны из западной практики, забывая о российской специфике. Нельзя копировать модель управления ИБ из европейского банка и внедрять ее в российскую промышленную компанию, где главный риск не утечка данных клиентов, а остановка производственного процесса.
Успешные CISO будущего будут теми, кто сочетает глобальные тренды с локальной адаптацией. Они знают историю своей профессии, но не копируют прошлое. Они понимают бизнес-модель своей компании лучше, чем ее конкуренты, и используют безопасность как конкурентное преимущество, а не как центр затрат.
Помните историю с Владимиром Левиным и утечкой из Citibank? Сегодня мы бы назвали это инцидентом с критическим влиянием на репутацию. Тогда это было просто «взломом». Язык меняется, но суть остается: безопасность определяет выживание бизнеса в цифровую эпоху. Ваша карьера в ИБ — это не рост по служебной лестнице. Это постоянное расширение влияния на будущее компании.
А задумывались ли вы, что ваш следующий карьерный шаг определит не столько ваши технические навыки, сколько способность заставить бизнес поверить в ценность безопасности? Иногда самый сложный инцидент просто переговоры с генеральным директором, который считает ИБ «необходимым злом». И от того, как вы с ним справитесь, зависит не только ваша зарплата, но и безопасность всей компании.
#CISO #историяИБ #кибербезопасность #информационнаябезопасность #карьераCISO #цифровойбизнес #стратегическаяИБ #управлениеИБ #рискменеджмент #бизнесИБ #регуляторныетребования #цифроваятрансформация