Журнал "Директор по безопасности" Январь 2021 | Page 8

Комплаенс – это беда для ИБ . Особенно для России , где излишнее число регулирующих требований

« Цифровая трансформация глубоко входит в бизнес-процессы , и любой бизнесмен , и CDO или CDTO обязан понимать в цифровой трансформации уровень рисков , которые она несет , как эти риски нивелировать и принимать . А это уже часть понимания безопасности . А безопасность не умеет оценивать и объяснять свою эффективность с точки зрения бизнеса и учитывать стратегию развития бизнеса в своей деятельности . Сколько потерь предотвращено , сколько денег сохранено , на сколько наши сервисы позволили сократить время сделки , насколько сократился цикл вывода продукта на рынок и т . д . Для этого ИБ должны идти в бизнес и разбираться в бизнес-процессах , тогда роль безопасности сильно поднимется ».

Еще одна опасность слабой интеграции в бизнес – недостаточное влияние на развитие культуры кибербезопасности в компании и ограниченные возможности делать это грамотно , системно и удобно для сотрудников ( и что не менее важно – для руководителей ). Мы можем добавить от себя , что именно от руководителей служб зависит понимание топ-менеджментом важности этой задачи :

« Отношение сотрудников к задачам ИБ – вопрос не к исполнителям , а к руководству . Если бизнес поймет , что через обучение сотрудников он сможет спать спокойно , то заставит специалистов на местах выполнять правила , учиться , расширять свои знания . А если бизнесу это не нужно , а нужно только ИБ – работать ничего не будет ».

По большому счету , требование « понимать бизнес », сформулированное практически всеми участниками исследования , означает , что руководитель службы ИБ должен внедрять и развивать модель бизнес-партнерства , наподобие HR бизнес-партнера . Нынешнее время настоятельно диктует необходимость осмыслить круг функциональных обязанностей этой ( относительно ) новой задачи для руководителя ИБ . В дополнение к этому , возникают и совершенно иные требования к профессиональным качествам и компетенциям сотрудников служб безопасности .

Барьер № 3 . Профессиональные компетенции

Третий тип барьеров – недостаток профессиональных компетенций , что вызвано изменившимися запросами к роли и функционалу служб ИБ в компаниях . Наиболее существенными барьерами с точки зрения опрошенных экспертов оказались следующие .

Условия , при которых сформировались профессиональные навыки прежней генерации специалистов ИБ , мешают им адаптироваться к сегодняшней постоянно меняющейся среде .

Сложность в развитии и поддержке на актуальном уровне « hard skills ».

Катастрофическая нехватка « softskills », отвечающих за гибкость , поддержку инициатив , умение договариваться о партнерстве и кросс-функциональном сотрудничестве , умение находить компромиссы .

Отсутствие у СБ желания и / или возможности профессионально развиваться – бесплатная информация не ценится , а на платную необходимо добывать бюджеты .

Отсутствие умения и зачастую готовности обучать , проводить занятия и тренинги для сотрудников , развивать и проводить исследования культуры кибербезопасности , выстраивать партнерство с HR для решения этих задач .

« Естественная » установка сотрудников ИБ сохранять статус-кво , тогда как более плодотворной является стратегия на критическую оценку устоявшегося , постоянное тестирование имеющихся решений с точки зрения актуальных угроз и рисков .

Общее мнение экспертов – сфера информационной безопасности стоит на пороге смены генерации безопасников . « СБ / ИБ трудно менять свое мышление . Чаще всего это модели “ обороны от врагов ” и “ лояльность регулятору ”. Необходимость смены генераций назрела давно , но идет сложно », – делится своими соображениями один из руководителей крупной российской ИТ-компании . Речь идет не о возрасте , а об образе мышления и о наборе « hard » и « soft » компетенций , без которых сотруднику безопасности трудно соответствовать требованиям развивающегося или выживающего в кризис бизнеса .

« Надо признать , что в массе своей они консерваторы . Исключения есть , но в основном – это безопасники предыдущего поколения . Они получали образование в то время , когда не только про цифровую трансформацию было непонятно , об информатизации мало кто говорил . Они в основном занимались борьбой с техническими разведками , защитой государственных тайн . Они , обладая колоссальным опытом в этой сфере , не могут адаптироваться под новые реалии , под цифровую трансформацию , под гибкий бизнес , под международное сотрудничество , да и просто под открытие периметра с другими компаниями . А бывшие сотрудники регуляторов – тем более . Должно смениться поколение сотрудников безопасности прежде , чем они смогут поменять свою роль в организации , и понимать , что не они диктуют , а бизнес диктует подход – что они должны учитывать стратегию развития бизнеса в своей деятельности ».

Одним из важных « поколенческих » индикаторов является установка на обучение , повышение квалификации и актуализацию своих профессиональных знаний . Один из наших собеседников предостерегал нас от наивного доверия рассказам о трудностях и барьерах , о которых ему постоянно приходится слышать . Очень часто за разговорами о недостатке ресурсов , о непонимании со стороны бизнеса лежит собственная неготовность развиваться :

« Есть категория , “ ИБ-нытики ”. Они всегда говорят про ресурсные ограничения . Им надо просто учиться . Развиваться , выходить за рамки , переформатировать себя . Либо ты просто в коробочке сидишь ».

Отчасти задачи поддержки профессиональных компетенций и получения новых знаний решаются неформальной поддержкой коллег – через профессиональные « клубы » и профильные сообщества , сети знакомств и личные образовательные инициативы кого-то из экспертов . Однако это не отменяет необходимости в специализированной образовательной среде , которая бы решала эти задачи на регулярной и систематической основе и имела бы достаточно сильную репутацию как среди специалистов , так и среди руководителей компаний .

В завершение второй статьи данного цикла публикаций хотим заметить , что кризис безусловно обострил запрос на « новое поколение » специалистов и в области ИБ , и в сфере корпоративной безопасности в целом – не в смысле возраста , а в плане « образа мышления ». Очевидно , что традиционное прочтение ролей и функций ИБ и набор существующих компетенций не отвечает требованиям сегодняшнего времени . На каждый приведенный выше барьер индустрии ИБ придется в той или иной найти ответ , и а на каждое назревшее изменение – подобрать подходящий способ решения .

Именно поэтому , в следующем выпуске цикла мы расскажем об изменении в функционале и статусе ИБ в российских компаниях , перспективах развития бизнес-компетенций в индустрии ИБ , о репрофессионализации деятельности специалистов по кибербезопасности и о многом другом . До новых встреч на страницах журнала « Директор по безопасности »!