Из «технаря» в CISO: как стать директором по ИБ и говорить на языке совета директоров

Многие сильные ИБ-специалисты видят себя в будущем, как директора по информационной безопасности (Chief Information Security Officer, CISO), но далеко не все доходят до этого уровня. Проблема не в отсутствии технической экспертизы — с ней как раз часто все в порядке. Сложнее научиться мыслить стратегически, разговаривать с бизнесом на его языке и защищать бюджеты так, чтобы их не урезали после первой же ревизии. Cyber Media разбирает, какой опыт действительно нужен будущему директору по ИБ, какие управленческие навыки чаще всего «ломают карьеру» технарей и как научиться выигрывать переговоры с финансистами.

Почему хороший инженер не всегда становится хорошим CISO

Существует расхожее мнение, которую можно услышать в ИБ-среде: «Я отлично знаю технологии, у меня за плечами десятки проектов по защите инфраструктуры, значит, я готов быть директором по ИБ». Увы, это не так. И это как раз та ошибка, из-за которой многие сильные инженеры застревают на позиции «вечного технаря».

Хороший инженер мыслит задачами: закрыть уязвимость, внедрить DLP, отразить атаку. Его мир — это четкие алгоритмы, технические отчеты и уровень CVSS. CISO же живет в другой реальности. Он не «чинит дырки», он управляет рисками. Совет директоров не интересуют IDS и SIEM, их интересует, сколько денег компания потеряет, если производство встанет на сутки.

Технический специалист привык действовать по принципу: «Есть угроза — нужно устранить». Управленец рассуждает иначе:

• Сколько стоит устранение угрозы?
• Какой риск мы готовы принять, а какой — нет?
• Как это повлияет на бизнес-процессы и доходность?

И здесь многие технари «проваливаются»: они приходят к руководству с аргументом «так надо для безопасности», а бизнесу важно услышать совсем другое — «так мы сэкономим 50 млн рублей, избежав простоя» или «так мы сохраним контракт с ключевым заказчиком».

CISO — это в первую очередь бизнес-партнер, а уже потом эксперт по кибербезу. И пока инженер не научится смотреть на угрозы глазами топ-менеджмента, повышений до уровня CISO не будет.

ФСТЭК, ФСБ и ЦБ: работа с регуляторами

Если вы хотите, чтобы вас воспринимали не как «очередного технаря с хорошими сертификатами», а как управленца уровня совета директоров, опыт взаимодействия с регуляторами — это must have.

Почему? Потому что работа с ФСТЭК, ФСБ и ЦБ учит главному — стратегическому мышлению. Это уже не история про «поставил галочку в чек-листе» или «прикрутил очередной криптомодуль». Это про умение переводить требования регуляторов на язык бизнеса: объяснять руководству, зачем нужны те или иные меры, какие риски они закрывают и чем чревато их игнорирование.

Дмитрий Михеев

Эксперт, технический директор компании «АйТи Бастион»

На мой взгляд, для большинства директоров по ИБ прямое взаимодействие с регуляторами — нечастая практика. Конечно, многое зависит от масштаба компании и специфики ее деятельности, но, как правило, это сводится к официальной переписке и сопровождению процедур аттестации.

Для решения подобных задач достаточно соблюдения установленных правил документооборота. Этому вполне можно научиться: со временем даже находишь в этом процессе определенное спокойствие и ритм. А вот выполнение рекомендаций и новых требований регуляторов, которые появляются с завидной регулярностью, — уже другая история. Здесь универсального подхода нет.

Одному человеку охватить весь объем точно не удастся. Чтобы претендовать на позицию управленца на уровне совета директоров, директору по ИБ необходимо выстраивать команду, способную обеспечивать непрерывность и зрелость ИБ-процессов. Важно проработать как формальные, так и практические аспекты: как внутри компании, так и во взаимодействии с регуляторами.

К тому же крупные регуляторные проекты — это всегда политика, деньги и репутация. Когда вы ведете сертификацию по ФСТЭК или согласовываете модель угроз с ФСБ, вы учитесь договариваться, защищать позицию и учитывать интересы всех сторон. Совет директоров это очень ценит: такие кейсы показывают, что вы умеете работать не только с логами, но и с людьми.

Егор Ляпустин

Технический директор Trust Technologies

Направление информационной безопасности в принципе очень обширное. Помимо знания, понимания и применения Федеральных законов и подзаконных актов в области ИБ, в своей повседневной деятельности такому эксперту необходимо учитывать и специфику организации, в которой кандидат планирует возглавить направление ИБ. Это может быть банковская сфера, медицина, субъект КИИ и др. Но чаще всего минимальный набор, который есть в каждой организации, — это защита ПДн и КТ. А потому обязательный «джентльменский» набор для взаимодействия включает в себя трех регуляторов: Роскомнадзор, ФСТЭК и ФСБ.

Минимальный опыт — это успешное прохождение их плановых и внеплановых проверок по направлению. А участие в проверке на стороне регулятора будет безусловным бонусом.

В резюме кандидата на CISO должны быть хотя бы несколько проектов из этого списка:

• КИИ или значимые объекты. Участие в категорировании, разработке моделей угроз, построении системы защиты под требования ФСТЭК или ФСБ.
• Финансовый сектор. Проекты по соответствию требованиям ЦБ, например, по 683-П или 719-П — это показатель, что вы умеете работать в строго регламентированной среде.
• Персональные данные уровня 1. Успешное прохождение проверок Роскомнадзора или внедрение защиты в крупном ритейле/медицине.
• Сертификация или лицензирование. Опыт получения лицензии ФСТЭК/ФСБ или сертификации продукта тоже в копилку управленческих достижений.

Если в вашем опыте есть хотя бы два таких кейса, на уровне совета директоров вас уже будут воспринимать как человека, понимающего правила игры и способного их использовать в интересах бизнеса, а не просто как специалиста, который «отбивает требования регуляторов».

Три управленческих навыка, которые ломают карьеру технарям

Многие уверены: «Я шарю в технологиях, значит, рано или поздно стану CISO». Но реальность сложнее. Техническая экспертиза — это база, но без умения управлять людьми и бизнес-процессами ваши шансы надолго задержаться на уровне «крутого инженера» велики.

Сергей Полунин

Руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис»

Первое — это умение делегировать. Это не только про CISO, но и про любого руководителя. Но в IT и ИБ крайне заметен перекос — молодые руководители просто не понимают, как можно доверить часть работы подчиненному и быть спокойным, что все будет сделано. Как проконтролировать, но не вникать в каждую деталь.

Второй момент — понимание финансовых показателей. Условный межсетевой экран у вас в серверной нужен для не для того, чтобы фильтровать соединения, а для того, чтобы бизнес зарабатывал деньги. Если вы не можете объяснить в финансовых терминах, для чего вам новый межсетевой экран – то становиться CISO вам пока рано.

И третье — это тоже касается многих IT- и ИБ-специалистов — это развитый эмоциональный интеллект. Способность коммуницировать с очень разными людьми — это то, что отличает эффективного руководителя. А коммуницировать вам придется, и зачастую вникать в проблемы, про которые вы не понимаете вообще ничего.

Финансовое мышление, умение делегировать и договариваться — это не «дополнительные опции», а обязательный набор для любого, кто мечтает о кресле CISO. Технарь, который продолжает жить только миром уязвимостей и патчей, остается ценным специалистом, но не становится управленцем.

Бюджетный бой: что действительно убеждает финансового директора

Все мы знаем этот бой: вы выходите к CFO с презентацией, на слайдах — красивые схемы угроз, диаграммы атак и слова вроде «Zero Trust» и «XDR». А CFO смотрит на вас и думает: «Сколько это стоит и зачем нам это вообще?»

Проблема в том, что многие ИБ-специалисты все еще пытаются защищать бюджет аргументом «так безопаснее». Для финансового директора это звучит как «давайте купим еще один дорогой замок, потому что… ну, замки — это важно».

Роман Паршин

Руководитель направления защиты гостайны «Инферит Безопасность» (ГК Softline)

Наиболее понятный и действенный аргумент — демонстрация конкретных финансовых рисков. Нужно показать, какие потери может понести компания при инцидентах и, как инвестиция в ИБ, позволит минимизировать риски. Например, обучение ИБ-сотрудников — это не только профилактика ошибок, но и защита репутации компании и ее доходов в будущем. Финансовому директору важно видеть прямую связь: инвестиции в ИБ — это инвестиции в безопасность и устойчивость бизнеса.

Финансового директора не интересуют CVE и новые фичи в SIEM. Ему важны:

• риски, выраженные в деньгах;
• вероятность наступления этих рисков;
• влияние на бизнес-процессы и прибыль.

То есть, вместо «нужно обновить DLP, чтобы закрыть уязвимости» говорите:
 «Утечка клиентской базы обойдется нам примерно в 30 млн рублей: штрафы, компенсации и падение продаж. DLP снижает этот риск в три раза. Цена вопроса — 2 млн в год».

Евгений Баклушин

Исполнительный директор КИТ (UDV Group)

Стоит начать с синхронизации с финансовым директором, какие метрики он считает показательными, какой путь их расчета считает наиболее корректным и т. д. Это упрощает задачу представления желания CISO (его бюджета) в правильном разрезе перед финансовым директором и другими руководителями С-уровня.

Конечно, самый простой и понятный аргумент при защите: «Система ИБ стоит Х млн руб., если ее не поставить, то потенциальный ущерб будет 10Х млн руб.».

Однако так в лоб далеко не всегда работает. С-уровень все-таки мыслит категорией защиты денежных потоков или поиском новых возможностей, а не защиты данных. Например, что без IAM компания не сможет запустить партнерство с азиатским банком «Х», что отложит выход на рынок Азии на 6 месяцев — потери ХХ млн рублей от ожидаемой выручки.

Если удастся подкрепить цифрами по конкурентам, например: «у них утечка — минус 15% выручки за квартал», — это даст вам дополнительные очки убедительности.

Личный план развития для будущего CISO

Путь от технаря до директора по ИБ занимает в среднем 3–5 лет активной работы над собой. Но это не просто ожидание повышения — это постоянное развитие в нескольких направлениях:

• Учитесь говорить с бизнесом на его языке. Считайте риски в деньгах, оценивайте убытки от простоев, понимайте, как ИБ влияет на прибыль.
• Берите проекты, где безопасность напрямую связана с бизнесом, и берите за них ответственность. Чем больше кейсов с реальной пользой для компании, тем лучше.
• Ищите ментора среди действующих CISO — это самый быстрый способ понять, какие ошибки мешают росту.
• Прокачивайте «софт»: учитесь убеждать, презентовать идеи и делегировать. Тот, кто все еще лично лезет в логи и настраивает SIEM, в кресло CISO не садится.

В какой-то момент вас перестанут воспринимать как «крутого инженера» и начнут видеть управленца, который понимает, как безопасность влияет на деньги и развитие бизнеса. Вот тогда и появится реальный шанс пересесть в директорское кресло.

Заключение

Стать CISO — это не про звание и не про формальный рост. Это про смену мышления: от «чиню и защищаю» к «управляю рисками и влияю на бизнес». Техническая экспертиза остается важной, но перестает быть главным козырем — ее дополняют умение убеждать, считать деньги и видеть стратегическую картину. Если вы готовы учиться говорить на языке бизнеса, брать ответственность и работать не только руками, но и головой управленца — путь в директорское кресло вполне реален. Вопрос лишь в том, готовы ли вы перестать быть просто инженером.