Из «технаря» в CISO: как стать директором по ИБ и говорить на языке совета директоров

Многие сильные ИБ-специалисты видят себя в будущем, как директора по информационной безопасности (Chief Information Security Officer, CISO), но далеко не все доходят до этого уровня. Проблема не в отсутствии технической экспертизы — с ней как раз часто все в порядке. Сложнее научиться мыслить стратегически, разговаривать с бизнесом на его языке и защищать бюджеты так, чтобы их не урезали после первой же ревизии. Cyber Media разбирает, какой опыт действительно нужен будущему директору по ИБ, какие управленческие навыки чаще всего «ломают карьеру» технарей и как научиться выигрывать переговоры с финансистами.

Почему хороший инженер не всегда становится хорошим CISO

Существует расхожее мнение, которую можно услышать в ИБ-среде: «Я отлично знаю технологии, у меня за плечами десятки проектов по защите инфраструктуры, значит, я готов быть директором по ИБ». Увы, это не так. И это как раз та ошибка, из-за которой многие сильные инженеры застревают на позиции «вечного технаря».

Хороший инженер мыслит задачами: закрыть уязвимость, внедрить DLP, отразить атаку. Его мир — это четкие алгоритмы, технические отчеты и уровень CVSS. CISO же живет в другой реальности. Он не «чинит дырки», он управляет рисками. Совет директоров не интересуют IDS и SIEM, их интересует, сколько денег компания потеряет, если производство встанет на сутки.

Технический специалист привык действовать по принципу: «Есть угроза — нужно устранить». Управленец рассуждает иначе:

• Сколько стоит устранение угрозы?
• Какой риск мы готовы принять, а какой — нет?
• Как это повлияет на бизнес-процессы и доходность?

И здесь многие технари «проваливаются»: они приходят к руководству с аргументом «так надо для безопасности», а бизнесу важно услышать совсем другое — «так мы сэкономим 50 млн рублей, избежав простоя» или «так мы сохраним контракт с ключевым заказчиком».

CISO — это в первую очередь бизнес-партнер, а уже потом эксперт по кибербезу. И пока инженер не научится смотреть на угрозы глазами топ-менеджмента, повышений до уровня CISO не будет.

ФСТЭК, ФСБ и ЦБ: работа с регуляторами

Если вы хотите, чтобы вас воспринимали не как «очередного технаря с хорошими сертификатами», а как управленца уровня совета директоров, опыт взаимодействия с регуляторами — это must have.

Почему? Потому что работа с ФСТЭК, ФСБ и ЦБ учит главному — стратегическому мышлению. Это уже не история про «поставил галочку в чек-листе» или «прикрутил очередной криптомодуль». Это про умение переводить требования регуляторов на язык бизнеса: объяснять руководству, зачем нужны те или иные меры, какие риски они закрывают и чем чревато их игнорирование.

К тому же крупные регуляторные проекты — это всегда политика, деньги и репутация. Когда вы ведете сертификацию по ФСТЭК или согласовываете модель угроз с ФСБ, вы учитесь договариваться, защищать позицию и учитывать интересы всех сторон. Совет директоров это очень ценит: такие кейсы показывают, что вы умеете работать не только с логами, но и с людьми.

Егор Ляпустин Технический директор Trust Technologies

Направление информационной безопасности в принципе очень обширное. Помимо знания, понимания и применения Федеральных законов и подзаконных актов в области ИБ, в своей повседневной деятельности такому эксперту необходимо учитывать и специфику организации, в которой кандидат планирует возглавить направление ИБ. Это может быть банковская сфера, медицина, субъект КИИ и др. Но чаще всего минимальный набор, который есть в каждой организации, — это защита ПДн и КТ. А потому обязательный «джентльменский» набор для взаимодействия включает в себя трех регуляторов: Роскомнадзор, ФСТЭК и ФСБ.

Минимальный опыт — это успешное прохождение их плановых и внеплановых проверок по направлению. А участие в проверке на стороне регулятора будет безусловным бонусом.

В резюме кандидата на CISO должны быть хотя бы несколько проектов из этого списка:

• КИИ или значимые объекты. Участие в категорировании, разработке моделей угроз, построении системы защиты под требования ФСТЭК или ФСБ.
• Финансовый сектор. Проекты по соответствию требованиям ЦБ, например, по 683-П или 719-П — это показатель, что вы умеете работать в строго регламентированной среде.
• Персональные данные уровня 1. Успешное прохождение проверок Роскомнадзора или внедрение защиты в крупном ритейле/медицине.
• Сертификация или лицензирование. Опыт получения лицензии ФСТЭК/ФСБ или сертификации продукта тоже в копилку управленческих достижений.

Если в вашем опыте есть хотя бы два таких кейса, на уровне совета директоров вас уже будут воспринимать как человека, понимающего правила игры и способного их использовать в интересах бизнеса, а не просто как специалиста, который «отбивает требования регуляторов».

Три управленческих навыка, которые ломают карьеру технарям

Многие уверены: «Я шарю в технологиях, значит, рано или поздно стану CISO». Но реальность сложнее. Техническая экспертиза — это база, но без умения управлять людьми и бизнес-процессами ваши шансы надолго задержаться на уровне «крутого инженера» велики.

Финансовое мышление, умение делегировать и договариваться — это не «дополнительные опции», а обязательный набор для любого, кто мечтает о кресле CISO. Технарь, который продолжает жить только миром уязвимостей и патчей, остается ценным специалистом, но не становится управленцем.

Бюджетный бой: что действительно убеждает финансового директора

Все мы знаем этот бой: вы выходите к CFO с презентацией, на слайдах — красивые схемы угроз, диаграммы атак и слова вроде «Zero Trust» и «XDR». А CFO смотрит на вас и думает: «Сколько это стоит и зачем нам это вообще?»

Проблема в том, что многие ИБ-специалисты все еще пытаются защищать бюджет аргументом «так безопаснее». Для финансового директора это звучит как «давайте купим еще один дорогой замок, потому что... ну, замки — это важно».

Финансового директора не интересуют CVE и новые фичи в SIEM. Ему важны:

• риски, выраженные в деньгах;
• вероятность наступления этих рисков;
• влияние на бизнес-процессы и прибыль.

То есть, вместо «нужно обновить DLP, чтобы закрыть уязвимости» говорите:
«Утечка клиентской базы обойдется нам примерно в 30 млн рублей: штрафы, компенсации и падение продаж. DLP снижает этот риск в три раза. Цена вопроса — 2 млн в год».

Если удастся подкрепить цифрами по конкурентам, например: «у них утечка — минус 15% выручки за квартал», — это даст вам дополнительные очки убедительности.

Личный план развития для будущего CISO

Путь от технаря до директора по ИБ занимает в среднем 3–5 лет активной работы над собой. Но это не просто ожидание повышения — это постоянное развитие в нескольких направлениях:

• Учитесь говорить с бизнесом на его языке. Считайте риски в деньгах, оценивайте убытки от простоев, понимайте, как ИБ влияет на прибыль.
• Берите проекты, где безопасность напрямую связана с бизнесом, и берите за них ответственность. Чем больше кейсов с реальной пользой для компании, тем лучше.
• Ищите ментора среди действующих CISO — это самый быстрый способ понять, какие ошибки мешают росту.
• Прокачивайте «софт»: учитесь убеждать, презентовать идеи и делегировать. Тот, кто все еще лично лезет в логи и настраивает SIEM, в кресло CISO не садится.

В какой-то момент вас перестанут воспринимать как «крутого инженера» и начнут видеть управленца, который понимает, как безопасность влияет на деньги и развитие бизнеса. Вот тогда и появится реальный шанс пересесть в директорское кресло.

Заключение

Стать CISO — это не про звание и не про формальный рост. Это про смену мышления: от «чиню и защищаю» к «управляю рисками и влияю на бизнес». Техническая экспертиза остается важной, но перестает быть главным козырем — ее дополняют умение убеждать, считать деньги и видеть стратегическую картину. Если вы готовы учиться говорить на языке бизнеса, брать ответственность и работать не только руками, но и головой управленца — путь в директорское кресло вполне реален. Вопрос лишь в том, готовы ли вы перестать быть просто инженером.

Полную версию статьи читайте по ссылке.