В последний месяц минувшего года, участвуя в ряде расследований нескольких крупных компаний в Казахстане, не раз повторял в голове классическую менеджерскую присказку из книги Дейва Логана – «культура ест стратегию на завтрак». Уж к ИБ-культуре это точно относится.
Принято считать, что корпоративная культура формирует некий ореол обитания, в котором персонал и топ-менеджмент взаимодействуют друг с другом. Культура отвечает на вопрос «как», и в случае с ИБ этот вопрос звучит следующим образом: «Как мы защитимся от киберугроз, если наши сотрудники до сих пор отправляют деньги в ответ на нигерийские письма и переводят сбережения на «безопасный счет в Нацбанке»?
Чем больше я общаюсь с директорами по безопасности, тем чаще слышу: «А что делать с людьми? Как создать систему, которая будет наполнять вертикали бизнеса, его структуру энергией кибербезопасности?» Если эту статью читает собственник или СЕО, хотел бы предложить ему честно ответить на важные ИБ-вопросы, опираясь на свои личные ценности и принципы.
- Считаете ли вы, что если штраф за нарушение в области ИБ (к примеру, за утечку данных) небольшой, а иное наказание отсутствует, то легче дождаться инцидента, чем вкладывать на порядок больше денег в системы безопасности?
- Если какой-то ресурс, запрещенный ИБ-политикой компании, мне понадобится открыть со своего корпоративного устройства, буду ли я звонить директору по ИБ, чтобы сделать ресурс доступным для меня?
- Если к вам в приемную одновременно и неожиданно придут финансовый директор и директор по кибербезопасности, выберете ли вы принять первым финансового директора?
Если хотя бы на один вопрос вы ответили «да», у меня для вас плохие новости.
Что же стоит предпринимать первому руководителю?
Подходить по-визионерски к набору и развитию персонала в ИБ
Искать людей, имеющих нужные образование и квалификацию можно, но встретить динозавра будет быстрее. При помощи бизнес-партнеров HRD запланируйте и реализуйте как минимум годовой план повышения квалификации, переподготовки и сертификации ИБ-кадров.
Если внутри компании люди любят технологии, квесты, «шарят» в теме бигдаты, ИИ и машинного обучения – предлагайте им переквалификацию, работайте с ними в формате наставничества, поддерживайте развитие через хакатоны и акселераторы, растите кадровый резерв на два-пять лет вперед.
Помимо уверенности в зрелости и владении практическими навыками, вы можете повысить лояльность команды и ее вовлеченность во время атаки. Цель продуманных программ – развитие не только технических навыков, но и понимания, как использовать их в контексте роли и набора задач.
Создавать в ИБ прозрачную управленческую, мотивационную и коммуникационную культуру
Когда мы привлекаем новых людей в команду, то должны убедиться, что они имеют ясные моральные ориентиры, умеют постоять за свои проекты и бюджеты. В этой среде не все руководители обладают техническим образованием или опытом работы в поле, но еще меньше умеют отстоять бюджет или защитить инвестиции в проект, поэтому внутри или рядом важно иметь людей, обладающих деловой хваткой, признательностью коллег и пониманием, как общаться и аргументировать на уровне C-Level.
Также с ростом автоматизации мы можем использовать технологии для дополнения наших человеческих ресурсов, чтобы освободить сотрудников для выполнения более интересной и сложной работы, требующей внимания человека.
Всего этого мы достигнем, только когда инвестируем в лидерство с помощью коммуникаций, культуры, программ наставничества. Нанимайте за отношение, обучайте за компетентность, тренируйте за производительность.
