До неотдавна ролята на директора по сигурността често беше в сянката на „големите“ мениджъри, посветена основно на ИТ политиките, съответствието и техническата защита. Само 3-4 години минаха и ето, че днес ролята на CISO се е трансформирала драстично.
Според доклад на Splunk, 86% от директорите по информационна сигурност казват, че ролята им се е променила толкова много от началото на тяхната кариера, че е вече „съвсем различна работа“.
Това е така, защото днешният CISO не само защитава данните на своята компания – той също така подпомага постигането на бизнес резултати, влияе върху решенията на клиентите и дори осигурява конкурентно предимство, когато става въпрос за генериране на продажби.
Разширяване на отговорностите
Отговорностите на CISO са се разширили неимоверно, за да се превърнат тези специалисти в стратегически бизнес-лидери, които са неразделна част от стимулирането на организационния растеж и доверието на клиентите.
Преди това директорите по сигурността често бяха възприемани като технически експерти, фокусирани върху мрежовата инфраструктура и компютърните вируси. Рядко биваха канени на срещи за бизнес-планиране, продуктова стратегия или разговори с клиенти.
Сигурността често се смяташе за необходим разход, а не за потенциален двигател на растежа, и много директори по сигурността се затрудняваха да получат видимост извън ИТ или отделите по сигурност и управление на риска.
Днес всяка уважаваща себе си компания има CISO в изпълнителния екип. Киберсигурността се взема предвид на всяко ниво – от дефинирането на пътната карта на всеки продукт и сроковете за пускане на пазара до определянето на целите за приходи.
Но участието в мениджърските дискусии е само първата стъпка. За да запазят това влияние, директорите по сигурността трябва да покажат как инициативите за сигурност допринасят за растежа и рентабилността.
Изграждане на бизнес-казус за сигурността
Докато компаниите се ориентират в обстановката на по-стегнати бюджети и макроикономическа несигурност, днешните директори по сигурността трябва да преосмислят начина, по който комуникират и съгласуват сигурността в бизнеса.
Един от най-мощните начини да се демонстрира стойността на сигурността е чрез прякото ѝ свързване с показател, който всеки в бизнеса разбира: приходите.
Всяко решение за киберзащита може да бъде видяно от гледна точка на спестени пари, спестено време и, нека бъдем честни, спестени санкции. Когато ръководството може да види един технологичен ход като ускорител на приходите, то вижда смисъла от всяко вложение в нови технологии.
Следователни днешните директори по сигурността трябва да мислят отвъд границите на смекчаването на риска и да преодолеят репутацията на информационната сигурност като „департамента, който вечно казва НЕ“.
Твърде често директорите по сигурността попадат в капана да обясняват технически детайли в изчерпателни подробности. Но ръководителите на отдели нямат нито времето, нито експертните познания, за да разберат и за да се интересуват от понятия като CVE, експлойти, „zero day” и др.
Вместо това CISO да трябва да „превеждат“ рисковете за сигурността на език, който другите ръководители разбират и могат да свържат с бизнес-резултатите.
И така, какви практически стъпки може да предприеме един директор по сигурността, за да преведе ефективно своите технически познания в стратегическа бизнес стойност?
Четири практики за бизнес-лидерство в ИТ сигурността
Независимо дали вече сте лидер по сигурността или се стремите да станете такъв, ето четири стратегии, които са от съществено значение, за да станете истински партньор на бизнеса:
- Научете езика на бизнеса
Не можете да се застъпвате ефективно, ако не разбирате как организацията, в която работите, печели приходи. Редовно четете финансови отчети, слушайте какво се говори за инвестиции.
Питайте се: „Ако искам 300 000 евро, как подобна сума се сравнява с приходите на един търговец?“. Ако подобно „искане“ струва на компанията толкова много като пропусната възможност, то навярно ще си заслужава.
Тази финансова грамотност помага да се формулират и приоритетите за сигурността по начин, който интересува ръководителите: възвръщаемост на инвестициите, избягване на разходи и растеж на приходите.
- Оценявайте всичко
Сигурността не съществува във вакуум. Използвайте рейтинги от трети страни (например, карти за оценка на сигурността), за да сравните своята програма с конкурентите.
- Проследявайте взаимодействията с клиентите
Важно е да измервате отношението на клиентите към сигурността, точно както бихте измерили всяка друга бизнес-функция.
Чрез проследяване на взаимодействията може проактивно да се идентифицират тенденции, да се адресират повтарящи се проблеми и да се докаже въздействието на сигурността върху удовлетвореността и задържането на клиентите.
- Учете се от колеги, а не само от конференции
Заплахите се развиват ежедневно и директорите по сигурността също трябва да се развиват. Организирайте тримесечни „обмени по сигурността“ с колеги от организации, които не се явяват конкуренти. Всяка страна може да дойде с три неща, които прави добре, и три, които иска да подобри.
Резултатът? Откровен обмен на знания, който стимулира иновациите и предотвратява самоувереността. Тези срещи между колеги често водят до креативни решения, разкриват „слепи петна“ и помагат на директорите по сигурността да оценяват практиките в реално време.
