Наш сайт использует файлы cookie для улучшения работы сайта и повышения его эффективности. Продолжая его использовать вы подтверждаете согласие на их использование.
Исследование: трансформация роли CISO в России — разрыв между ожиданиями бизнеса и реальностью
Positive Education совместно с аналитиками SuperJob и консалтинговой компанией the Edgers исследовали трансформацию роли директора по информационной безопасности. Мы опросили CEO, CTO/CIO и CISO из разных отраслей — от финтеха до промышленности — и выяснили, почему бизнес и кибербезопасность до сих пор говорят на разных языках
Скачать исследование
PDF
Ключевые выводы
CISO оценивают собственную зрелость гораздо выше, чем их CEO
Более 40% CISO поставили себе 8−9 баллов из 10, некоторые считают, что уже переросли эту должность, и лишь 13,4% показали умеренную самокритику.
В свою очередь, только 25% CEO высоко оценивают компетенции коллег (7−10 баллов). 75% опрошенных поставили CISO низкие баллы или вообще не смогли их оценить
В свою очередь, только 25% CEO высоко оценивают компетенции коллег (7−10 баллов). 75% опрошенных поставили CISO низкие баллы или вообще не смогли их оценить
В каждой третьей компании не выстроен диалог между CEO и CISO
37,5% CEO отметили, что не взаимодействуют с CISO напрямую. Бизнес воспринимает ИБ как техническую функцию: 62,5% опрошенных CEO не ожидают от CISO активного участия в принятии стратегических решений
Кибербез и бизнес говорят на разных языках
CISO привыкли описывать риски с точки зрения уязвимостей и технических метрик. Топ-менеджмент же больше интересуют финансовые показатели и непрерывность процессов, поэтому 50% CEO отметили важность «понимания бизнеса» у ИБ-директоров
Диалогу мешает отсутствие понятных метрик
У каждого CISO свой формат отчета и логика презентации. Одни считают ROI и влияние на P&L, другие сравнивают ИБ-зрелость компании с конкурентами, третьи акцентируют внимание на покрытии инфраструктуры. Рынок еще не выработал единого формата измерения безопасности, который будет понятен бизнесу
Система образования не успевает за рынком
100% опрошенных сходятся в одном: существующие программы обучения не помогают решить наболевшие проблемы. Современные программы для CISO фокусируются на нормативке и отдельных продуктах, но не учат интегрировать ИБ в стратегию компании и ясно доносить ценность кибербеза до совета директоров
Конечно, CISO должен участвовать в стратегическом диалоге. Бюджеты на ИБ растут, их нельзя считать на уровне погрешности. Здесь мы управляем вероятностной функцией, а с другой стороны — это вполне конкретные деньги и важно определить границу между адекватным инвестированием в вероятностные события. Следовательно CISO должен уметь коммуницировать на уровне топ-менеджмента в рамках стратегических сессий
Сергей Путятинский
Вице-президент по операционной деятельности и информационным технологиям ФГ БКС
Роль CISO проходит точку невозврата
Рынку требуется новый тип CISO — руководитель, способный перевести риски ИБ на язык бизнеса и интегрировать кибербез в стратегию компании. Причем запрос на изменения поступает сразу с двух сторон: топы хотят видеть в ИБ-директоре бизнес-партнера, а сами CISO чувствуют, что переросли «техническую функцию». Но трансформация потребует новых компетенций.
Современному CISO нужны не только технологические знания — он должен понимать принципы корпоративного управления, иметь хорошие коммуникационные навыки, уметь оперировать финансовыми показателями и встраивать кибербез в стратегию развития компании.
Анастасия Федорова
Руководитель образовательных программ Positive Education, Positive Technologies
Скачайте полное исследование
Полная версия содержит детальный анализ разрыва между бизнесом и ИБ, карту компетенций современного CISO и дорожные карты трансформации для каждой из ролей: CEO, CTO/CIO и самого CISO
Скачать исследование
PDF
Отправить