От руководителя по информационной безопасности ожидают управленческих решений, ответственности за бизнес-риски и уверенного диалога с руководством и регуляторами, но при этом по-прежнему оценивают его через призму технической экспертизы и глубины знаний. Требования к роли изменились быстрее, чем представления о необходимых компетенциях, поэтому вопрос о том, какими навыками должен обладать руководитель по ИБ, требует пересмотра.
Автор: Константин Саматов, эксперт BISA (Business Information Security Association)
Технические компетенции
Несмотря на модные тренды, техническая подготовка по-прежнему остается важной основой работы руководителя по информационной безопасности, хотя ее роль заметно изменилась. Сегодня от него требуется не умение самостоятельно настраивать средства защиты, а понимание того, как они работают, какие задачи решают и как вписываются в общую архитектуру безопасности компании. На практике это означает способность разбираться в методах анализа и прогнозирования угроз, понимать принципы работы ключевых классов средств защиты – от мониторинга и защиты конечных устройств до межсетевых экранов и систем предотвращения утечек, – ориентироваться в актуальных уязвимостях и сценариях атак.
Непосредственная эксплуатация и настройка средств защиты все чаще делегируется специалистам подразделения ИБ, системным администраторам или подрядчикам.
Уже сегодня технологии искусственного интеллекта обеспечивают существенную поддержку: локальные интеллектуальные помощники с доступом ко внутренней документации и базам знаний позволяют быстрее разбираться в сложных системах, снижая порог входа в новые инструменты. Глубокий технический бэкграунд перестает быть определяющим фактором, уступая место более широким управленческим и стратегическим навыкам.
Управление рисками и соблюдение требований
Именно здесь информационная безопасность напрямую стыкуется с бизнесом. Количество проверок со стороны регуляторов растет, угроз становится больше, а ресурсы подразделений ИБ остаются ограниченными – прежде всего по людям. В этих условиях руководителю по информационной безопасности недостаточно просто закрывать требования и реагировать на инциденты. Ему приходится постоянно выбирать, какие риски принимать, а какие снижать в первую очередь, и где вложения в безопасность действительно оправданы. На практике это означает необходимость регулярной оценки рисков и расстановки приоритетов, выстраивания соответствия требованиям законодательства (с приемлемым уровнем бюрократии), контроля рисков, связанных с подрядчиками и цепочками поставок. Особенно ценно умение объяснять руководству, за что именно они платят в части ИБ и какой эффект это дает. Без понимания финансовой логики и языка управления такие разговоры неизбежно заходят в тупик.
Именно поэтому для опытных CISO компетенции в области управления рисками и финансов давно перестали быть второстепенными. Неслучайно многие из них в последние годы целенаправленно дополняют технический и управленческий опыт бизнес-образованием, в том числе программами MBA.
Руководство и управление командами
Руководитель службы информационной безопасности работает не с технологиями, а с людьми, которые постоянно находятся под давлением инцидентов, проверок и ожиданий бизнеса. Не удивительно, что речь идет не просто о контроле выполнения задач, а об управлении нагрузкой и сохранении работоспособности команды. На практике это означает умение грамотно распределять работу, не допуская хронических перегрузок, развивать специалистов внутри команды (особенно когда расширить штат невозможно) и аккуратно проводить изменения – от внедрения новых процессов и средств защиты до пересмотра устоявшихся процедур. Существенная часть этой работы лежит за пределами самого подразделения ИБ, требуя постоянного взаимодействия с ИТ, закупками, юристами, кадровыми службами и другими подразделениями. Руководитель должен выступать координатором всей системы безопасности, а не изолированным владельцем своего участка.
Психологическая устойчивость и работа с людьми
Работа в ИБ неизбежно связана с высоким уровнем стресса. Инциденты, проверки, ожидания руководства и постоянные изменения внешних требований создают длительную нагрузку, с которой невозможно справляться исключительно за счет экспертизы или формальных полномочий.
На первый план выходит личная психологическая устойчивость: умение управлять собственным состоянием, выстраивать разумный баланс между работой и личной жизнью, сохраняя способность принимать взвешенные решения под давлением. Важно умение быстро адаптироваться к новым угрозам и требованиям, постоянно обновлять знания и развивать как профессиональные, так и управленческие навыки. Работа с людьми требует внимания и эмпатии – способности слышать команду, вовремя замечать напряжение, предотвращать конфликты и выстраивать доверие.
И, конечно, нужно избегать профессионального выгорания – проблемы, с которой многие сталкиваются в последние годы и которая напрямую влияет на устойчивость всей системы безопасности.
Коммуникации
Коммуникации для руководителя по информационной безопасности – уже не вспомогательный навык. Через диалог с руководством, коллегами и внешними партнерами стратегия ИБ либо начинает работать, либо остается на бумаге.
На практике это означает способность говорить с бизнесом на понятном ему языке: объяснять риски и приоритеты без технических деталей, готовить отчеты, которые помогают принимать решения, а не усложняют их. Существенную часть работы составляют переговоры как внутри компании, так и с подрядчиками и внешними организациями. Отдельная задача – работа с персоналом: обучение, формирование устойчивых привычек безопасного поведения и объяснение, зачем компании нужны те или иные меры защиты.
Без выстроенных коммуникаций даже продуманная и технически сильная система информационной безопасности оказывается неработоспособной, поскольку не получает поддержки и понимания со стороны бизнеса.
Инновации и постоянное развитие
Внешняя среда меняется быстрее, чем внутренние процессы компаний. Новые типы атак, подходы к защите и регуляторные требования появляются постоянно, руководителю службы ИБ приходится учитывать это в повседневной работе, а не только в рамках разовых инициатив.
Необходимо все время следить за развитием угроз и технологий защиты, трезво оценивать применимость новых подходов и внедрять их там, где они действительно дают эффект, а не создают дополнительную сложность. С текущего года отдельным практическим направлением становится использование технологий искусственного интеллекта – не как модного тренда, а как инструмента повышения эффективности процессов, аналитики и управления нагрузкой.
Склонность руководителя к постоянному развитию и аккуратному внедрению новых решений позволяет системе ИБ оставаться актуальной и управляемой, а не догонять изменения постфактум.
Финансовые, стратегические и организационные компетенции
Глава направления информационной безопасности все чаще вовлечен в управление бизнесом, а не только в вопросы защиты инфраструктуры. От него ожидают участия в формировании долгосрочной стратегии ИБ, планировании бюджета и контроле затрат, а также выстраивании процессов, которые будут работать устойчиво и воспроизводимо, а не зависеть от отдельных людей или разовых решений.
Отдельное место занимает участие в управлении кризисными ситуациями и инцидентами, где от CISO требуется не техническая экспертиза, а способность быстро принимать решения и выстраивать взаимодействие с руководством компании. В результате его роль постепенно смещается от технической к управленческой и стратегической: в повседневной работе все большую ценность приобретают навыки переговоров, финансового планирования, работы с подрядчиками и понимание бизнес-логики. Техническая подготовка остается важной основой, но уже не определяет эффективность руководителя.
Что изменится в 2026 году?
С высокой вероятностью можно ожидать:
- Усиления требований к компетенциям по работе с ИИ. CISO потребуется разбираться не только в применении технологий ИИ, но и в рисках этих технологий, устойчивости, управлении обучающими выборками и контроле качества алгоритмов.
- Роста значимости вопросов безопасности ИИ-моделей. Появится больше задач по оценке уязвимостей моделей ИИ, контролю качества входных данных, предотвращению манипуляций и влияний на модели, управлению рисками при использовании автоматизированных систем, использующих технологии генеративного ИИ.
- Смещения фокуса на автоматизацию процессов безопасности. На фоне растущего дефицита кадров и увеличения нагрузки на ИБ-подразделения, руководители служб будут вынуждены активнее внедрять механизмы автоматизации процессов информационной безопасности.
- Усиления нормативных требований. Можно ожидать расширения или детализации требований к ИБ, включая вопросы использования ИИ, а также более строгого контроля подрядчиков.
- Роста требований к межфункциональному взаимодействию. CISO придется еще больше работать с юристами, кадровыми службами, ИТ, сервисными подразделениями и руководством.