Руководители ИБ крупных компаний все чаще готовы покинуть свои посты из-за истощения, организационной разобщенности и неустойчивости роли. Опрос показал, что 69% готовы к смене карьеры. Эксперты отмечают, что проблема не только в зарплате, но и в отсутствии реального влияния и полномочий. — csoonline.com
Руководители ИБ крупных компаний все чаще готовы — и даже стремятся — покинуть свои посты. Некоторые настолько разочарованы, что хотят уйти из сферы кибербезопасности полностью.
Недавний опрос руководителей служб безопасности, проведенный IANS Research и Artico Search, показал, что 69% топ-менеджеров в области безопасности «открыты к смене карьеры в течение следующего года, часто нацеливаясь на должности CISO в более крупных компаниях или в других отраслях, а также на другие должности, не связанные с CISO, такие как CTO, CIO, член совета директоров или должность заместителя руководителя службы безопасности в более крупной компании», согласно отчету.
Аналитики и консультанты в области кибербезопасности объясняют эту тенденцию различными проблемами, основанными на том, что они видели и слышали от CISO.
«Дело не столько в погоне за чуть лучшей или более высокой должностью. Основная причина — это крайняя степень истощения, организационная разобщенность и растущее ощущение того, что работа, в том виде, в каком она структурирована во многих организациях, неустойчива», — говорит Эрик Авакиан, технический консультант Info-Tech Research Group.
«CISO живут в мире постоянной срочности. Неожиданные инциденты, рутинные аудиты, обновления для совета директоров, проблемы с сторонними поставщиками и регуляторные сроки — все это часть ежедневной рутины, и от нее нет реального выхода», — говорит он. «В то же время многие по-прежнему воспринимаются внутри своих организаций как «человек по безопасности», а не как настоящий бизнес-лидер. Этот разрыв между ответственностью и влиянием изматывает людей, особенно если влияние со временем не растет».
Подобные модели глубоко укоренились в корпоративной среде на протяжении многих лет, что делает эту проблему сложной для решения руководителями организаций.
«Ответ не просто в том, чтобы «платить им больше», хотя в наши дни компенсация, безусловно, становится все важнее», — говорит Авакиан. «Нельзя просить кого-то нести риски корпоративного уровня и ожидать, что он будет мотивирован зарплатой руководителя среднего звена. Но одни только деньги не решают структурно сломанную роль».
«Решение начинается с предоставления «статуса корпоративного уровня» тем, кто отвечает за безопасность предприятия», — говорит он. «Это означает прямой доступ к генеральному директору и совету директоров, возможность иметь время для стратегического планирования, построения отношений с различными подразделениями бизнеса для влияния, а не быть погребенным под слоями ИТ или в режиме ежедневного реагирования. Это означает полномочия, соответствующие ответственности, реальное влияние на бюджеты кибербезопасности, архитектуру, позицию в отношении сторонних поставщиков и общие решения по управлению рисками».
Авакиан добавляет, что это выходит далеко за рамки обычного недовольного руководителя.
«Большинство CISO не стремятся уйти, потому что потеряли интерес к миссии. Большинство CISO и руководителей службы безопасности увлечены тем, что делают, и помощью другим», — говорит он. «Но если они уходят, то потому, что хотят руководить, создавать и добиваться перемен — и слишком часто структура вокруг них делает это невозможным».
Организации решают эту проблему, «изменяя роль таким образом, чтобы лидерство мнений, лидерство команды и позитивное влияние были действительно возможны», добавляет он.
«Системная уязвимость»
Санчит Вир Гогия, главный аналитик Greyhound Research, говорит, что проблема выходит за рамки простой смены работы: «Мы наблюдаем медленный исход талантов», — говорит он.
«Движущей силой является не компенсация или отсутствие профессионального развития; это провал в дизайне роли, просто и ясно», — объясняет он. «Предприятия создали позицию, которая требует от руководителей службы безопасности чрезмерной ответственности за риски, которые они не могут полностью контролировать, при недостаточном авторитете, слабой поддержке совета директоров и высокой вероятности стать назначенным козлом отпущения, когда что-то идет не так».
Более того, эмоциональное давление роли CISO «постоянно усиливается». «Это травма, замаскированная под профессионализм», — говорит он, добавляя, что ущерб часто сохраняется еще долго после ухода одного руководителя службы безопасности.
«Когда CISO уходит, последствия быстро распространяются. Высококвалифицированные заместители часто уходят в течение нескольких месяцев. Проекты замораживаются. Стратегические программы безопасности теряют импульс. Организация остается в поисках временной замены, обычно без реального плана преемственности», — говорит он. «Это больше, чем проблема удержания. Это системная уязвимость. И все же большинство советов директоров не относятся к этому как к таковой».
Хуже того, CISO, покидающие свои должности, часто уходят из этой роли полностью, отмечает Гогия.
«Некоторые перестраивают свою карьеру в сторону консалтинга или фриланс-консультирования, где они могут оставаться вовлеченными в сферу, не неся институционального бремени последней линии обороны», — говорит он. «Другие переходят на должности в области корпоративных рисков, аудита или соблюдения нормативных требований. Это функции, где права принятия решений и подотчетность лучше согласованы».
Лучший способ остановить отток CISO, предполагает Гогия, — это дать им силу, необходимую для выполнения их работы.
«Если CISO несет ответственность за риски, связанные с третьими сторонами, то он должен иметь право вето при закупках. Если он отвечает за реагирование на утечки данных, то он должен иметь полномочия по управлению и документированию исключений по рискам», — объясняет Гогия. «Все больше и больше CISO получают разветвленные портфели: соответствие требованиям, борьба с мошенничеством, конфиденциальность, ESG. Но без соответствующего штата, бюджета или политической поддержки. Если все является проблемой CISO, а ничто не находится под его контролем, единственным рациональным шагом является уход».
CISO как единая точка отказа
Зак Льюис, CISO в Университете здравоохранения и фармацевтики в Сент-Луисе, считает, что доля CISO, ищущих выход, еще выше, чем показывают данные IANS.
«Я думаю, что это определенно выше. Все CISO, которых я знаю, сейчас открыты [к уходу]. Они все активно ищут. Им хочется чего-то нового», — говорит Льюис, хотя и отмечает разницу в том, работает ли CISO в частной компании или в публичной.
«С тех пор, как SEC начала рассматривать возможность предъявления обвинений CISO, эти комментарии [SEC] делают их нервными. Они хотят остаться CISO, но не в публичной компании», — говорит Льюис.
Консультант по кибербезопасности Брайан Левин, бывший федеральный прокурор, а ныне исполнительный директор FormerGov, также отмечает повышенную обеспокоенность среди CISO в публичных компаниях.
«Когда ответственность за утечку данных становится личной, а поддержка совета директоров кажется формальной, CISO начинают спрашивать: «Стоит ли это того?» Все чаще ответ — «нет»», — говорит Левин. «Если советы директоров хотят удержать лучшие кибер-таланты, им нужно перестать относиться к CISO как к поглотителям рисков и начать относиться к ним как к стратегическим партнерам. Влияние, бюджет и юридическая защита — это не привилегии: это предпосылки. Этот разрыв выталкивает некоторых из лучших специалистов за дверь».
Левин также критикует «отсутствие значимых планов преемственности CISO» во многих предприятиях.
«Нам нужно создавать кадровые резервы заместителей и ротировать таланты. В настоящее время слишком многие CISO являются едиными точками отказа, и они это знают», — говорит он.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Evan Schuman