Должности CSO и CISO — одни из самых сложных для заполнения в IT. Для специалистов по кибербезопасности, стремящихся к руководству, растут полномочия и оплата, но и ответственность также увеличивается. Узнайте, что требуется для получения высшей должности в сфере безопасности. — csoonline.com
Должности CSO (Chief Security Officer) и CISO (Chief Information Security Officer) входят в число самых сложных для заполнения в сфере IT. Это должно быть хорошей новостью для специалистов по кибербезопасности, стремящихся занять руководящие посты в качестве высшего руководителя по безопасности организации.
Для тех, кто этого добивается, растут полномочия, влияние, оплата и льготы. Но вместе с тем возрастает и ответственность, возлагаемая сегодня на руководителей по кибербезопасности. Многие CSO и CISO, которые теперь обычно входят в состав высшего руководства (C-suite), подчиняются напрямую генеральному директору (CEO), и от всех ожидается, что они будут движущей силой организационной безопасности, комплаенса и, во многих случаях, общего успеха бизнеса. Таким образом, хотя любая из этих должностей может принести большое личное удовлетворение, эта роль определенно не для слабонервных.
Учитывая это, мы обратились к действующим и недавно повышенным CSO, а также к руководителям по подбору персонала, с вопросом о том, что требуется для получения назначения или повышения на высшую руководящую должность в сфере безопасности, и как тем, кто заинтересован в получении роли CSO или CISO, следует этого добиваться.
Эволюция обязанностей и ожиданий от CSO
Одним из тех, кто видел значительную эволюцию роли CSO, является Канани Бреккеридж, генеральный директор и хедхантер из базирующейся в Сан-Диего компании Kismet Search.
«Я занимаюсь подбором персонала на должности CSO и CISO более 25 лет», — объясняет Бреккеридж. «Я начинала в 1999 году во время пузыря доткомов, когда безопасность в основном сводилась к защите периметра и антивирусному ПО. С тех пор я наблюдала, как эта роль эволюционировала от технического привратника до руководителя по управлению корпоративными рисками. Сегодняшний CSO находится на пересечении технологий, регуляторных рисков, непрерывности доходов и доверия к бренду. Это больше не функция бэк-офиса. Это роль, за которую отчитываются на уровне совета директоров».
С учетом этой новой ответственности Бреккеридж утверждает, что от кандидатов на должность CSO сегодня обычно ожидается, что они будут:
- Управлять взрывным ростом теневого ИИ и устанавливать ограничительные рамки для генеративного ИИ до того, как он приведет к существенной утечке данных.
- Выходить за рамки предотвращения и действовать как бизнес-активатор, доказывая, что организация может поддерживать минимально жизнеспособный бизнес во время продолжительного простоя.
- Решать вопросы комплаенса, такие как правила раскрытия информации SEC или EU AI Act, не как контрольный список, а как стратегический щит, защищающий стоимость предприятия.
«Устойчивость, прозрачность и измеримое подтверждение теперь являются базовыми ожиданиями», — поясняет Бреккеридж.
Жизнь в условиях эволюции лидерства в сфере кибербезопасности
Один специалист по кибербезопасности, который пережил эту трансформацию, — Дейл Хоак, который в июле 2025 года был повышен до должности CISO в RegScale, ведущем поставщике решений для непрерывного мониторинга контроля (CCM). Хоак изначально пришел в RegScale в качестве первого сотрудника по безопасности и одного из первых сотрудников компании. С тех пор он помог компании построить свой фундамент безопасности.
Объявляя о повышении Хоака, генеральный директор RegScale Трэвис Хауэртон отметил: «Роль CISO часто рассматривается как награда за пожизненные достижения в этой области, и Дейл ее заслужил. Обладая многолетним опытом работы в Министерстве обороны и частном секторе, он привнес глубокую экспертизу, неустанное стремление и четкое видение в нашу программу безопасности».
За годы, предшествовавшие работе в RegScale, Хоак «создавал программы безопасности с нуля, исправлял сломанные, работал в средах, где простой, потеря данных или сбой имели реальные последствия», — говорит он. «Этот опыт дал мне то, что я считаю сильной операционной базой и мышлением, а также здоровое уважение к практичности, а не к теории. Важно то, как вы это делаете, а не то, как вы об этом думаете».
RegScale согласилась с этим, когда предложила Хоаку первую должность в сфере кибербезопасности. Для Хоака миссия была ясна: «Создавать доверие и масштабироваться, не замедляя бизнес», — говорит он. «RegScale работает в одних из самых строго регулируемых сред. Безопасность должна быть катализатором; она не может быть препятствием. Роль CISO в каждой компании состоит в том, чтобы помочь организациям сказать “да”, потому что организации часто не могут справиться сами с собой».
Как CISO, вы должны понимать, как положительно влиять на бизнес, добавляет он. Вы не просто безопасность. Часть вашей работы в C-suite — помогать организации зарабатывать деньги, советует Хоак.
Путь по карьерной лестнице к CSO
Еще один специалист по кибербезопасности, который прошел путь по карьерной лестнице, хотя и через смену нескольких работодателей, — это Расс Кирби, ныне CISO в Ping Identity.
«Ранее я работал на технических должностях, в сфере комплаенса и на должностях, ориентированных на бизнес, поэтому я привношу разнообразие и широкий опыт», — объясняет Кирби. «Масштаб этих ролей и компаний также сильно различался — от стартапов до компаний из списка Fortune 50. Я могу говорить в контексте “настоящего”, но также смотреть в будущее и видеть, куда хочет двигаться компания».
Этот опыт привел Кирби на должность CISO в ForgeRock в 2019 году. Когда ForgeRock была приобретена Ping Identity, и компании официально объединились в августе 2023 года, он занял должность глобального CISO в Ping Identity.
«Я рассматриваю должность CISO как роль бизнес-лидера, а не просто техническую, с акцентом на людей и стратегию», — объясняет Кирби. «Критически важна способность общаться и переводить информацию для широкого круга аудиторий — технической, нетехнической, деловой, не связанной с бизнесом. Как CISO, вы должны уметь помочь людям понять “почему” того, что мы делаем».
Кирби говорит, что CISO, которого когда-то в основном рассматривали как старшего технолога, сосредоточенного на системах и контроле, теперь находится в центре бизнес-стратегии. Современный CISO по необходимости также является футуристом: он прогнозирует не только угрозы, но и то, как цифровое доверие, идентификация и безопасность определят, какие компании добьются успеха, а какие потерпят неудачу.
Минимальные деловые и технические навыки для кандидатов на должность CSO
Кандидат на должность CSO, соответствующий золотому стандарту сегодня, имеет Т-образный бэкграунд: глубокую экспертизу в одной или двух областях с широкой осведомленностью обо всей экосистеме безопасности, объясняет Бреккеридж. Здесь выделяются три области:
- Глубокий опыт в управлении идентификацией и доступом сегодня часто более ценен, чем традиционная сетевая безопасность.
- Руководители, пережившие крупномасштабные гибридные миграции или миграции в мультиоблако через AWS, Azure или Google Cloud Platform, понимают современную поверхность атаки так, как часто не понимают операторы устаревших систем.
- Вам не нужно быть специалистом по данным, но вы должны понимать риск моделей, отравление данных, автоматизированных агентов и то, как ИИ перестраивает как наступательную, так и оборонительную динамику безопасности в вашей среде.
«В технологическом плане владение автоматизацией безопасности и непрерывным мониторингом контроля становится все более критичным», — объясняет Бреккеридж. «В 2026 году, если вы не сможете автоматизировать комплаенс и сбор доказательств, вы не сможете масштабироваться. Ручные программы безопасности не выдерживают роста».
В деловом плане финансовая грамотность не подлежит обсуждению, говорит Бреккеридж. Вы должны уметь объяснить инвестиции в безопасность в размере 5 миллионов долларов с точки зрения защиты доходов, контрактного рычага или снижения страховых премий.
«Советы директоров мыслят категориями подверженности риску, стоимости предприятия и потенциальных убытков. Если вы не можете перевести свою стратегию в эту систему координат, вам будет трудно получить устойчивую поддержку», — говорит Бреккеридж.
Проблемы и сюрпризы, которые часто ждут нового CSO
После назначения или повышения до роли CSO могут возникнуть определенные проблемы и сюрпризы, с которыми новым назначенцам придется справляться.
«Одно, что я усвоил рано, и к чему я не был готов, — это то, что все является переговорами», — объясняет Хоак из RegScale. «Независимо от того, имеете ли вы дело с поставщиками или с собственными командами, вы должны выявлять проблемы, а затем вести переговоры с другими людьми, чтобы они поняли их или сделали то, что от них требуется».
«Я привык к старым временам, когда ты говоришь кому-то что-то сделать, и он это делает», — говорит Хоак. «Теперь почти все является переговорами, независимо от того, идете ли вы вверх или вниз, говорите ли вы с начальником или подчиненным. Другое дело, что самые сложные проблемы редко носят технический характер. В большинстве случаев вы имеете дело либо с плохим планированием, либо с плохой коммуникацией. Я обнаружил, что теперь трачу гораздо больше времени на исследования и анализ первопричин, чем на фактическое устранение проблем».
Кирби из Ping Identity согласен, отмечая, что большинство случаев выгорания CSO вызваны проблемами, связанными с культурой героя, микроменеджментом и неумением делегировать.
«Это не кризис психического здоровья, вызванный хакерами; это недостаток в дизайне лидерства», — объясняет Кирби. «Самое важное, что это полностью устранимо с помощью современных моделей делегирования, автономных структур команд и лидерства, основанного на доверии».
Шаги к получению должности CSO
Каковы наилучшие шаги, которые может предпринять кандидат или претендент на должность CSO, чтобы получить заветную позицию?
Все начинается с изменения мышления с позиции «Нет» на позицию «Как», объясняет Бреккеридж. Современный CSO должен превратиться из центра затрат в центр доверия, поскольку роль стала более интегрированной частью общего бизнеса и связана с доходом. Безопасность должна быть причиной, по которой клиент уверенно подписывает контракт, а не причиной задержки запуска продукта.
«Сосредоточьтесь на непрерывном подтверждении», — говорит Бреккеридж. «В любой момент времени вы должны иметь возможность продемонстрировать, что ваши средства контроля функционируют должным образом. Такой уровень прозрачности превращает обсуждения с советом директоров из реактивных в стратегические».
С точки зрения рекрутинга Бреккеридж советует кандидатам не гнаться за титулом без соответствующей компетенции и реальной операционной глубины для его подкрепления. Технологии быстро развиваются, нормативно-правовая среда ужесточается, и эта роль влечет за собой реальную личную ответственность.
Когда кандидаты переходят между компаниями, их оценивают по измеримому масштабу, полномочиям и результатам, добавляет Бреккеридж. Советы директоров и комитеты по найму внимательно следят за тем, что происходило под вашим руководством. Если были существенные инциденты, слабые средства контроля или раздутый масштаб по отношению к вашему фактическому мандату, это очень быстро становится очевидным. Раздувание титулов не выдерживает должной проверки.
«Успешные руководители, строящие долгосрочную карьеру на этой должности, согласовывают ответственность с полномочиями, свободно говорят как о рисках, так и о доходах, и позиционируют безопасность как встроенную стратегическую функцию бизнеса», — говорит Бреккеридж. «Когда вы делаете это хорошо, вы не просто защищаете компанию. Вы укрепляете ее устойчивость и долгосрочную стоимость предприятия».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – David Weldon