Денис Горчаков: CISO должен всегда желать большего

Денис Горчаков: CISO должен всегда желать большего

Денис Горчаков

Директор проектов кибербезопасности в ПАО «Ростелеком». Отвечает за ИБ в проектах электронного правительства и доверенной платформы для национальной мобильной ОС Sailfish.

Ранее руководил экспертной группой по противодействию кибермошенничеству в «Лаборатории Касперского», работал в «Альфа-Банке», МТС и Positive Technologies.

...

Директор проектов кибербезопасности ПАО «Ростелеком» Денис Горчаков рассказал Anti-Malware.ru, в чем специфика управления персоналом в сфере ИБ, почему самый талантливый инженер — не всегда лучший руководитель, как замотивировать сотрудников и стать, в конце концов, хорошим CISO.

В чем основная специфика управления персоналом в сфере ИБ?

Д. Г.: Здесь есть три момента. Первый — сфера ИБ диверсифицирована по возрасту и навыкам и при этом относительно малочисленна. Как результат, происходит столкновение разных взглядов в рамках одного, обычно небольшого подразделения. С одной стороны возрастные специалисты, которые пришли в безопасность 20-30 лет назад, которые сидят и пишут документы, зачастую не обладая актуальными техническими навыками, а с другой — молодые люди с полезным, живым опытом, но еще в недостаточной мере выработавшие системное видение.

Второй момент. Поскольку это отдельная область компетенций и управления, и она только-только формируется, появляются новые подходы, процессы информационной безопасности занимают свое место в организации. Пока непонятно, например, какие метрики использовать. Если смежные отрасли ушли вперед в оценке своей эффективности, то в ИБ все еще формируется, и до сих пор у нас многие эксперты спорят о метриках.

И третье — сильная роль личных качеств и репутации людей в отрасли. При этом не менее важны сила и авторитет собранной команды. Я не про клановость говорю, а про то, что сильных людей и команд не так уж много в отрасли, все друг друга знают.

Почему самый талантливый инженер — не всегда лучший руководитель?

Д. Г.: В первую очередь потому, что это абсолютно разные направления развития. У инженера, главным образом, будут сильны исследовательские, технические навыки, и в то же время могут проседать организаторские и коммуникативные. Но поскольку в отечественном бизнесе пока не сформирована традиция обучения руководителей, делается самый очевидный, казалось бы, шаг: наиболее опытному инженеру предлагают стать менеджером.

На этом этапе многие отказываются, у меня тому есть масса подтверждений из практики друзей по отрасли и коллег. Они готовы развиваться экспертно, наращивать свои компетенции, делиться опытом, но не хотят становиться руководителями. Они не хотят распыляться на менеджерские задачи, ведь вместе с расширением кругозора и ответственности им приходится меньше погружаться в профессиональные вопросы.

Но с некоторыми людьми эта ошибка происходит. Если инженер оказался не только талантливым, но и достаточно коммуникабельным, с хорошим целеполаганием, то компании повезло. Однако расчет на везение в управлении — не самый лучший подход.

Насколько важны личные качества для ИБ-руководителя? Какие из них необходимы и почему?

Д. Г.: Для ИБ-руководителя очень важна способность критически мыслить и сильные аналитические способности. Когда бизнес хочет проверить новую гипотезу, ИБ должна быстро разобраться в рисках и их оценить. И это кажется наиболее важным, потому что не всегда к безопасникам приходят в первую очередь, и на оценку рисков остается очень мало времени.

Известный управленческий бестселлер предлагает «45 татуировок менеджера», какая из них больше подходит ИБ-руководителю?

Д. Г.: Я бы, в первую очередь, не рекомендовал такие книги. К сожалению, вместо фундаментальных знаний подобная литература предлагает частный взгляд на проблему конкретного человека. Вместо того чтобы отталкиваться от академических, более или менее фундаментальных знаний по менеджменту, в такой литературе  нам предлагают лишь ситуационные решения. О правильном системном подходе мы как раз будем говорить в ходе моего мастер-класса на «Коде ИБ ПРОФИ» в Москве.

Я бы предложил в качестве кредо вот какой слоган — «всегда желать большего». Почему это важно? В информационной безопасности у руководителя всегда есть риск оставаться на одном месте, лишиться здоровых амбиций, потому что текущая конъюнктура рынка — большой спрос на таких специалистов — вместе с тем уровнем доступа к чувствительной информации, который есть у безопасников, позволяет руководителю на такой позиции всегда чувствовать себя защищенным. И это может стать профессиональным тупиком. Но когда ты сам ждешь от себя большего, есть стимул развиваться.

Какую литературу порекомендуете для начинающих CISO и как относитесь к тренингам?

Д. Г.: Очень неплохи для понимания, как все устроено, книги Ицхака Адизеса, который перерабатывает появившиеся ранее идеи психологии управления. Он дает немало собственных выводов. Интересна его теория о жизненном цикле корпораций. Его книги мне кажутся наиболее полезными и содержательными. Я бы также порекомендовал Джима Коллинза, у него есть классическая книга «От хорошего — к великому». Она несколько идеалистична и академична, но дает полезный базис.

Тренингов, которые дают действительно полезную основу для ИБ-руководителей, очень мало. То же касается качественных курсов для погружения в менеджмент. И это большая проблема.

На фоне острого дефицита кадров в отрасли кто должен отвечать за подбор и удержание команды — ИБ-руководитель или отдел кадров? И почему?

Д. Г.: Это зависит от специфики бизнеса. Если компания специализируется в сфере ИТ, обычно у кадровых специалистов достаточно технических навыков, порой даже они сами бывшие технари и могут проводить интервью с кандидатами.

В то же время в компаниях, бизнес которых достаточно диверсифицирован, сложно ожидать от кадров глубокого погружения в вопрос. Поэтому в таких компаниях вполне логично за подбор ИБ-кадров отвечать самому CISO, потому что он вовлечен в профессиональное сообщество, где можно найти хороших кандидатов.

Что кроме имиджа компании и уровня зарплаты располагается на верхушке условной «пирамиды Маслоу» безопасника?

Д. Г.: Техническое оснащение. Обеспечение всем необходимым — это ключ к успеху. Важна возможность развиваться, иметь доступ к технологиям, к новейшему оборудованию.

Сейчас в отрасль приходит очень много молодых специалистов, и у них другие ценности. Это новое поколение, которое прежде всего хочет амбициозных проектов. Люди в первую очередь работают за деньги, чтобы обеспечить свои базовые потребности, но специалисты нового поколения порой готовы пожертвовать даже высоким окладом ради интересных задач. Для них характерно стремление быть причастными к чему-то значимому.

В ИБ важна гибкость, потому что это работа не с девяти до восемнадцати в офисе. Эта работа скорее как образ жизни, потому что безопасник должен быть готов решать проблемы в любое время дня и ночи, где бы он ни находился, несмотря на отпуск или выходной. При этом он вправе ожидать взаимной гибкости от компании — в плане распределения рабочего времени. Если у меня команда собралась на рабочем месте в три ночи в воскресенье, вполне логично, что нас не ждут в офисе в 9 утра в понедельник. Где-то компании эту гибкость приветствуют, где-то безопасникам приходится ломать корпоративные рамки.

Какой должна быть мотивация сотрудников, чтобы они приезжали в случае инцидента на работу в три часа ночи — условия контракта или нечто нематериальное?

Д. Г.: Для этого руководитель направления должен сформировать соответствующую культуру, которая предполагает ответственность каждого сотрудника за его участок и за общее дело. В договорной форме — рабочем контракте с организацией — это предусмотреть крайне сложно. Это вопрос прежде всего личных взаимоотношений и мотивации сотрудников. Человек должен сам быть увлечен своей работой. Важно создать для него условия, когда он будет воспринимать это как нечто естественное, а не как обязанность и формальное требование. Работодатель должен идти на определенную гибкость, тогда и сотрудник тоже на нее пойдет. Важно взаимное уважение.

Задача CISO — замотивировать людей, дать им идею, ради чего стоит дальше двигаться, дать ясную цель, стратегию. В то же время важно и обосновать все это руководству компании, чтобы не сложилось впечатления, что безопасники — это какие-то странные люди на особом положении.

Спасибо за интервью! Желаем успешного выступления на «Коде ИБ ПРОФИ».