О важности культуры

В последний месяц минувшего года, участвуя в ряде расследований нескольких крупных компаний в Казахстане, не раз повторял в голове классическую менеджерскую присказку из книги Дейва Логана – «культура ест стратегию на завтрак». Уж к ИБ-культуре это точно относится.

Принято считать, что корпоративная культура формирует некий ореол обитания, в котором персонал и топ-менеджмент взаимодействуют друг с другом. Культура отвечает на вопрос «как», и в случае с ИБ этот вопрос звучит следующим образом: «Как мы защитимся от киберугроз, если наши сотрудники до сих пор отправляют деньги в ответ на нигерийские письма и переводят сбережения на «безопасный счет в Нацбанке»?

Чем больше я общаюсь с директорами по безопасности, тем чаще слышу: «А что делать с людьми? Как создать систему, которая будет наполнять вертикали бизнеса, его структуру энергией кибербезопасности?» Если эту статью читает собственник или СЕО, хотел бы предложить ему честно ответить на важные ИБ-вопросы, опираясь на свои личные ценности и принципы.

• Считаете ли вы, что если штраф за нарушение в области ИБ (к примеру, за утечку данных) небольшой, а иное наказание отсутствует, то легче дождаться инцидента, чем вкладывать на порядок больше денег в системы безопасности?
• Если какой-то ресурс, запрещенный ИБ-политикой компании, мне понадобится открыть со своего корпоративного устройства, буду ли я звонить директору по ИБ, чтобы сделать ресурс доступным для меня?
• Если к вам в приемную одновременно и неожиданно придут финансовый директор и директор по кибербезопасности, выберете ли вы принять первым финансового директора?

Если хотя бы на один вопрос вы ответили «да», у меня для вас плохие новости.

Что же стоит предпринимать первому руководителю?

1. Подходить по-визионерски к набору и развитию персонала в ИБ

Искать людей, имеющих нужные образование и квалификацию можно, но встретить динозавра будет быстрее. При помощи бизнес-партнеров HRD запланируйте и реализуйте как минимум годовой план повышения квалификации, переподготовки и сертификации ИБ-кадров.

Если внутри компании люди любят технологии, квесты, «шарят» в теме бигдаты, ИИ и машинного обучения – предлагайте им переквалификацию, работайте с ними в формате наставничества, поддерживайте развитие через хакатоны и акселераторы, растите кадровый резерв на два-пять лет вперед.

Помимо уверенности в зрелости и владении практическими навыками, вы можете повысить лояльность команды и ее вовлеченность во время атаки. Цель продуманных программ – развитие не только технических навыков, но и понимания, как использовать их в контексте роли и набора задач.

2. Создавать в ИБ прозрачную управленческую, мотивационную и коммуникационную культуру

Когда мы привлекаем новых людей в команду, то должны убедиться, что они имеют ясные моральные ориентиры, умеют постоять за свои проекты и бюджеты. В этой среде не все руководители обладают техническим образованием или опытом работы в поле, но еще меньше умеют отстоять бюджет или защитить инвестиции в проект, поэтому внутри или рядом важно иметь людей, обладающих деловой хваткой, признательностью коллег и пониманием, как общаться и аргументировать на уровне C-Level.

Также с ростом автоматизации мы можем использовать технологии для дополнения наших человеческих ресурсов, чтобы освободить сотрудников для выполнения более интересной и сложной работы, требующей внимания человека.

Всего этого мы достигнем, только когда инвестируем в лидерство с помощью коммуникаций, культуры, программ наставничества. Нанимайте за отношение, обучайте за компетентность, тренируйте за производительность.