Osiągnięcie najwyższego stanowiska w branży wiąże się z nowymi wyzwaniami – w końcu z wielką władzą wiąże się wielka odpowiedzialność.
W przypadku dyrektor ds. bezpieczeństwa informacji (CISO), jest to najwyraźniej rola, do której wielu chciałoby dążyć: może ona umożliwiać kontrolę budżetu, tworzenie polityk i strategii, zarządzanie personelem, a potencjalnie także zasiadanie w zarządzie.
Jednak kiedy już tam dotrzesz, kogo poprosisz o pomoc? Kto poprowadzi cię do najwyższej roli i doradzi ci, kiedy tam dotrzesz? Czyjej rady szukasz, co robić, zwłaszcza w przypadku incydentu?
Te pytania przyszły mi do głowy, gdy oglądałem byłego Uber Dyrektor ds. bezpieczeństwa informacji Joe Sullivan mówić na Czarny Kapelusz Europa konferencji w grudniu ubiegłego roku, na której powiedział, iż przyszli specjaliści często zwracają się do niego o poradę w kwestii ubiegania się o pracę.
W końcu specjalista ds. bezpieczeństwa z doświadczeniem jednego z największe naruszenia wszech czasów, wliczając w to radzenie sobie z Federalną Komisją Handlu i zwolnienie przez dyrektora generalnego, powinno być dobrym punktem odniesienia w kwestii tego, co się sprawdza, a co nie.
Mała czarna książeczka zwolenników
Jednak nie każdy kandydat na stanowisko CISO ma numer telefonu komórkowego Sullivana. Czy zatem zapewniamy wystarczające wsparcie, a choćby możliwości mentoringu tym, którzy dopiero rozpoczynają karierę na najwyższym stanowisku?
Deloitte CISO Jitender Arora podzielił się swoimi przemyśleniami na temat rozwoju kariery w serii Posty na LinkedIni mając za sobą karierę na stanowisku kierowniczym w zakresie bezpieczeństwa w usługach finansowych, dodaje, iż zgłaszają się do niego także osoby chcące zostać CISO.
W rozmowie z Computer Weekly Arora porównał rolę CISO do roli sportowca, który trenuje przez cały rok, aby zdobyć umiejętności, siłę i odporność psychiczną potrzebną do stawienia czoła rywalizacjom.
„W pracy CISO taki test może odbyć się jutro lub za dwa lata, ale trzeba być przygotowanym na kierowanie ludźmi i funkcją, a jednocześnie umieć radzić sobie ze stresem, który się z tym wiąże” – mówi.
Ostatecznie, bycie liderem ds. bezpieczeństwa nie polega tylko na zdobywaniu umiejętności związanych z bezpieczeństwem, ale także na umiejętnościach życiowych oraz na tym, iż „żaden dzień nie jest taki sam, co wiąże się z dużym stresem”.
Arora mówi, iż wszystko sprowadza się do przygotowania, tego, jak się zachowamy (fizycznie i psychicznie) i jak będziemy o siebie dbać, aby móc dbać o wszystkich wokół.
Prowadzi to do kwestii, kogo zapytać, gdy sprawy nie idą dobrze i trzeba szukać porady. Arora mówi, iż czerpał inspirację od ludzi, z którymi pracował, i można znaleźć liderów, którzy inspirują cię sposobem mówienia i wyjaśniania czegoś.
„Inspiracja jest wszędzie wokół nas i powinniśmy zwracać na nią uwagę” – mówi. Podkreśla, iż usłyszysz coś, co zostało powiedziane lub będziesz mieć doświadczenie – dobre lub złe – i możesz je później przeanalizować, aby zrozumieć, co zostało zrobione i powiedziane, aby zrozumieć, co z tego wyniosło, na podstawie czego możesz działać.
Budowanie związków
Bronwyn Boyle, CISO w PPROprzyznaje, iż miała „dużo szczęścia”, pracując na wielu stanowiskach związanych z ryzykiem i bezpieczeństwem w usługach finansowych, i przypisuje to możliwości budowania relacji z ludźmi, z którymi blisko współpracowała. „Zawsze uczysz się od tych, którzy byli przed tobą. To bardzo uspokajające, iż masz taką możliwość”, mówi, przyznając, iż jest również chętna do przekazywania wiedzy.
W swojej dotychczasowej karierze Boyle mówi, iż jedną z najbardziej pozytywnych rzeczy w branży cyberbezpieczeństwa jest to, iż społeczność CISO jest bardzo pomocna, wskazując na kilka mentorzy którzy jej pomogli.
Zawsze uczysz się od tych, którzy byli przed tobą. To bardzo uspokajające mieć taką możliwość
„Myślę, iż to bardzo dużo dla nowych CISO, aby to ogarnąć, a posiadanie ludzi, którzy są gotowi udzielić wsparcia, być tym oparciem, aby zapewnić wskazówki i być osobą, z którą można porozmawiać, jest absolutnie bezcenne” – mówi. „Bardzo zależy mi na przekazywaniu tego dalej, więc pomogłam nowym CISO w tym, co zadziałało dla mnie, a co nie”.
Boyle przyznaje, iż każdy człowiek ma swoje własne, indywidualne doświadczenia, jednak są tematy, w których wysłuchanie głosów, opinii i perspektyw jest naprawdę pomocne.
Jak mówi Arora, zdarzają się sytuacje, na które nie da się przygotować, a Boyle opowiada o radzeniu sobie z cyberatakami, gdy pełniła poprzednią funkcję CISO: mówi, iż niezależnie od tego, co starasz się zaplanować, możesz znaleźć się w sytuacjach, w których jesteś przygotowany, oraz w innych, w których zdarzenia mogą wystąpić jednocześnie, co może być dość przytłaczające.
Doświadczeni CISO
Mając to na uwadze, ważne jest, aby zastanowić się, do kogo zwrócić się, gdy coś pójdzie nie tak – zakładając, iż po objęciu stanowiska CISO nie otrzymasz czarnej księgi kontaktów, zarówno z perspektywy kierownictwa, jak i tego, do kogo zwrócić się w razie potrzeby pomocy.
Liderzy, którzy przeszli przez wszystkie szczeble kariery i mieli okazję pracować z bardziej doświadczonymi dyrektorami ds. bezpieczeństwa informacji, są najbardziej zaprawieni w bojach i potrafią przetrwać incydenty.
Lisa Ventura, założycielka Jedność Cyberbezpieczeństwamówi, iż posiadanie doświadczonego CISO jako mentora może się opłacić, ponieważ są oni kopalnią złota doświadczenia i wiedzy: „Wielu CISO często ma również trenera wykonawczego, a posiadanie takiego może pomóc im rozwinąć umiejętności przywódcze i komunikacyjne. Są one najważniejsze dla poruszania się w sali konferencyjnej i możliwości interakcji z kadrą zarządzającą wyższego szczebla”.
Ventura dodaje, iż skuteczny CISO będzie budował sieć zaufanych doradców i korzystał z doświadczenia mentorów, kolegów i ekspertów branżowych: „Pomoże im to poruszać się po zawiłościach swojej roli i podejmować świadome decyzje, które zapewnią bezpieczeństwo ich organizacji”.
Boyle mówi, iż mentorzy mogą pomóc w udzielaniu odpowiedzi na typowe pytania, które mogą pojawić się na początku pracy.
Ostatecznie, jeżeli istnieje luka, w której ludzie potrzebują porady, a istnieje poczucie, iż bycie postrzeganym jako proszący o pomoc jest oznaką słabości, musimy to zmniejszyć, zapewniając mentoring i wsparcie. Boyle przytoczył grupy społeczne CISO, gdzie można prowadzić rozmowy, a osoby nowe w pionie branżowym nawiązywać nowe kontakty i uzyskiwać porady.
„W przypadku cyberincydentów mających wpływ na wiele organizacji społeczność ds. bezpieczeństwa jest często nieocenionym źródłem porad i wsparcia” – mówi. „Widziałam to podczas Log4Shell i znowu z ostatnimi Naruszenie ThreatViewer.”
Innym miejscem, w którym można uzyskać wskazówki i mentoring, są bezpieczne przestrzenie. Thomas Odams jest dyrektorem zarządzającym Społeczności RANTktórzy oferują Reguła Chatham House wydarzenia. Mówi, iż praca w cyberbezpieczeństwie, zwłaszcza na stanowisku kierowniczym, jest samotnym zajęciem w wielu firmach.
„Kiedy powierzono nam zadanie zapewnienia bezpieczeństwa klejnotom koronnym i zachowania świadomości zagrożeń i zagrożeń, znalezienie bezpiecznej przestrzeni do dzielenia się najlepszymi praktykami, a co ważniejsze, duch korpusu „Współpraca z osobami pełniącymi podobne role w innych organizacjach jest niezbędna do przetrwania i rozwoju w tej branży” – mówi.
Dodaje, iż powszechną reakcją po podzieleniu się takimi doświadczeniami jest świadomość, iż nie jest się samemu z tym problemem, połączona z uczuciem ulgi.
Odams mówi, iż „uczciwe, otwarte i nieformalne dzielenie się informacjami między naszymi członkami” zawsze było promowane, a ich wydarzenia często cieszą się szczególnym wsparciem naszej społeczności CISO, którzy polecają członków swojego zespołu do udziału w konkretnych wydarzeniach poświęconych tematom związanym z ich bieżącymi projektami, co pozwala im korzystać ze zbiorowej mądrości doświadczonych kolegów.
Nie okazuj żadnych oznak słabości
Arora mówi, iż nigdy nie spotkał „ani jednej osoby, która powiedziałaby nie” na prośbę o radę, ponieważ „bardzo chętnie dzielą się swoją mądrością, bo mają tak szeroki i różnorodny punkt widzenia i wiedzą, jak wygląda dobro”.
Arora przyznaje, iż proszenie o pomoc jest postrzegane jako oznaka słabości i istnieje ciągły strach, iż jeżeli poprosisz o pomoc, „zostaniesz ujawniony jako syndrom oszusta „kopnie się”.
Mówi, iż proszenie o radę i pomoc powinno być honorowym wysiłkiem, a ludzie boją się prosić o pomoc tak samo jak o opinię, ale to część bycia CISO. Nie chodzi o to, żeby nie wiedzieć, chodzi o to, żeby się uczyć.
Dodaje, iż to właśnie skłoniło go do dzielenia się radami na LinkedIn, ponieważ ludzie nie rozmawiają o fundamentalnych rzeczach. „Każdy ma problemy – nie mów mi, iż CEO firmy z listy Fortune 500 nie ma oznak słabości i nie mówi: »Mam tylko nadzieję, iż nie popełniłem błędu i nie podjąłem decyzji, która będzie kosztować tę firmę znaczną sumę pieniędzy«”.
Budowanie sieci jest kluczową częścią każdej kariery i ważne jest, aby oferować wsparcie, a społeczności były otwarte i przyjazne. Dzięki temu czynnikowi ludzkiemu, który jest otwarty i gotowy do udzielania porad, możemy spróbować przezwyciężyć niektóre z najczęstszych problemów w strategii cyberbezpieczeństwa – co robisz, gdy wydarzy się najgorsze?
