10 načina da uništite svoju karijeru u bezbednosti

Većina direktora za bezbednost informacija ne očekuje da će biti otpuštena zbog prekršaja bezbednosti. Svega 6,8% od 207 američkih direktora za bezbednost informacija (engl. CISO- chief information security officer) anketiranih od strane Osterman Research-a za Nominet izveštaj 2019, „Život unutar poligona: Razumevanje modernog direktora za bezbednost informacija“, veruje da bi značajno kršenje bezbednosti dovelo do njihovog otpuštanja. Samo 21,7% kaže da bi možda dobili službeno upozorenje. U stvari, većina tih direktora – 56% – kaže da bi im kolege rukovodioci priskočili u pomoć i pomogli im da to razreše.

Autor: Mary K. Pratt

Direktori za bezbednost informacija, međutim, i dalje priznaju da dosta zavisi od njihovog učinka, i da osećaju taj pritisak. Ista studija je, na primer, otkrila da je 55% od 408 anketiranih engleskih i američkih direktora za bezbednost informacija procenilo prosečno trajanje svog zaposlenja na manje od tri godine, dok ih je 30% procenilo na manje od dve. (Američko Ministarstvo rada kaže da je to zapravo 4,2 godine.)

Teško je odrediti koliki je deo tog kretanja dobrovoljan. Mnogo direktora za bezbednost informacija sigurno odlazi u dobrim odnosima i po vlastitoj želji. Ali izvršni savetnici izveštavaju (a neki visoko rangirani slučajevi dokazuju) da su neki izgurani iz različitih razloga, a neki su zaista i otpušteni.  Šta onda može dovesti do takvih sudbina ako kršenje nije ono zbog čega se direktor bezbednosti informacija otpušta? Ovde stručnjaci opisuju 10 scenarija zbog kojih se direktor bezbednosti informacija može otpustiti.

Nesposobnost obraćanja direktorima

Sajber-bezbednost je sada tačka dnevnog reda na nivou izvršnog odbora, a članovi odbora i ceo rukovodeći kadar očekuje od direktora bezbednosti informacija detaljnija obaveštenja o snazi bezbednosne situacije, slabostima u njoj, planovima za unapređenje i kako se sve to uklapa u ukupnu strategiju organizacije. Ipak, mnogi direktori bezbednosti informacija još uvek stižu na to mesto preko niza tehničkih položaja, pa su neadekvatno pripremljeni za držanje prezentacija na strateškom nivou koji odbor očekuje, kaže Darrell Keeling, potpredsednik za informacionu bezbednost u Parkview Health-u i pomoćni profesor u programu za obrazovanje i sertifikate direktora bezbednosti informacija na Fakultetu Heinz za informacione sisteme i javnu politiku Univerziteta Carnegie Mellon.

„Oni nisu mentorisani ili trenirani za obraćanje višim nivoima organizacije“, kaže Keeling. Zbog toga, neki se direktori bezbednosti informacija muče da pitanja vezana za bezbednost predstave strateškim, poslovno usmerenim izrazima koje odbor očekuje, ostavljajući tako odboru utisak ne baš sjajnog šefa bezbednosti. Neki direktori bezbednosti informacija odlučuju da puste direktora bezbednosti ili nekog drugog izvršnog rukovodioca da izveštava u njegovo ime, što dodaje sloj otuđivanja između odbora i direktora bezbednosti informacija. „Dakle, kad se nešto dogodi, primeti se da direktor bezbednosti informacija nije bio transparentan prema odboru“, dodaje Keeling.

Prikrivanje loših vesti

Keeling kaže da uočava još jedan problem kod direktora bezbednosti informacija kada rade sa svojim rukovodećim kolegama i upravnim odborom: mogu da prikrivaju probleme. Kaže da je viđao da direktori bezbednosti informacija svojim odborima izlažu samo pozitivna merenja. Neki direktori bezbednosti informacija to možda rade jer ne žele da izgledaju nekompetentni, kaže Keeling ili možda pogrešno misle da izazovi prelaze okvire tehničkog razumevanja odbora. „Bez obzira na razlog, direktori bezbednosti informacija mogu da se upetljaju u „ Ne mogu odboru da kažem ovo ili ono “, dodaje. Ali odbore nećete zavarati.

Oni možda nisu stručnjaci za bezbednost, ali članovi odbora znaju da je bezbednost organizacije složenija od niza zelenih merenja. I verovatno će izgubiti poverenje u direktora bezbednosti informacija koji nije u stanju da bude otvoren i transparentan prilikom podnošenja izveštaja. „Odbor ne želi da mu se kaže da je sve sjajno. Morate biti u stanju da im prikažete kako organizacija stvarno izgleda. Morate im dati iskrenu ocenu i uveriti ih da imate plan kako da se krene napred “, kaže Keeling.

Iznenađenje za šefa

Generalni direktor, kao i bilo koji drugi direktor koji direktno ili indirektno nadgleda bezbednosnu funkciju, ne voli iznenađenja. Ne želi da bude zabljesnut napadom za koji ih direktor bezbednosti informacija nikada nije upozorio da je uopšte moguć, ili neposrednom potrebom za velikim troškovima – posebno ako im se na takva pitanja prvi put pažnja skrene na sastanku odbora, ili na nekom drugom javnom skupu, kaže John Pescatore, direktor novih trendova bezbednosti u Institutu SANS, organizaciji za obuku u vezi sa sajber-bezbednošću. „Generalni direktor zaista ne želi da na taj način saznaje za bezbednosne potrebe“, kaže Pescatore. Ako se to desi, dani direktora bezbednosti informacija mogli bi biti odbrojani.

Biti prepušten sam sebi

Direktori bezbednosti informacija mogu da ostanu usamljeni ako ukazuju na probleme i nikoga nije briga, kaže Mansur Hasib, bivši izvršni direktor IT koji je sada predsedavajući programom kibernetičke bezbednosti u Graduate School na Univerzitetu Mariland Global Campus. U takvim slučajevima, direktor bezbednosti informacija bi mogao da se sukobi sa drugim rukovodiocima u preduzeću koji možda neće tolerisati njegova pitanja o njihovim prioritetima.

Nezgodna je situacija, priznaje Hasib, ako se zalaže za etički put kad drugi ne brinu o tome. On savetuje rukovodioce bezbednosti da u takvoj situaciji odu, pre nego što njihov ugled pretrpi štetu. Još je bolje, kaže on, da buduću direktor bezbednosti informacija pokuša da utvrdi etičke stavove organizacije pre nego što preuzme mesto, tako da tokom procesa intervjua postavi pitanja o ključnim vrednostima organizacije i rukovodilaca.

Biti odeljenje za ‘ne’

S druge strane, direktori bezbednosti informacija koji žele da zadrže svoju funkciju ne smeju dozvoliti da bezbednosna pitanja postanu prepreka za rast poslovanja, kaže Pescatore. „Postoje grupe za bezbednost koje kažu: „ Ne možemo da budemo sigurni da je [predložena nova poslovna inicijativa] bezbedna, pa postavljamo zamerke da ih ne bismo uopšte dozvolili. “ To je još jedno pitanje u kojem vidite da će se izvršnom direktoru bezbednosti informacija reći da ode, to su slučajevi u kojima se direktor bezbednosti informacija doživljava kao prepreka poslovnom uspehu, gde on samo postavlja prigovore, umesto da pronalazi rešenja.

Propuštanje nečeg velikog

Iako većina direktora bezbednosti informacija ne očekuje da će biti otpuštena ako dođe do kršenja bezbednosti, oni ipak mogu očekivati probleme na poslu ako zanemaruju ili propuštaju upozorenja, kaže Pescatore. Direktori bezbednosti informacija koji su propustili bezbednosne rupe u kompanijama koje su njihove vlastite organizacije morale da obezbede ili direktori bezbednosti informacija koji su drastično potcenili rizike sa kojima se suočavaju njihova preduzeća u vezi sa poznatim bezbednosnim pretnjama, često se šalju iz firme. Čak i ako se nastali problemi suzbiju, generalni direktor i upravni odbor izgubili su poverenje da je njihov direktor bezbednosti informacija sposoban za posao, objašnjava Pescatore.

Kašnjenje za konkurentima

Rukovodeći tim i članovi odbora imaju priliku da ocenjuju svoje bezbednosne programe i njihovo vođstvo kada slični problemi pogode više organizacija, upozorava Pescatore. Tako će svaki direktor bezbednosti informacija koji u obnavljanju usluga i vraćanju u normalu zaostaje za konkurentskim organizacijama ili sličnim preduzećima ustanoviti da će biti pozvan na odgovornost. „Bićete otpušteni jer je kompanija izgubila više od konkurencije koju je pogodio isti problem“, kaže on.

Prihvatanje uloge žrtvenog jarca

Direktor bezbednosti informacija koji prihvati ulogu u preduzeću u kojem je pozicija spuštena za nekoliko nivoa na organizacionoj šemi i gde plata dramatično zaostaje iza ostalih glavnih rukovodilaca, trebalo bi da shvati da su mu dani odbrojani, kaže Hasib. Kaže da je njegovim istraživanjem utvrđeno da te organizacije žele da neko bude u položaju isključivog krivca kada nešto neminovno pođe po zlu.

„Mnogi ljudi ne gledaju organizacionu šemu, ali to je najkritičnije definisanje načina na koji se gleda na bezbednost; neke organizacije namerno angažuju nekoga ko će biti žrtveni jarac,“ kaže Hasib, objašnjavajući da mesto koje direktor bezbednosti informacija zauzima u izvršnoj strukturi ukazuje na to da li organizacija smatra bezbednost kao pokretača posla ili jednostavno kao mesto troška. Jedan broj direktora bezbednosti informacija mogao bi biti u tom položaju; uzmimo u obzir, na primer, da je istraživanje 209 direktora bezbednosti informacija od strane Forbes Insight-a i proizvođača softvera Fortinet za 2019. godinu utvrdilo da 36% kaže da neadekvatan budžet ima značajan uticaj na njihove programe kibernetičke bezbednosti – 18% je reklo da su im najveće ograničenje budžetska ograničenja.

Dopuštanje neprijateljskog radnog okruženja

Brojevi su neumoljivi: Prema izveštaju za 2019. godinu, (ISC) ² Studija radne snage za sajber-bezbednost: „Žene u sajber-bezbednosti“, žene čine samo približno četvrtinu radne snage u sajber-bezbednosti. U međuvremenu, izveštaj za 2018. godinu „Inovacije putem uključivanja: Multikulturalna radna snaga za kibernetičku bezbednost, iz (ISC) ² i Međunarodnog konzorcijuma manjinskih stručnjaka za kibernetiku (ICMCP), utvrdili su da je zastupljenost manjina u profesiji kibernetičke bezbednosti 26%, a rasne i etničke manjine imaju tendenciju zauzimaja pozicija koje nisu rukovodeće. Pescatore kaže da neka odeljenja bezbednosti zadržavaju negostoljubivu kulturu. Ako je to danas još uvek slučaj za direktore bezbednosti informacija, oni mogu očekivati da će više generalnih direktora i odbora tražiti unapređenje tako da menjaju rukovodstvo na vrhu.

Neuspeh u stvaranju pravog tima

Nijedan direktor bezbednosti informacija ne može sve sam, a oni koji pokušaju naći će se preplavljeni poslom, ugrožavajući bezbednost organizacije i ometajući sopstvenu karijeru. „Ako se ne okruže jakim ljudima koji imaju znanje da rade kako treba, onda neće uspeti. Dakle, direktor bezbednosti informacija bi trebalo da bude ovlašćen da zapošljava prave ljude “, kaže Hasib, autor programa Cybersecurity Leadership: Powering the Modern Organization. Hasib kaže da i dalje vidi da neki direktori bezbednosti informacija prenaglašavaju bezbednosna rješenja zasnovana na tehnologiji, umesto da uravnotežuju tehnologiju sa procesima i ljudima kao delovima bezbednosne trijade. On i drugi kažu da direktori bezbednosti informacija moraju da daju prioritet izgradnji vrhunskog tima ako žele da dobiju kvalifikovane stručnjake za bezbednost za kojima je u današnje vreme velika potražnja. To pokazuje njihovim rukovodećim kolegama da im je zaista mesto u najvišem nivou rukovodstva.

Izvor: CSO

5620-xa-10-nacina-da-unistite-svoju-karijeru-u-bezbednosti-xa