Русский 
English
Français
Deutsch
Español
Italiano
Português
日本語
한국어
Как директора по информационной безопасности и руководители кибербезопасности могут подготовить совет директоров
Руководители отдела информационной безопасности обычно работают над обеспечением безопасности компьютеров, веб-сайтов и приложений своей организации, работая вместе с членами команд по кибербезопасности и ИТ. Раньше роль директора по информационной безопасности была в основном тактической, когда офицеры полностью отвечали за защиту от киберугроз, но сегодня его роль больше связана с проведением и согласованием стратегического планирования, чтобы вся организация могла должным образом предотвращать угрозы как коллектив.
Хотя публичные компании не намерены включать в свои советы директоров экспертов по кибербезопасности, есть свидетельства того, что директора по информационной безопасности действительно преуспели бы на посту директора совета директоров. В этом месяце IANS Research, Artico Search и The CAP Group опубликовали отчет, оценивающий квалификацию директоров по информационной безопасности по индексу Russell 1000 (R1000), в котором перечислены ключевые характеристики заслуживающих доверия кандидатов.
Результаты показывают, что 14% директоров по информационной безопасности, получающих 1000 рандов, или примерно каждый седьмой, выделяются тем, что обладают качествами, необходимыми для должности в совете директоров. Примечательно, что этот отчет появился в то время, когда Комиссия по ценным бумагам и биржам (SEC) работает над завершением разработки новых правил, касающихся киберэкспертизы и прозрачности.
Конечно, одна из причин, по которой SEC и другие организации призывают к увеличению числа директоров по информационной безопасности в советах директоров, заключается именно в том, чтобы они могли привнести свой уникальный опыт в более широкие бизнес-дискуссии на форумах. Но исследования также показывают, что лучшие кандидаты смогут применить и другие навыки.
«Одних лишь знаний в области технологий и кибербезопасности недостаточно для работы в совете директоров», — заявил Брайан Уокер, генеральный директор и советник совета директоров по кибербезопасности The CAP Group, в пресс-релизе. «Директора советов директоров действуют на стратегическом уровне, и в большинстве советов нет места для «пони с одним трюком», поскольку добавление нового директора для каждой сложной области знаний не поддается масштабированию».
Несколько ключевых критериев, которыми должен обладать директор по информационной безопасности для достижения успеха в совете директоров, включают, среди прочего: стаж работы в сфере информационной безопасности, межфункциональный опыт, способность к масштабированию и высшее образование.
Наличие опыта работы в сфере информационной безопасности означает, что человек может похвастаться, как говорится в отчете, «глубоким знанием предметной области» примерно в течение пяти лет в качестве директора по информационной безопасности и 10 или более лет опыта в области информационной безопасности. Владение этим ноу-хау помогает как задавать правильные вопросы, так и оспаривать укоренившиеся предположения.
Кроме того, более широкий опыт ведения бизнеса является дополнительным ключевым требованием. В отчете говорится, что директора по информационной безопасности, имеющие опыт выполнения функций, не связанных с киберпространством, например, основателя компании или консультирования по вопросам стратегии, являются сильными кандидатами на места в совете директоров, поскольку их навыки широки.
Это ведет прямо к следующему предварительному требованию: масштабу. Предположим, у директора по информационной безопасности есть опыт работы руководителем отдела информационной безопасности в крупной глобальной организации, что может показать, что он обладает всеобъемлющим и инклюзивным взглядом на ситуацию и способен ориентироваться в широком круге заинтересованных сторон.
Чтобы добиться успеха в совете директоров, директору по информационной безопасности также потребуется высшее образование, поскольку этот фактор «повышает авторитет совета директоров среди внешних заинтересованных сторон», согласно отчету, и «показывает критическое мышление и аналитические навыки», которые позволят безусловно, поможет человеку на доске.
Разнообразие — еще одна — и, возможно, самая важная — черта, которой должен обладать директор по информационной безопасности, если он хочет войти в совет директоров.
Как сказал в отчете Стив Мартано, партнер и исполнительный рекрутер киберпрактики Artico Search: «Чтобы работать в качестве дополнительного члена совета директоров, нужно иметь уникальное сочетание опыта в предметной области и стратегического управления, а также опыт, который продвигает престиж и разнообразие состава правления».
Действительно, как говорится в отчете, обоснование критериев многообразия заключается в том, что каждый член совета директоров будет предлагать свои собственные разные или новые точки зрения, что поможет группе выявить «слепые зоны» и избежать потенциальных ловушек. Разнообразие нового члена совета директоров может означать, что он, возможно, идентифицирует себя как женщина, цветной человек или представитель другой недостаточно представленной группы (и это соответствует правилу SEC 5605(f)). «В современном мире советы директоров стремятся к разнообразию опыта и идей, а также к расширению возможностей правления для недостаточно представленных групп», — добавил Мартано.