Дорожная карта карьеры CISO в России

Пришедший с Запада термин CISO (Chief Information Security Officer) сам по себе неплохо иллюстрирует разнообразие видов и уровней зрелости функций информационной безопасности в организациях. Каноничный перевод «руководитель службы информационной безопасности» плохо отражает реальность — CISO CISO рознь, причем рознь иногда в 10 и более раз по компенсации, размеру подразделения и бюджету. Такое разнообразие запутывает планирующих свое развитие и карьеру специалистов, поэтому для них и подготовлена следующая классификация из пяти основных типов CISO, что встречаются в России.

Микро-CISO

Должность: инженер, аналитик или специалист по кибербезопасности, защите информации, ПДиТР или ИБ.

Штат, бюджет: отсутствуют.

Подчинение: начальнику ИТ-инфраструктуры или начальнику отдела экономической безопасности.

Полномочия: в основном в рамках функции ИТ/экономической безопасности в рамках подразделения подчинения (например, штаб-квартира).

Компенсация: обычно до 100 (здесь и далее тысяч рублей в месяц)

Мини-CISO

Должность: менеджер по ИБ.

Штат, бюджет: есть что-то одно: свои специалисты или свой бюджет.

Подчинение: ИТ-директору, директору по безопасности или руководителю службы внутреннего контроля.

Полномочия: в основном в рамках функции подчинения и смежных подразделений поддержки (безопасность, юридическая служба, HR) в рамках подразделения подчинения.

Компенсация: до 200.

CISO

Должность: руководитель подразделения (отдела, сектора или группы).

Штат, бюджет: есть и то, и другое.

Подчинение: ИТ-директору, директору по безопасности или руководителю службы внутреннего контроля.

Полномочия: полностью подразделения подчинения (обычно штаб-квартира), регионы сильно самостоятельны. Иногда включает одну из смежных функций: инженерно-техническую защиту, антифрод (банки/ритейл/телеком), организацию охранной деятельности, управление непрерывностью деятельности.

Компенсация: до 300.

Макро-CISO

Должность: руководитель дирекции, управления, департамента (стоит на уровне ИТ-директора).

Штат, бюджет: есть и то, и другое.

Подчинение: ИТ-директору, директору по безопасности, руководителю службы внутреннего контроля, директору по рискам или операционному директору.

Полномочия: штаб-квартира и регионы. Обычно включает минимум одну из смежных функций: инженерно-техническую защиту, антифрод (банки/ритейл/телеком), организацию охранной деятельности, управление непрерывностью деятельности.

Компенсация: до 800.

Мега-CISO

Должность: управляющий/исполнительный директор по ИБ, руководитель службы, вице-президент (стоит на уровне CIO или выше).

Штат, бюджет: есть и то, и другое.

Подчинение: первое лицо/акционер, минимум операционный директор или влиятельный заместитель председателя правления (например, курирующий корпоративный бизнес в универсальном банке с уклоном в обслуживание корпоративных клиентов).

Полномочия: вся группа компаний, включая регионы и международные активы. Обычно включает минимум две из смежных функций: инженерно-техническую защиту, антифрод (банки/ритейл/телеком), организацию охранной деятельности, управление непрерывностью деятельности. Иногда имеет право подписи от имени организации (доверенность).

Компенсация: до миллиона.

Каждая следующая ступень в норме строится на предыдущей, а значит для появления позиций класса мега-CISO организация должна создать все предыдущие — и понять, что их полномочия недостаточны. Однако при наличии прозрачной бизнес-необходимости и желания акционеров и менеджмента возможно и «пересаживание» позиции в организацию (как цветок пересаживают в горшок). При этом такой вариант потребует дополнительных усилий по налаживанию совместной работы от организации и специалиста.