CIO vs CISO = конфликт интересов?
Или CIO + CISO = эффективный тандем?

Говоря про ресурсы, бюджеты, которые находятся у CIO и CISO, их соотношение в разы и даже на порядки больше в пользу CIO. При этом задачи ИБ зачастую вносят серьезные коррективы в работу CIO, а иногда и ставят качество его работы под сомнение высшему руководству, и на передний план выходит CISO. CISO следует рассматривать не как технического руководителя по ИБ, что является наиболее распространенным, но как управленца по безопасности информации в более широком смысле.

Задачи и место в структурах управления

В работе CIO и CISO во многом пересекаются. Внедряя новые технологии и системы или проводя структурные изменения и модернизацию существующего IТ-ландшафта, CIO использует системы, в которых в той или иной степени "закрываются" вопросы классического трехзвенника задач CISO – обеспечения конфиденциальности, целостности, доступности. Обеспечивая же внедрение в организации системы управления информационной безопасностью, CISO использует продукты и технологии, которые ложатся на существующую IТ-архитектуру, находящуюся в зоне ответственности CIO.

В управленческих структурах организаций роли и место CIO и CISO определены иерархией подчиненности. В России наиболее распространены следующие три архитектуры.

CISO подчинен CIO, подразделение информационной безопасности является составной частью IТ-службы. Так обычно строится работа тех компаний, где угрозы ИБ не являются маржинальными в общей структуре управления рисками. Очевидно, конфликты, возможное противостояние и иные негативные факторы между CIO и CISO в таком случае минимальны.

Второй вариант: CIO и CISO находятся на разных управленческих ветках в иерархии, но, возможно, в разных "весовых категориях". Общим руководителем для них может быть технический или генеральный директор или вице-президент, отвечающий за операционную или исполнительную работу. В ряде компаний (по большей части – финансового сектора) обе эти функции (CIO, CISO) подчинены советам директоров. Это более рисковая схема корпоративного управления с точки зрения взаимоотношений CIO и CISO, и вопросам их эффективного тандема при этом должно быть уделено существенное внимание со стороны высшего управляющего органа организации. Такие схемы реализуются в организациях, где роль обеспечения информационной безопасности высока, высоки и риски потерь.

Третий распространенный вариант управленческой структуры – CISO подчинен руководителю подразделения внутреннего контроля (аудита) или руководителю службы безопасности. Это, пожалуй, наиболее рисковая управленческая схема для совместной работы CIO и CISO. Большинство конфликтных ситуаций и противостояний между CIO и CISO возникают именно в таких управленческих схемах. Широкое распространение таких систем управления обычно основывается на потребностях контроля работы подразделений IТ и, соответственно, необходимости иметь для этого в своей структуре собственные компетентные в IТ и ИБ подразделения.

Насколько эффективна та или иная структура и место CIO и CISO в ней – зависящий от многих факторов (зачастую и персоналий) вопрос отдельных исследований. Для предприятия же в целом важно, чтобы ресурс CIO и ресурс CISO были использованы с максимальной отдачей, как и их совместная работа.

Когда начинается конфликт

Вот лишь несколько распространенных факторов, определяющих возникновение конфликтов IТ и ИБ.

Отсутствие в организации достаточной нормативной и регламентной базы

Это является, пожалуй, одним из самых существенных источников потенциальных разногласий и конфликтов. Так, отсутствие формализованных на верхнем уровне стратегий IТ и политик ИБ в компаниях фактически ставит работу этих служб в условия неопределенности или ручного управления, при котором каждый проект или задача могут решаться с разной и не всегда оправданной степенью вовлечения IТ или ИБ. Это оставляет возможности манипулирования и неоправданных перекосов.

Управленческие перекосы

В организациях, где у CIO и у CISO есть разные вышестоящие руководители, подчиняющиеся, в свою очередь, первому лицу (высшему органу) компании, пользуясь большим авторитетом и влиянием, такие руководители придают соответствующее значение и важность работы подчиненным службам. В результате могут возникать как недоработки, связанные с недостаточным вниманием вопросам ИБ, так и обратно – задачи ИБ становятся неоправданно более приоритетными.

Конфликт руководителей высшего уровня

Может использоваться для неоправданного завышения или подмены роли подчиненных руководителям подразделений, при котором CIO и CISO фактически ставятся в заведомо конфликтные условия. Такие ситуации, когда, например, CIO подчинен финансовому директору, CISO – руководителю службы экономической безопасности, и между руководителями верхнего уровня возникает противостояние, хорошо известны.

Передел ресурсов

Обычно возникает в компаниях, где CIO и CISO разделены в управленческой структуре в ходе реализации совместных проектов с жесткими сроками и бюджетами или при необходимости решения задач CISO ресурсами CIO в условиях ресурсной ограниченности.

Срывы в работе

Инциденты в информационной безопасности в IТ-системах: кража информации, взлом систем, потеря или искажение данных, получение несанкционированного доступа с возникающими последствиями – могут расцениваться как срывы в работе CISO, не уделившего достаточного внимания по своему направлению в совместной с CIO деятельности. Отношение в таких ситуациях руководства CISO к его работе может явно или неявно способствовать развитию конфликтных ситуаций в сложившейся и устоявшейся системе отношений IТ и ИБ. Чем большие последствия имеет тот или иной инцидент, тем больше он может повлиять на взаимоотношения CIO и CISO.

Эффективно построенная работа

Конфликтов IТ- и ИБ-служб можно и нужно избегать, но правильнее их предвидеть и не создавать условий для их возникновения. При этом не должны создаваться предпосылки неэффективного решения этими службами своих задач.

Оптимально построенная структура управления

Эта задача, скорее всего, для высшего руководства: установить в управленческой иерархии организации с учетом роли и потребностей место IТ- и ИБ-структур, их систему подчиненности. На более низких уровнях участие в управлении и принятии решений по IТ и ИБ может определяться соответствующими положениями по проектному управлению, управлению рисками, управлению изменениями и пр. В матричных структурах управления, где у CIO и/или CISO может быть несколько руководителей, кураторов, необходимо добиваться четкого, формализованного определения целей, задач, прав и зон ответственности как со стороны руководящих, так и со стороны подчиненных структур. Это не только поможет избежать возможностей "свободного плавания" и исключит потенциальные угрозы возникновения конфликтов, но и позволит не снизить эффективность работы.

Планирование работы, регламентирование и открытость

Наличие в компании в необходимом объеме внутренних руководящих документов позволяет детерминировать роли IТ и ИБ, не только исключая привязку к персоналиям, но и обеспечивая ясность и прозрачность работы служб – от стратегии до роли и задач IТ и ИБ в каждом направлении и проекте. Открытость предполагает прежде всего обмен между CIO и CISO информацией в необходимом объеме по управлению изменениями, рисками, проектной работе, процессному управлению. В наилучшем виде такой обмен и задействование в соответствующих процессах и проектах служб IТ и ИБ должен быть закреплен организационно-распорядительными документами.

Участие в общих органах управления

Комитеты по IТ с участием CISO и по ИБ с участием CIO являются теми площадками, работа на которых позволит избежать многих потенциальных разногласий и обеспечит необходимую расстановку приоритетов, ресурсов, прозрачность и открытость, слаженную работу служб в целом.

Корпоративная культура и работа в команде

Даже если между руководителями IТ и ИБ существуют предпосылки для потенциальных конфликтов, они не перейдут в конфликты при развитой и сформированной в компании корпоративной культуре отношений. Руководители, понимая отрицательные в таких случаях перспективы для обеих сторон, просто вынуждены будут искать командные методы работы или создавать механизмы командной работы при их отсутствии.

Что в итоге?

Все производственные конфликты между CIO и CISO можно объяснить либо личностными, либо управленческими факторами, либо некорректно выстроенными процессами. Отсутствие же таких конфликтов при эффективно решаемых задачах IТ и ИБ – скорей, не естественная ситуация, а заслуга в управлении компанией.