В современном корпоративном мире роль директора по информационной безопасности (CISO) претерпевает фундаментальную трансформацию. На конференции RSAC 2025 основатель и генеральный директор CrowdStrike Джордж Курц представил стратегическое руководство для CISO, стремящихся занять место в советах директоров публичных компаний, проводя параллель с эволюцией роли финансовых директоров после кризисов начала 2000-х годов.
🛡️ Эволюция кибербезопасности: от «кладовки» до зала заседаний 1:54
Джордж Курц вспоминает, что в 1990-х годах его карьера в безопасности начиналась буквально в «подсобке для швабр», где он проводил тесты на проникновение с использованием модема на 1200 бод . С тех пор отрасль прошла огромный путь:
- 1990-е: Эра энтузиастов и изолированных ИТ-отделов.
- 2000-е: Появление серьезных угроз (например, операция Aurora) вывело кибербезопасность на карту приоритетов бизнеса .
- 2025 год и далее: Киберриски становятся определяющими для бизнеса, а присутствие эксперта по безопасности в совете директоров — насущной необходимостью .
По прогнозу Курца, в ближайшее десятилетие каждая публичная компания либо будет иметь CISO в составе совета директоров, либо горько пожалеет о его отсутствии . Когда меняется природа рисков, должен меняться и состав высшего руководства.
📈 Уроки истории: путь CFO как дорожная карта для CISO 4:26
Чтобы понять будущее CISO, Курц предлагает взглянуть на историю финансовых директоров (CFO). 50 лет назад советы директоров состояли преимущественно из инсайдеров и друзей генерального директора, а комитеты по аудиту практически не имели реальных полномочий по надзору за рисками .
Ситуацию радикально изменили финансовые скандалы начала 2000-х (Enron, WorldCom, Tyco) . В 2002 году в США был принят закон Сарбейнса — Оксли (Sarbanes-Oxley Act, SOX), который ввел строгие требования к финансовой отчетности и контролю.
- Закон как катализатор: SOX сделал комитеты по аудиту обязательными и профессиональными .
- Результат сегодня: В настоящее время около 50% финансовых директоров в мире (и около 40% в США) занимают места в советах директоров . Более двух третей членов аудиторских комитетов — это люди с опытом CFO.
По мнению генерального директора CrowdStrike, современные требования SEC по раскрытию информации об инцидентах и управлении киберрисками — это аналог «момента Сарбейнса — Оксли» для ИТ-безопасности . Угрозы порождают регулирование, а регулирование меняет структуру управления.
📊 Матрица компетенций: как попасть в «шорт-лист» 11:01
Согласно статистике, которую приводит Курц, 72% советов директоров активно ищут экспертов в области кибербезопасности, однако реально такая экспертиза есть лишь у 29% советов . Этот разрыв между спросом и предложением — колоссальная возможность для профессионалов.
Ключевым инструментом для подготовки CISO спикер называет «матрицу навыков совета директоров» (Board Skills Matrix). Публичные компании обязаны раскрывать эту информацию в своих прокси-отчетах (proxy statements) . Типичная матрица включает категории:
- Технологии и кибербезопасность;
- Бизнес-стратегия и лидерство;
- Финансы и бухгалтерский учет;
- Управление рисками и регуляторика;
- Конфиденциальность данных .
Курц подчеркивает: чтобы претендовать на место, недостаточно быть просто «технарем». Нужно понимать разницу между управлением компанией (Management) и надзором со стороны совета (Board). Совет не управляет процессами напрямую, он дает стратегические ориентиры и помогает в распределении капитала .
🗣️ Язык бизнеса: Время, Деньги и Юридические риски 14:00
Одной из главных ошибок CISO Курц считает использование профессионального жаргона в общении с руководством. Для успешной интеграции в совет директоров необходимо выучить «язык правления», который состоит из трех китов:
- Время: Как быстро мы можем выйти на рынок? Сколько времени займет восстановление после сбоя? Генеральные директора всегда ищут способы «сжать» время .
- Деньги: Нужно понимать маржинальность, масштабирование бизнеса и финансовые показатели. CISO должен быть способен обсуждать влияние ИБ-инвестиций на финансовый результат .
- Юридические и регуляторные риски: Советы директоров постоянно сталкиваются с судебными исками и расследованиями. По мнению Курца, бесценным качеством является умение «переводить» технические уязвимости на язык юридических последствий и ответственности .
Средняя потеря рыночной капитализации публичной компании после серьезного взлома составляет порядка $5,4 млрд . Это делает кибербезопасность не просто технической проблемой, а ключевым событием в жизни бизнеса, которое обсуждается в отчетах для акционеров.
👤 Личный бренд и «игра на опережение» 16:15
Попадание в совет директоров редко происходит через открытые вакансии на сайтах по поиску работы. Курц дает несколько практических советов:
- Ищите вход через комитеты: Часто советы ищут людей под конкретные задачи в технологический комитет или комитет по рискам .
- Будьте «мухой на стене»: После своего доклада на совете директоров в качестве приглашенного CISO, попросите разрешения остаться и послушать обсуждение других вопросов . Это покажет вашу заинтересованность в бизнесе в целом и поможет познакомиться с членами совета в неформальной обстановке.
- Сертификация: Спикер рекомендует обратить внимание на программы Национальной ассоциации корпоративных директоров (NACD), чтобы получить формальное подтверждение квалификации .
В качестве примера успешной реализации этой стратегии Курц приводит Адама Зера (Adam Zerr), CISO CrowdStrike, который вошел в совет директоров Advent Health . Зер не просто ограничился ИБ-компетенциями, а получил степень магистра в области ИТ-менеджмента и активно выстраивал отношения с бизнес-лидерами. Еще один пример — Фил Венаблс (Phil Venables), чей успех в советах директоров Goldman Sachs был обусловлен тем, что «это никогда не касалось только безопасности, а всегда касалось стратегической ценности для организации» .
В завершение Курц призвал коллег «посмотреть в зеркало» и честно оценить свои навыки. Стать лидером в зале заседаний — это вызов, требующий выхода из зоны комфорта, но текущая рыночная ситуация делает этот путь максимально открытым .
