# Как директору по безопасности получить место в совете директоров: стратегия от CEO CrowdStrike

Источник: https://www.youtube.com/watch?v=Bt3Og0434To
Канал: Cybercrime Magazine
Опубликовано: 14.09.2025

---

В современном корпоративном мире роль директора по информационной безопасности (CISO) претерпевает фундаментальную трансформацию. На конференции RSAC 2025 основатель и генеральный директор CrowdStrike Джордж Курц представил стратегическое руководство для CISO, стремящихся занять место в советах директоров публичных компаний, проводя параллель с эволюцией роли финансовых директоров после кризисов начала 2000-х годов.

## 🛡️ Эволюция кибербезопасности: от «кладовки» до зала заседаний
[[JUMP:01:54]]

Джордж Курц вспоминает, что в 1990-х годах его карьера в безопасности начиналась буквально в «подсобке для швабр», где он проводил тесты на проникновение с использованием модема на 1200 бод [02:02]. С тех пор отрасль прошла огромный путь:

*   **1990-е:** Эра энтузиастов и изолированных ИТ-отделов.
*   **2000-е:** Появление серьезных угроз (например, операция Aurora) вывело кибербезопасность на карту приоритетов бизнеса [02:14].
*   **2025 год и далее:** Киберриски становятся определяющими для бизнеса, а присутствие эксперта по безопасности в совете директоров — насущной необходимостью [02:35].

По прогнозу Курца, в ближайшее десятилетие каждая публичная компания либо будет иметь CISO в составе совета директоров, либо горько пожалеет о его отсутствии [02:40]. Когда меняется природа рисков, должен меняться и состав высшего руководства.

## 📈 Уроки истории: путь CFO как дорожная карта для CISO
[[JUMP:04:26]]

Чтобы понять будущее CISO, Курц предлагает взглянуть на историю финансовых директоров (CFO). 50 лет назад советы директоров состояли преимущественно из инсайдеров и друзей генерального директора, а комитеты по аудиту практически не имели реальных полномочий по надзору за рисками [03:35].

Ситуацию радикально изменили финансовые скандалы начала 2000-х (Enron, WorldCom, Tyco) [04:02]. В 2002 году в США был принят закон Сарбейнса — Оксли (Sarbanes-Oxley Act, SOX), который ввел строгие требования к финансовой отчетности и контролю.

1.  **Закон как катализатор:** SOX сделал комитеты по аудиту обязательными и профессиональными [05:24].
2.  **Результат сегодня:** В настоящее время около 50% финансовых директоров в мире (и около 40% в США) занимают места в советах директоров [05:36]. Более двух третей членов аудиторских комитетов — это люди с опытом CFO.

По мнению генерального директора CrowdStrike, современные требования SEC по раскрытию информации об инцидентах и управлении киберрисками — это аналог «момента Сарбейнса — Оксли» для ИТ-безопасности [06:41]. Угрозы порождают регулирование, а регулирование меняет структуру управления.

## 📊 Матрица компетенций: как попасть в «шорт-лист»
[[JUMP:11:01]]

Согласно статистике, которую приводит Курц, 72% советов директоров активно ищут экспертов в области кибербезопасности, однако реально такая экспертиза есть лишь у 29% советов [07:35]. Этот разрыв между спросом и предложением — колоссальная возможность для профессионалов.

Ключевым инструментом для подготовки CISO спикер называет «матрицу навыков совета директоров» (Board Skills Matrix). Публичные компании обязаны раскрывать эту информацию в своих прокси-отчетах (proxy statements) [11:14]. Типичная матрица включает категории:

*   Технологии и кибербезопасность;
*   Бизнес-стратегия и лидерство;
*   Финансы и бухгалтерский учет;
*   Управление рисками и регуляторика;
*   Конфиденциальность данных [12:12].

Курц подчеркивает: чтобы претендовать на место, недостаточно быть просто «технарем». Нужно понимать разницу между управлением компанией (Management) и надзором со стороны совета (Board). Совет не управляет процессами напрямую, он дает стратегические ориентиры и помогает в распределении капитала [10:32].

## 🗣️ Язык бизнеса: Время, Деньги и Юридические риски
[[JUMP:14:00]]

Одной из главных ошибок CISO Курц считает использование профессионального жаргона в общении с руководством. Для успешной интеграции в совет директоров необходимо выучить «язык правления», который состоит из трех китов:

1.  **Время:** Как быстро мы можем выйти на рынок? Сколько времени займет восстановление после сбоя? Генеральные директора всегда ищут способы «сжать» время [14:40].
2.  **Деньги:** Нужно понимать маржинальность, масштабирование бизнеса и финансовые показатели. CISO должен быть способен обсуждать влияние ИБ-инвестиций на финансовый результат [15:04].
3.  **Юридические и регуляторные риски:** Советы директоров постоянно сталкиваются с судебными исками и расследованиями. По мнению Курца, бесценным качеством является умение «переводить» технические уязвимости на язык юридических последствий и ответственности [15:43].

Средняя потеря рыночной капитализации публичной компании после серьезного взлома составляет порядка $5,4 млрд [07:07]. Это делает кибербезопасность не просто технической проблемой, а ключевым событием в жизни бизнеса, которое обсуждается в отчетах для акционеров.

## 👤 Личный бренд и «игра на опережение»
[[JUMP:16:15]]

Попадание в совет директоров редко происходит через открытые вакансии на сайтах по поиску работы. Курц дает несколько практических советов:

*   **Ищите вход через комитеты:** Часто советы ищут людей под конкретные задачи в технологический комитет или комитет по рискам [12:41].
*   **Будьте «мухой на стене»:** После своего доклада на совете директоров в качестве приглашенного CISO, попросите разрешения остаться и послушать обсуждение других вопросов [16:33]. Это покажет вашу заинтересованность в бизнесе в целом и поможет познакомиться с членами совета в неформальной обстановке.
*   **Сертификация:** Спикер рекомендует обратить внимание на программы Национальной ассоциации корпоративных директоров (NACD), чтобы получить формальное подтверждение квалификации [17:13].

В качестве примера успешной реализации этой стратегии Курц приводит Адама Зера (Adam Zerr), CISO CrowdStrike, который вошел в совет директоров Advent Health [17:44]. Зер не просто ограничился ИБ-компетенциями, а получил степень магистра в области ИТ-менеджмента и активно выстраивал отношения с бизнес-лидерами. Еще один пример — Фил Венаблс (Phil Venables), чей успех в советах директоров Goldman Sachs был обусловлен тем, что «это никогда не касалось только безопасности, а всегда касалось стратегической ценности для организации» [19:11].

В завершение Курц призвал коллег «посмотреть в зеркало» и честно оценить свои навыки. Стать лидером в зале заседаний — это вызов, требующий выхода из зоны комфорта, но текущая рыночная ситуация делает этот путь максимально открытым [19:32].