Как использовать типологию иб-специалистов на практике

В статье «Типология ИБ-специалистов: или как CEO разговаривать с CISO» мы рассмотрели шестнадцать психотипов ИБ-специалистов и предложили базовую логику коммуникации с каждым из них. Эта статья - практическое продолжение: где искать тот или иной психотип CISO, как применять типологию при найме и в текущей работе, и что делать, если реальность оказалась сложнее схемы.

Отраслевой портрет: где «живут» разные психотипы

Психотип ИБ-специалиста формируется не только личностью, но и средой. Организация действует как фильтр - она отбирает, воспроизводит и закрепляет определённые поведенческие стереотипы. Три фактора влияют на то, какой психотип наиболее релевантен корпоративной культуре организации:

• Регуляторная нагрузка. Чем жёстче внешний контроль, тем выше вероятность появления Ограничителя, Аудитора и Бывшего силовика. Регуляторика буквально «выращивает» людей, для которых соответствие требованиям важнее реальной защищённости (и как бы вы к этому не относились, на практике это так).
• Динамика бизнеса. Быстрорастущие компании порождают Мечтателей, Евангелистов и Политиков - среда требует красивых концепций и умения продавать идеи. Зрелые среды воспроизводят Параноиков и Сертификатчиков - там ценится стабильность и формальная безупречность.
• Культура ответственности. Там, где за инциденты «казнят», расцветают Перестраховщики и Аудиторы, там, где их замалчивают - Политики. Там, где ценят людей - появляются Воспитатели и Медиаторы.

В целом, естественно с определенной долей условности, можно выделить следующие отрасли и характерные для них психотипы:

1. Банки и финансовый сектор

• Доминируют: Ограничитель, Аудитор, Политик, Бывший силовик
• Встречаются: Сертификатчик, Параноик, Воспитатель
• Редко: Мечтатель, Энтропик, Практик, Евангелист, Ментор

Банковский сектор — наиболее зарегулированная среда в российской практике: ЦБ РФ, ФСТЭК, ФСБ России, 152-ФЗ, 187-ФЗ, PCI DSS. Регуляторная нагрузка настолько высока, что система сама «выдавливает» неудобных. Мечтатель не выживает, потому что нет пространства для экспериментов вне регуляторного периметра. Энтропик немыслим в среде, где каждое действие должно быть задокументировано. Практик теряется в процессном мире банка - ему не дают просто «сделать руками».

Ограничитель здесь не просто выживает - он востребован: его «нельзя» подкреплено реальными штрафами и предписаниями регулятора. Аудитор расцветает, потому что документооборот в банке - это не бюрократия, а защита от претензий ЦБ РФ. Политик появляется на уровне CISO крупного банка: при постоянном взаимодействии с советом директоров умение «хорошо выглядеть» становится функциональным навыком.

Воспитатель встречается в HR-зрелых банках с развитыми программами повышения осведомлённости сотрудников - это среда, где обучение безопасности поставлено на поток.

Риски для CEO: высокий уровень формального соответствия при возможном дефиците реальной защищённости.

2. Крупные промышленные предприятия и энергетика

• Доминируют: Бывший силовик, Ограничитель, Пожарный
• Встречаются: Техногик, Энтропик, Практик
• Редко: Управленец, Политик, Евангелист, Воспитатель, Ментор, Медиатор

До 2017 года промышленные предприятия были «заповедником»: туда приходили люди с разными бэкграундами, и внутри можно было встретить весь спектр психотипов. После ужесточения норм по защите критической информационной инфраструктуры система начала воспроизводить преимущественно специалистов, которые умеют работать с государственными требованиями.

Пожарный здесь появляется органично: на производстве инциденты бывают очень дорогими - остановка линии, авария на объекте. Культура «героического устранения последствий» в последнее время нонсенс, профилактику ценят значительно выше.

Практик - частый гость в командах ИБ: там исторически сложилась культура «умелых рук» без документации. Рядом с ним нередко работает Энтропик - разница в том, что Практик всё же знает, что делает, просто не документирует.

Евангелист, Воспитатель и Ментор практически не встречаются: культура безопасности в промышленной среде строится через регламенты и проверки, а не через убеждение и обучение.

Риски для CEO: иллюзия защищённости через соответствие требованиям при реальных уязвимостях в технологиях и инфраструктуре.

3. Государственные структуры и госкорпорации/организации со значительным государственным участием

• Доминируют: Бывший силовик, Аудитор, Сертификатчик
• Встречаются: Мечтатель, Политик, Воспитатель
• Редко: Пожарный, Управленец, Энтропик, Практик, Евангелист, Медиатор

Государственная среда отличается высокой нормативной нагрузкой и низкой динамикой изменений. Это идеальные условия для Аудитора и Сертификатчика - людей, которые хорошо себя чувствуют в стабильной среде с чёткими требованиями. Сертификатчик в госах - не просто частый гость, а системный продукт среды: формальное подтверждение квалификации через дипломы, удостоверения о повышении квалификации, сертификаты и допуски здесь нередко является обязательным требованием при назначении.

Бывший силовик последнее время не преобладает: во многих госструктурах (впрочем, то же верно и для банков и крупных промышленных предприятий) ИБ-подразделения исторически формировались из людей с силовым бэкграундом, где лояльность регулятору - часть профессиональной идентичности, однако последнее время нередко встречаются и выпускники профильных специальностей которые вообще не проходили службу в вооруженных силах или силовых структурах.

Воспитатель встречается в крупных госкорпорациях с развитыми HR-службами - там, где обучение сотрудников требованиям ИБ поставлено как обязательный процесс.

Мечтатель появляется на уровне стратегического планирования: государственные программы цифровизации создают спрос на людей, умеющих писать красивые концепции. Реализация - отдельный вопрос.

Риски для CEO: высокая формальная зрелость при возможном отставании от реальных угроз. Система хорошо защищена от регуляторных претензий, но может быть не готова к атакам, не описанным в нормативных документах.

4. IT (ИБ) -компании и технологические стартапы

• Доминируют: Техногик, Энтропик, Мечтатель
• Встречаются: Управленец (в зрелых компаниях), Евангелист, Практик, Сертификатчик, Ментор
• Редко: Ограничитель, Аудитор, Бывший силовик, Воспитатель

IT-среда культурно противоположна банковской: скорость важнее порядка, эксперимент важнее регламента. Ограничитель здесь быстро становится «тормозом». Аудитор страдает от нехватки документации, которую в IT принципиально не ведут. Впрочем, аудитор может работать на внешнего заказчика, что является относительно распространенной практикой, к примеру, в ИБ-компаниях (т.н. «интеграторах»).

Техногик абсолютно органичен - IT-культура говорит на его языке. Практик рядом с ним: оба технари, но Практик более прагматичен и менее увлечён глубиной - он берёт и делает. Энтропик чувствует себя комфортно - хаос здесь называется agile и считается нормой.

Евангелист расцветает в IT-компаниях с развитой культурой: конференции, митапы, внутренние программы осведомлённости - его среда. Ментор появляется там же, но ориентирован не на публичность, а на реальное изменение культуры внутри команды.

Также востребован Сертификатчик - для имитации опыта и экспертизы перед заказчиками (клиентами).

Управленец появляется в зрелых IT-компаниях, которые понимают, что безопасность - это управление рисками, а не выбор инструментов.

Риски для CEO: высокая техническая компетентность при дефиците процессной зрелости. Основная опасность — «умный хаос»: каждый технически грамотен, но системной защиты нет.

5. Индустрия торговли и дистрибуции

• Доминируют: Управленец, Политик, Аудитор
• Встречаются: Пожарный, Медиатор
• Редко: Параноик, Сертификатчик, Ментор, Евангелист, Практик

В индустрии торговли ИБ исторически воспринимается как сервисная функция. Бюджеты выделяются по остаточному принципу, и на позицию CISO нередко берут людей, умеющих «обосновать» минимальные затраты красивыми отчётами или грамотным обоснованием - отсюда Политики и Управленцы.

Аудитор появляется в крупных сетях там, где объём операций и количество контрагентов требуют документальной дисциплины.

Медиатор встречается в компаниях с высокой операционной нагрузкой на IT: там, где бизнес-подразделения постоянно конфликтуют с ИБ из-за скорости, появляется потребность в человеке, который умеет находить компромисс.

Пожарный: простой системы означает прямую потерю выручки, и культура быстрого «тушения» формируется естественным образом.

Риски для CEO: наибольший разрыв между видимой и реальной защищённостью. Именно в этом секторе чаще всего происходят крупные утечки данных клиентов при формально соответствующей документации.

Матрица приоритизации: влияние на бизнес и риск конфликтности

Матрица (за основу взята матрица Джека Уэлча) помогает CEO быстро оценить, с каким психотипом работать в первую очередь и какие риски учитывать при формировании команды.

• Ось X. Влияние на бизнес (результативность) - насколько деятельность специалиста реально влияет на защищённость компании и её бизнес-результаты.
• Ось Y. Риск конфликтности (ценности) - насколько высока вероятность управленческих трений, блокировок и коммуникативных сбоев.

Рисунок 1. Матрица приоритизации

Квадрант 1. Высокое влияние/Высокая конфликтность: Параноик, Бывший силовик, Ограничитель.

• Описание: эти специалисты реально защищают компанию, но создают операционное трение.
• Задача CEO - направить их энергию в нужное русло: дать чёткие рамки, в которых они могут блокировать, и договориться о механизме эскалации для спорных случаев.

Квадрант 2. Высокое влияние/Низкая конфликтность: Управленец, Аудитор, Техногик, Пожарный, Ментор, Энтропик.

• Описание: это наиболее ценная конфигурация, специалисты работают системно и не создают лишнего шума.
• Задача CEO - дать им ресурсы и доступ к нужным людям и решениям.

Квадрант 3. Низкое влияние/Низкая конфликтность: Воспитатель, Медиатор, Евангелист, Практик, Сертификатчик.

• Описание: эти специалисты полезны на конкретных позициях - обучение, коммуникация с бизнесом, культура безопасности, техническое исполнение.
• Задача СЕО – это психотипы ИБ специалистов, а не CISO (см. предыдущую статью), поэтому подходить к их назначению на должность CISO нужно взвешено – по мнению автора, лучше ограничиться должностью заместителя CISO или советника.

Квадрант 4. Низкое влияние/Высокая конфликтность: Политик, Мечтатель, Энтропик.

• Описание: зона риска. Создают видимость работы и при этом блокируют реальные изменения или вносят хаос. Если специалист попадает в этот квадрант и не меняется при изменении условий - это сигнал для структурного решения.
• Важное уточнение по Энтропику: он легко перемещается из Квадранта 4 в Квадрант 2 (даже в сильно бюрократизированной организации), если поставлен в правильные условия - R&D, управление проектами (направленными на развитие\создание), нестандартные технические задачи без требования к документированию. Иными словами, в неправильной среде он разрушителен, в правильной - незаменим.

Какой психотип нужен компании прямо сейчас?

Прежде чем искать CISO, ответьте на вопрос: на каком уровне зрелости ИБ находится ваша компания?

Уровень 0. ИБ как функция не существует. Нужен Техногик или Практик - человек, который быстро наведёт базовый технический порядок. Управленец здесь будет демотивирован отсутствием инфраструктуры для управления.

Уровень 1. Базовые процессы есть, но хаотичны. Нужен Аудитор или Управленец - тот, кто систематизирует то, что уже есть. Параллельно - Воспитатель для выстраивания культуры внутри команды.

Уровень 2. Процессы работают, нужен рост и интеграция с бизнесом. Нужен Управленец. Только он способен выстроить диалог с CEO на языке бизнес-рисков. Евангелист или Ментор полезны для повышения осведомлённости в компании в целом.

Уровень 3. Зрелая ИБ-функция, нужна специализация. Здесь уже можно и нужно собирать команду из разных психотипов под конкретные направления.

Алгоритм первой встречи (собеседования) с новым CISO

Структура встречи на 60 минут, которая даёт максимум диагностической информации:

• Первые 15 минут - слушаете вы. Попросите рассказать о предыдущем опыте в свободной форме. Не перебивайте. Фиксируйте: о чём говорит с гордостью, что называет проблемами, как описывает отношения с предыдущим руководством.
• Следующие 20 минут - ситуационные вопросы. Используйте вопросы-маркеры (см. ниже). Не оценивайте ответы публично - просто слушайте.
• Следующие 15 минут - контекст компании. Расскажите о текущей ситуации: что есть, чего нет, какие были инциденты, какие ожидания у бизнеса. Наблюдайте за реакцией: какие вопросы задаёт, что интересует в первую очередь.
• Последние 10 минут - договорённости о формате. Спросите напрямую: как он предпочитает получать задачи, как отчитываться, что считает признаком успешной работы через год.

Вопросы-маркеры для интервью (примеры)

• Ограничитель проявит себя на вопросе «Расскажите о случае, когда вам нужно было сделать исключение из правил» - он либо не вспомнит такого случая, либо будет долго оправдываться.
• Техногик выдаст себя на вопросе «Как вы объясняете бизнес-руководству, зачем нужен конкретный инструмент?» - уйдёт в технические детали вместо бизнес-аргументов.
• Аудитор проявится на вопросе «Как быстро вы можете принять решение, когда у вас не хватает данных?» - будет говорить о необходимости дополнительного анализа.
• Бывший силовик выдаст себя на вопросе «Приведите пример, когда требования регулятора противоречили интересам бизнеса. Как вы поступили?» - скорее всего, регулятор победит всегда. Впрочем, данный психотип достаточно хорошо прослеживается по резюме: это явно указано или есть длительный пробел в стаже.
• Мечтатель проявится на вопросе «Какой проект вы начали, но не завершили, и почему?» - либо не признает незавершённых проектов, либо объяснит всё внешними обстоятельствами.
• Управленец выдаст себя на вопросе «Как вы принимаете решение, когда у вас нет всей необходимой информации?» - ответит структурированно, с апелляцией к риск-аппетиту компании.
• Пожарный проявится на вопросе «Расскажите о своей последней плановой работе, которая заняла больше месяца». Скорее всего, такую работу вспомнить будет непросто.
• Параноик выдаст себя на вопросе «Есть ли у вас вендоры или подрядчики, которым вы полностью доверяете?» - ответ «полностью доверяю» для него практически невозможен.
• Сертификатчик проявится на вопросе «Расскажите о ситуации, когда стандарт не помог решить реальную проблему». Либо замешательство, либо рассказ о том, как он нашёл нужный раздел стандарта. Впрочем, также как и Бывший силовик, данный психотип достаточно просто определяется по резюме: наличие множества сертификатов (иногда не релевантных претендуемой должности).
• Политик выдаст себя на вопросе «Расскажите об инциденте, в котором была ваша ошибка» - либо переложит ответственность, либо расскажет историю, где он герой несмотря на «ошибку».
• Энтропик проявится на вопросе «Опишите, как вы документируете свои технические решения». Честный Энтропик скажет, что документирует «в общих чертах» или «когда есть время».
• Практик выдаст себя на вопросе «Как вы взаимодействуете с бизнес-подразделениями?». Скорее всего, коммуникация с бизнесом - не его сильная сторона, и он об этом скажет прямо.
• Медиатор проявится на вопросе «Расскажите о ситуации, когда вы были вынуждены занять жёсткую позицию и отстоять её». Расскажет, как нашёл компромисс.
• Евангелист выдаст себя на вопросе «Как вы измеряете эффективность обучения по ИБ?» - скорее всего, измерением занимается в последнюю очередь.
• Воспитатель проявится на вопросе «Что вам важнее: быстро устранить инцидент или разобрать его с командой, даже если это займёт больше времени?» - выберет второе.
• Ментор выдаст себя на вопросе «Что важнее - вдохновить команду или добиться конкретного результата?» - в отличие от Евангелиста, скажет «результат», но объяснит, что к нему приходит через людей.

Что делать, если CISO совмещает 2-3 типа?

На самом деле - это норма, а не исключение. Чистые психотипы встречаются редко - большинство реальных специалистов сочетают черты нескольких архетипов в разных пропорциях. Один и тот же человек может быть Техногиком в спокойное время и Пожарным в кризис. Аудитор в зрелой компании может развиться в Управленца. Мечтатель после серьёзного инцидента нередко становится Параноиком.

Практическое правило: работайте с доминирующим типом в текущей ситуации.

Навигатор для специалиста: как не ошибиться с выбором компании?

В завершение статьи хотелось бы поговорить и о самом ИБ-специалисте. Здесь логика зеркальна по отношению к основной части статьи: если предыдущие разделы помогают руководителю понять, кто перед ним, то этот помогает специалисту понять, какая организация ему подходит, а куда идти не стоит: Техногик в банке топ-10 не становится хуже как специалист - он просто попадает в среду, которая будет системно его демотивировать. Ограничитель в стартапе - не плохой человек, а человек не на своём месте. Осознание собственного психотипа - это инструмент осознанного выбора, а не повод для самокритики.

Ниже приведена таблица совместимости, которую можно использовать в расстановке приоритетов при поиске места работы или при принятии решения если вас приглашают в другую компанию – стоит ли менять место работы ради небольшого увеличения вознаграждения, а может быть корпоративная среда вам не походит? При этом, важно учитывать, что таблица лишь инструмент для оценки, а не для детерминированного принятия решения - среда влияет на человека, но и человек влияет на среду. Управленец может прийти в госструктуру и постепенно изменить культуру коммуникации. Техногик в банке может найти свою нишу, где его оставят в покое. Ментор в промышленной компании может стать катализатором перемен, если найдёт союзника на уровне CEO. Но это требует осознанности, энергии и готовности к сопротивлению - и об этом лучше знать заранее - до того, как потрачены месяцы адаптации.

Таблица совместимости: психотип - среда