Типология ИБ-специалистов: или как CEO разговаривать с CISO

Умение выстраивать диалог между бизнесом и службой информационной безопасности - один из ключевых факторов устойчивости компании. CEO (Chief Executive Officer) и CISO (Chief Information Security Officer) нередко говорят на разных языках, что порождает взаимное недопонимание и управленческие риски. В этой статье предлагается практическая типология ИБ-специалистов, которая поможет CEO выстроить эффективную коммуникацию с командой безопасности.

Почему CEO и CISO не слышат друг друга?

В большинстве компаний разговор между генеральным директором (CEO) и директором по информационной безопасности (CISO) напоминает переговоры двух людей, говорящих на разных языках. CEO хочет роста, скорости и прибыли. CISO говорит о рисках, угрозах и комплаенсе. Первый видит второго как тормоз. Второй видит первого как источник опасных решений.
Проблема не в личностях - она в архетипах.

Стереотипы, которые мешают диалогу?

Прежде чем говорить о типологии, важно честно назвать то, что обычно остаётся за кадром: у топ-менеджеров сложился устойчивый негативный образ ИБ-специалиста. Три ярлыка, которые приклеивают чаще всего:

• Медленные. «Согласование политики безопасности - три недели. Почему так долго?» Это воспринимается как саботаж или некомпетентность. На самом деле за этим часто стоит не лень, а профессиональная рассудительность, необходимость провести глубокий анализ ситуации и сопоставить с текущим состоянием информационной инфраструктуры и/или требованиями регуляторов.
• Не берут ответственность. «Они всегда предупреждают о рисках, но никогда не говорят, что делать». Это привычка к передаче рисков у людей, которые годами работают в культуре, где за любую аварию ищут виноватого.
• Говорят на непонятном языке. Непрозрачность в коммуникации, жаргон (непонятные для CISO термины), уклончивые ответы. Этот ярлык говорит сам за себя и является сигналом полного коммуникативного разрыва.

Названные стереотипы не беспочвенны, но они описывают симптомы, а не причины. Чтобы выстроить нормальный диалог, нужно понять, с каким именно типом специалиста вы работаете.

Базовая типология специалистов по ИБ

Шесть архетипов, описанных ниже, формируют ядро типологии. Они покрывают большинство CISO и руководителей ИБ-подразделений, с которыми приходится работать CEO. Данную типологию придумал на основе своей практики известный эксперт и CISO – Лев Палей и активно применяет ее в своем авторском модуле «Корпоративный боец» на курсе МВА (Master of Business Administration) в РАНХиГС:

1. Ограничитель. «Это запрещено. И вот это тоже. И вот то».
   Для этого специалиста безопасность равна запрету. Он стоит у входа в систему скрестив руки, и его главный инструмент - слово «нельзя». Постоянно апеллирует к регламентам, всегда может найти, за что упрекнуть. Из него получается отличный контролёр на этапе проверки, но может создавать существенные сложности на этапе проектирования.

Психологический профиль: высокий уровень тревожности, потребность в контроле, избегание неопределённости. Часто формируется в средах с жёсткой регуляторикой или после серьёзного инцидента в карьере.

Как с ним разговаривать (инструкция по применению): не спорьте о правилах - предложите ему участие в разработке исключений. Фраза «помоги мне понять, как сделать это безопасно» переключает его из режима блокировки в режим решения задачи. Он хочет контроля - дайте ему контроль над процессом, а не над результатом.

2. Техногик. «Для этой задачи есть отличный инструмент — дай расскажу».
   Влюблён в технологии. Любую бизнес-проблему видит через призму технического решения. Может часами обсуждать архитектуру SIEM-системы или выбор между двумя стеками защиты, теряя из виду исходную задачу. Его главная ценность - глубокая техническая экспертиза; его главная слабость - неспособность перевести эту экспертизу на язык бизнес-последствий.

Психологический профиль: интровертный тип с высокой предметной экспертизой, низкой толерантностью к организационной политике. Мотивируется задачами, а не людьми.

Как с ним разговаривать: говорите на языке задач, а не процессов. «Нам нужно снизить время реакции на инцидент с 4 часов до 1 часа» — его формат. Избегайте размытых запросов типа «сделай нам безопасно». Давайте конкретные технические параметры успеха.

3. Аудитор. «Покажите мне документацию. И ещё вот эту. И журнал за прошлый квартал». 
   Постоянно задаёт вопросы, хочет быть в курсе всех изменений, производит горы документов. На первый взгляд кажется бюрократом, но за этим стоит глубокая потребность в системности и полноте картины. Когда у него есть вся информация - он принимает неожиданно чёткие и обоснованные решения.

Психологический профиль: аналитический склад ума, высокая потребность в информации перед принятием решений, склонность к перфекционизму.

Как с ним разговаривать: не торопите его и не воспринимайте вопросы как недоверие. Обеспечьте регулярный доступ к информации - еженедельные дайджесты, дашборды, брифинги. Когда Аудитор чувствует, что владеет полной картиной, он принимает решения быстро и обоснованно.

4. Агент спецслужб (Бывший силовик). «Это конфиденциально. Я не могу раскрывать детали».
   Периодически забывает, что работает в интересах компании, а не государственной структуры. Ориентирован на полное и безусловное соответствие внешним регуляторам, даже в ущерб бизнес-логике. Искренне убеждён, что интересы регулятора и интересы компании - это одно и то же.

Психологический профиль: сформирован в среде с высоким уровнем внешнего контроля – государственные (в т.ч. силовые) структуры, оборонная промышленность. Лоялен скорее регулятору, чем работодателю.

Как с ним разговаривать: апеллируйте к его системе ценностей. Покажите, что бизнес-интересы компании и требования регулятора не противоречат, а дополняют друг друга. Включайте его в стратегическое планирование - это помогает ему увидеть компанию как единую систему, а не набор compliance-чекбоксов.

5. Мечтатель. «Представьте: мы внедряем Zero Trust, строим SOC мирового уровня и…».
   Строит воздушные замки, рассказывает красивые истории о будущем компании в мире киберугроз. Умеет увлекать аудиторию. Но когда дело доходит до реализации - старается переложить ответственность или избежать её любым способом. Его презентации получают высшие оценки на совете директоров, а проекты нередко требуют дополнительного контроля на этапе реализации.

Психологический профиль: высокая креативность и визионерство в сочетании с низкой стрессоустойчивостью при реализации. Страх провала маскируется за красивыми концепциями.

Как с ним разговаривать: его нельзя просто отпустить «рисовать дорожную карту». Требуйте привязки к конкретным срокам, бюджетам и метрикам уже на этапе презентации идеи. Вопрос «отлично, что конкретно нужно сделать на следующей неделе?» - лучший инструмент для перевода мечты в действие.

6. Управленец. «Наша задача — снизить операционный риск в этом направлении до приемлемого уровня». 
   Единственный тип, с которым CEO говорит на одном языке с первого раза. Понимает бизнес-цели, умеет работать с разными людьми внутри команды, ориентируется в потребностях компании. Именно такой CISO строит мост между безопасностью и бизнесом. Редкий, в отечественной практике, на позиции CISO специалист: нередко люди с указанным архетипом занимают должности BISO (Business Information Security Officer), а не CISO (на которых предпочитают брать людей с техническим бэкграундом).

Психологический профиль: сочетает техническую компетентность с управленческой зрелостью. Высокий эмоциональный интеллект, системное мышление, ориентация на результат.

Как с ним разговаривать: как с равным. Давайте ему доступ к стратегическим решениям на ранних этапах - он превратит потенциальные риски в управляемые параметры, а не в стоп-факторы.

Расширенная типология специалистов по ИБ

Базовая типология хорошо работает для CISO и руководителей ИБ-направлений. Но за годы практики выяснилось, что она неполна: в реальных командах регулярно встречаются ещё и другие архетипы, которые не укладываются в шесть исходных категорий. Вместе с базовыми шестью они образуют расширенную типологию, охватывающую весь спектр поведенческих паттернов ИБ-специалистов - от рядового аналитика до директора по безопасности, которая, в целом, сочетается с популярной у менеджеров типологией MBTI (её обычно изучаются в рамках программ МВА), часто применяемой на практике HR-специалистами – «теорией соционики» (по сути отечественная версия MBTI), и используемой в практике специалистов по корпоративной безопасности и профайлеров – теорией семи радикалов В.В. Пономаренко (пример корреляции приведен в приложении к данной статье):

7. Пожарный. «Мне нужен инцидент, чтобы начать работать». 
   Живёт исключительно в режиме кризиса. В момент атаки, утечки или сбоя - незаменим: решителен, быстр, не теряет голову под давлением. Но в спокойное время теряет мотивацию и продуктивность. Профилактика ему скучна - ему нужен огонь, чтобы его тушить. В периоды затишья начинает неосознанно создавать проблемы там, где их не было.

Психологический профиль: высокая стрессоустойчивость в кризисных ситуациях, низкая переносимость монотонности. Получает удовлетворение от ощущения незаменимости в кризисе.

Как с ним разговаривать: переводите работу по профилактике в формат «предотвращённого кризиса». «Мы потеряли бы три дня и 5 млн рублей, если бы этот патч не вышел вовремя» - это его язык.

8. Параноик. «Я не могу это согласовать. Это потенциальная закладка». 
   Видит угрозу абсолютно везде. Каждое обновление - потенциальная закладка, каждый подрядчик - потенциальный шпион, каждое исключение в firewall - будущая точка взлома. Технически может быть очень силён - его чутьё на угрозы порой реально спасает компанию. Но он же парализует принятие решений избыточной тревожностью, и организация начинает буксовать.

Психологический профиль: стройная внутренняя система угроз с железной логикой, подкреплённая чувством тревоги. Всегда прав в теории, но парализует на практике.

Как с ним разговаривать: не обесценивайте его опасения — это вызовет закрытость. Вместо этого предложите структуру: «Давай оценим эту угрозу по вероятности и последствиям». Перевод тревоги в матрицу рисков снижает её интенсивность и делает диалог предметным.

9. Сертификатчик. «У меня CISSP, CISM, ISO 27001 lead auditor и ещё шесть сертификатов». 
   Коллекционирует сертификаты как трофеи. Отлично знает теорию и фреймворки, умеет правильно заполнить любой чек-лист. Но между знанием стандарта и умением применить его в реальной практике - пропасть. Опасен тем, что создаёт риск иллюзии зрелой ИБ: документация идеальна, а фактический уровень защищённости может не соответствовать ожиданиям.

Психологический профиль: самооценка строится на формальных достижениях и признании со стороны профессионального сообщества. Высокая тревожность при отсутствии внешней валидации.

Как с ним разговаривать: не атакуйте сертификаты - это его идентичность. Вместо этого задавайте вопросы о практическом применении: «Как этот стандарт влияет на конкретный процесс в нашей компании?» Направляйте его экспертизу от коллекционирования к созиданию.

10. Политик. «Мы выглядим хорошо. Отчёт готов». 
    Мастер аппаратных игр. Отлично ориентируется в корпоративной иерархии, умеет преподносить результаты в выгодном свете. Реальная безопасность волнует его меньше, чем то, как она выглядит на отчётном слайде для совета директоров. Несет в себе риски в периоды кризиса: пока всё хорошо, его не видно, во время инцидента становится очевидно, что за красивыми отчётами не было реальной работы.

Психологический профиль: высокий эмоциональный интеллект направлен не на решение проблем, а на управление восприятием. Стратегическое планирование подчинено личным карьерным целям.

Как с ним разговаривать: привязывайте его оценку к измеримым результатам, а не к качеству презентаций. Введите регулярные практики обратной связи с независимой экспертизой - это переключает его мотивацию с «хорошо выглядеть» на «хорошо работать».

11. Энтропик. «Зачем нам этот процесс? Я сделаю быстрее сам». 
    Создаёт хаос не из злого умысла, а потому что регламенты и процессы буквально выпадают из его картины реальности. Живёт в потоке интуиции и нестандартных решений - и это делает его ценным в сложных нестандартных ситуациях. Но организационный след, который он оставляет, требует значительных усилий для систематизации: обходные конфигурации, недокументированные решения, исключения, о которых знает только он.

Психологический профиль: глубокое погружение во внутренний мир сочетается с импульсивными всплесками активности. Не игнорирует правила из бунтарства - он их искренне не замечает.

Как с ним разговаривать: не требуйте следовать процессам - это войдёт в одно ухо и выйдет из другого. Вместо этого дайте ему напарника-аудитора, который будет документировать его решения по факту. Его хаос становится управляемым, когда рядом есть структурированный человек.

Пять смежных типов

Помимо одиннадцати основных архетипов, можно выделить пять дополнительных типов. Они реже встречаются на позиции CISO, но хорошо знакомы в смежных ролях - пентестеры, специалисты по осведомлённости, ИБ-евангелисты:

1. Практик - технический виртуоз, который молча делает руками то, о чём остальные разговаривают на совещаниях. Не любит документацию и совещания. Ценен как исполнитель сложных технических задач, опасен на позиции, требующей коммуникации с бизнесом.
2. Медиатор - смягчает конфликты между ИБ и бизнесом, всегда ищет компромисс. Ценен как буфер между ИБ и бизнес-командами, но склонен жертвовать безопасностью ради сохранения отношений.
3. Евангелист — зажигает аудиторию на конференциях и внутренних обучениях, искренне верит в важность культуры безопасности. Силён в повышении осведомлённости, слаб в технических деталях и систематической работе.
4. Воспитатель - строит культуру безопасности через обучение и опеку сотрудников. Терпелив, методичен, ориентирован на людей. Эффективен в долгосрочных программах повышения осведомленности, менее эффективен в кризисе.
5. Ментор - страстный идеолог, воспринимает ИБ как миссию. Вдохновляет команду и руководство, умеет добиваться ресурсов через убеждение. Склонен к драматизации угроз - что иногда работает в его пользу, а иногда превращает его в «мальчика, который кричал волк». В отличии от евангелиста больше сконцентрирован на достижение реального результата в компании, чем на произведении впечатления на публику.

Заключение

Типология, описанная в этой статье, не претендует на строгую научность - это практический инструмент навигации. Реальный человек всегда сложнее любой схемы. Но когда вы в следующий раз почувствуете, что разговор с CISO зашёл в тупик, попробуйте задать себе вопрос: с каким архетипом вы сейчас работаете - и как именно с ним нужно разговаривать? Ответ на этот вопрос меняет многое.

Приложение. Корреляция психотипов ИБ с MBTI (Myers-Briggs Type Indicator, типология Майерс — Бриггс), соционикой и теорией семи радикалов. Таблица составлена как вспомогательный ориентир для CEO и HR-специалистов, работающих с ИБ-командами.

Однако, следует учитывать, что данная таблица не является диагностическим инструментом и не заменяет профессиональное психологическое тестирование.

Палей Лев Михайлович

CISO WebMonitorX, советник Директора ИСП РАН, лектор программ MBA РАНХиГС