Как вы знаете, я очень люблю безопасность и людей, которые ее обеспечивают. В самом широком смысле слова. Я с уважением отношусь к врачам и пожарным, к работникам газовой службы. Именно благодаря их работе мы можем уютненько потрындеть в интернетике или на какой-нибудь конференции. И я очень горд, что имею какое-то касательство к общему безмятежному благополучию. Информационная безопасность – без сомнения важная и набирающая обороты сфера. Тем прискорбнее та роль, которую мы себе отвели. Мы забились в самый дальний угол и не отсвечиваем. Этому способствовало много факторов, но давайте поговорим о том, что на виду. О названии.
Многие евангелисты нашей отрасли любят сравнивать нас с западом. Говорят, все там лучше, давайте сдадим кучу тестов по американской нормативке, и называться вы будете CISO. Это так модно и звучит круто. У нас даже конференции появились (CISO FORUM), и всеми это воспринято как данность. Но давайте взглянем немного вглубь, к истокам.
Если обратиться к зарубежной экономической литературе, то можно там часто увидеть аббревиатуры: CEO, COO, CFO. Крутые слова, звучащие в точности по ТБС. Немного не понятно, то ли дело милые для нашего слуха: генеральный директор, главный инженер, главный бухгалтер, зав. складом. Но нас сделали падкими все «иностранческое», поэтому все эти CEO, CIO, CTO, CKO и т.д. активно стали распространятся. Они везде – в статьях, на визитках, конференциях. Ты кто? Я CEO клининговой компании. Матерь божья, ты бригадир! Не стесняйся этого!
Но пойдем дальше. В начале необходимо понять, что нельзя переносить эту организационную иерархию в нашу бизнес-среду. Вернее, некорректно проводить параллели и говорить CEO — это генеральный директор. Тем более, абсурдно расшифровывается аббревиатура CIO, как директор IT, начальник IT. Причем, не всегда корректно проводить параллели не только между CEO и генеральным директором, но и CEO американской и английской компании (там можно встретить Managing Director), не говоря уже о Европейских компаниях. Остановимся на американской терминологии.
Сразу хочется сказать, что строгих правил по поводу того, как кого называть «ТАМ» нет. Вы можете как угодно назвать себя и своих подчиненных. Этим американцы близки к нам. Но если они близки нам, так в чем же основное, «критическое» отличие, не позволяющее проводить параллели. Давайте кратко пройдемся.
Во-первых: для них акционеры — это куда больше, чем для нас. И если на территории постсоветского пространства акционер — это не только не звучит гордо, а в некоторых случаях звучит как пустой звук, то у них ситуация кардинально противоположная. Вы не просто претендуете на часть прибыли от хозяйственной деятельности, но вы еще имеете полное право участвовать в управлении предприятием через конкретные механизмы. У нас же, как правило, «хозяин» один и руководит как захочет и при помощи кого захочет.
Во-вторых: акценты и приоритеты в самой компании расставлены несколько иначе. Так, например, частенько у нас можно встретить главного бухгалтера, как второго человека после руководителя. И шутка типа:
«Если Ваш бухгалтер платит все налоги, то пусть получает зарплату в налоговой»
оказывается на злобу дня. На западе давно разделили понятие бухгалтерия и финансы, учет и менеджмент.
В то время как информация и человеческий капитал на Западе стали действительно основным бизнес-преимуществом, у нас эти понятия стали только объектом пристального внимания авторов статей. Как перевести Chief Knowledge Officer (CKO)? Причем проблема не в переводе, а в адаптации и понимании. Как бы вы его не перевели, этой должности не всегда есть место на наших предприятиях. А если и найти, то результат от деятельности это человека (отдела) вряд ли принесет ощутимые плоды.
Проще говоря, мы еще не доросли до уровня CEO. Мы находимся на этапе формирования общемировой бизнес-культуры в наших условиях, но растем мы намного быстрее, потому что мы видим, куда нам расти, и видим из истории, как это не следует делать.
Теперь от затянувшегося вступления перейдем непосредственно к должностям и аббревиатурам.
Board of Directors — совет директоров, избираемый акционерами. Это контур управления компанией акционерами.
Chairman of the Board — Председатель совета директоров, избираемый из числа совета.
President — это не должность, а скорее титул, своего рода лицо компании. Им может быть прямой потомок основателя фирмы в данный момент не имеющей реальной власти. Хотя опять же оговорюсь, что разделение полномочий между должностями меняется от компании к компании.
Данный уровень управления называется С-level, поскольку все названия должностей начинаются «Chief», то есть главный.
CEO (Chief Executive Officer) – должность, назначаемая советом директоров (если компания public companies). CEO может быть как приглашенным со «стороны», так и быть избранным из числа сотрудников компании. CEO осуществляет полное управление компанией и несет полную ответственность. Если компанию уличат в незаконных действиях — «сядет» именно CEO. CEO может быть по совместительству как председателем совета директоров, так и Президентом. Совмещение всех трех должностей говорит о неограниченной власти руководителя.
CFO (Chief Financial Officer) — должностное лицо, ответственное за финансы корпорации. Как правило, находится в подчинении CEO. Не редкость, когда CFO выбирается из числа совета директоров. Может называться как Treasurer (казначей) или Finance Director.
COO (Chief Operating Officer) — должностное лицо ответственное за текущую деятельность предприятия. Инструменты оперативного менеджмента полностью находятся в распоряжении COO.
CIO (Chief Information Officer) — это корпоративный чиновник высшего уровня, ответственный за информацию. (Трактовка CIO как IT директора – это нонсенс. Если у Вас сломался компьютер, то обращаться к CIO вы можете с таким же успехом, как и к главному бухгалтеру). CIO находится в подчинении CFO или CEO. В западной иерархии CIO близок CKO. Это вызвано тем, что роль информации в последнее время становится главенствующей. Привет нам всем, мы уже 20 лет бьемся, чтобы это донести.
CTO (Chief Technical or Technology Officer) — роль данной должности меняется от специфики работы компании. В технологичных компаниях может подчиняться непосредственно CEO, в нетехнологичных подчиняется CIO. В компьютерных компаниях может быть представлен в лице CIO.
CKO (Сhief Knowledge Officer) — топ-менеджер, ответственный за максимизацию ценности компании, достигаемой через знания. Ответственный за нематериальные активы (ноу-хау, патенты). Все, что связано с интеллектуальным капиталом, находится в поле управления CKO.
Роль остальных понятна из их названия, поэтому просто расшифруем аббревиатуры:
- CMO (Chief Marketing Officer)
- CAO (Chief Analytics Officer)
- CCO (Chief Communications Officer)
- CDO (Chief Data Officer)
- CNO (Chief Networking Officer)
- CPO (Chief Process Officer)
- CSO (Chief Security Officer)
- CSO (Chief Strategy Officer)
- CRO (Chief Risk Officer)
- CCO (Chief Credit Officer)
- CLO (Chief Legal Officer)
Как видим, никаких CISO тут нет. CISO – это менеджер следующей ступени, после С-level. Зачастую CISO подчинен CIO, что однозначно говорит о том, как «ТАМ» видят решение вопроса, кому должен подчиняться отдел ИБ. При чем это довольно незначительная часть, занимающаяся безопасностью информации, обрабатываемой автоматизированным способом. Небольшой отдельчик, обновляющий антивирусы. Что уж говорить – «как вы лодку назовете, так она и поплывет».
Такая же петрушка с CIO. CIO — это не главный админ. CIO – это человек, достигающий цели компании с помощью ИТ-технологий. У нас же этим словом называют кого угодно — от эникейщика до реально решающих ИТ-директоров.
В заключение хотелось бы сказать, что не надо слепо и бездумно копировать запад. В нашей современной среде безопасник находится на грани сфер CIO, CRO, CSO и CLO. А пока мы загоняем себя в рамки чуждой терминологии, мы все дальше будем от понимания нас бизнесом. Все вам хорошего.
