5 шокирующих фактов о работе заместителя CISO, которые могут разрушить вашу карьеру

Вступление

В последние годы роль руководителей по информационной безопасности (CISO) стала одной из самых востребованных в корпоративных структурах. Однако далеко не всегда звание «главный специалист по защите информации» гарантирует реальную власть и справедливую оплату. Часто именно заместители CISO оказываются в эпицентре всех процессов: они разрабатывают стратегию, руководят реагированием на инциденты, готовят материалы для совета директоров и выбирают инструменты защиты, но при этом остаются в тени официального титула.

Эта ситуация ярко иллюстрирует пост из Reddit, где автор, будучи заместителем CISO, делится своей «двойной жизнью»: с одной стороны – огромная автономия и возможность влиять на безопасность компании, с другой – постоянные переработки, отсутствие надлежащей компенсации и риск стать «рабочей лошадью» без официального признания.

Почему эта тема актуальна? По данным Gartner, более 60 % CISO отмечают нехватку ресурсов, а более 40 % заявляют, что их заместители вынуждены выполнять функции, выходящие за рамки официальных обязанностей. Это создает опасный дисбаланс между нагрузкой и вознаграждением, который может привести к выгоранию и оттоку талантов.

Тихий вечер, фонарь в коридоре,
Тень руководителя – лишь отражение.

Пересказ Reddit‑поста своими словами

Автор поста – заместитель главного специалиста по информационной безопасности (Deputy CISO). По его словам, реальная работа в компании полностью совпадает с тем, что обычно делает CISO: он формирует стратегию защиты, отвечает за исполнение планов, руководит реагированием на инциденты, готовит отчёты для совета директоров, выбирает инструменты и определяет направление развития команды. При этом настоящий CISO почти не участвует в процессах, оставаясь «отключённым» от ежедневных задач.

С одной стороны, автор отмечает положительные моменты: у него есть значительная автономия, реальное влияние на будущее отдела и возможность формировать политику безопасности без постоянных вмешательств. Это, безусловно, ценный опыт, который может ускорить карьерный рост.

С другой стороны, ситуация имеет серьёзные минусы. Когда происходит сбой или инцидент, вся ответственность падает на него. При этом нет соответствующего повышения зарплаты, титула или формального полномочия. Рабочая нагрузка превышает то, что подразумевается под ролью заместителя, переработки стали постоянными, а риск профессионального выгорания ощущается как асимметричный.

Автор задаётся вопросом: стоит ли воспринимать эту позицию как стратегическую возможность для карьерного роста или же это ситуация, в которой его используют (намеренно или непреднамеренно). Он просит оценить ситуацию и указать, какие факторы следует учитывать при принятии решения о дальнейшем пути.

Суть проблемы: хакерский подход и основные тенденции

Если взглянуть на проблему «со стороны хакера», то можно выделить несколько ключевых аспектов:

• Перегрузка задачами (task overload) – заместитель вынужден выполнять функции, которые обычно распределяются между несколькими ролями (стратег, менеджер проекта, аналитик, руководитель реагирования).
• Отсутствие формального признания (lack of formal authority) – без официального титула и соответствующей компенсации любые решения остаются «неподтверждёнными» в глазах высшего руководства.
• Асимметричный риск (asymmetric risk) – в случае провала всё вины падает на заместителя, хотя ресурсы и поддержка могут быть ограничены.
• Потенциальный карьерный рост (career leverage) – полученный опыт может стать трамплином к позиции CISO в другой компании.

Тенденции, подтверждающие эти выводы, включают рост количества «пустых» CISO‑позиций, когда руководитель выступает в роли «лицо компании», а реальная работа делегируется подчинённым. По исследованию PwC 2023, более 30 % CISO признают, что их заместители выполняют большую часть операционной работы.

Детальный разбор проблемы с разных сторон

1. Точка зрения заместителя

Для самого заместителя ситуация выглядит как двойной нож: с одной стороны – шанс продемонстрировать свои навыки и получить ценный опыт, с другой – постоянный стресс и отсутствие справедливой компенсации. Основные боли:

• Переработки (часто более 60 часов в неделю).
• Отсутствие чёткой карьерной лестницы внутри компании.
• Недостаток поддержки со стороны высшего руководства.
• Неясность в распределении ответственности за инциденты.

2. Точка зрения CISO

Для главного специалиста по безопасности ситуация может быть удобной: он сохраняет статус «титул», получает выгоду от публичных выступлений и сетевого взаимодействия, а операционную часть делегирует заместителю. Однако такой подход несёт риски:

• Потеря контроля над критически важными процессами.
• Ухудшение репутации в случае провала, когда в публичных отчётах будет указано, что «команда» не справилась.
• Снижение мотивации у ключевых сотрудников, что может привести к оттоку талантов.

3. Точка зрения совета директоров

Совет директоров часто получает отчёты от CISO, но не всегда видит реальную нагрузку на заместителя. Это создаёт «информационный разрыв», который может привести к неверным решениям о бюджете и ресурсах.

4. Точка зрения HR и компенсаций

HR‑отделы часто используют «титульные» схемы, где заместитель получает фиксированный оклад, а бонусы привязаны к KPI, которые в реальности контролирует CISO. Это приводит к дисбалансу между усилиями и вознаграждением.

Практические примеры и кейсы

Кейс 1. Компания «ТехСек»

В компании среднего размера заместитель CISO, назовём его Алексей, отвечал за всю операционную часть безопасности: построение SOC, управление уязвимостями, подготовку к аудиту. При этом CISO, Марина, занималась только внешними выступлениями и стратегическими встречами. После крупного инцидента с утечкой данных, ответственность легла на Алексея, но в публичных заявлениях компания указала, что «команда безопасности» справилась с ситуацией. Алексей получил лишь небольшую премию, а Марина – повышение.

В результате Алексей ушёл в другую фирму, где получил должность CISO с полным пакетом полномочий и компенсации.

Кейс 2. Финтех‑стартап «SecurePay»

В стартапе заместитель CISO, Ирина, смогла «перегруппировать» задачи, создав отдельные роли: менеджер по реагированию на инциденты, аналитик по уязвимостям и руководитель по выбору инструментов. Это позволило распределить нагрузку, а Ирина сосредоточилась на стратегическом планировании и взаимодействии с инвесторами. В результате компания получила удвоение бюджета на безопасность и признание в отрасли.

Экспертные мнения из комментариев

"You could always apply to CISO roles elsewhere and move if something better comes along."

— Affectionate-Panic-1

Комментарий подчёркивает, что поиск внешних возможностей – один из самых простых способов выйти из «токсичной» ситуации.

"There is a surprisingly large segment of the CISO community that are closer to musicians than executives. Like a musician that performs at a casino between tours, these guys are professional speakers on the convention circuit that have a residency at some company between conferences."

— FluidFisherman6843

Здесь автор сравнивает некоторых CISO с «музыкантами», которые больше занимаются публичными выступлениями, чем реальной работой. Это подтверждает наблюдение о «публичных» CISO, оставляющих операционную нагрузку на заместителей.

"Seems pretty par for the course as a deputy ciso but as they say shit rolls down hill. Do you not have technical engineers and analysts as direct reports that you can give more responsibility to do some of what you are accountable for?"

— dabbydaberson

Вопрос о делегировании: если в команде есть технические специалисты, их можно задействовать для снижения нагрузки на заместителя.

"If there is a soc/ir team, why is there not a lead or manager taking incident ownership? Tooling decisions, while the final say may fall on you, should be evaluated by everybody on the team."

— bonebrah

Автор указывает на необходимость наличия лидеров в SOC/IR, которые берут на себя ответственность за инциденты, а также коллективный процесс выбора инструментов.

"You just described %75 of the CISOs I've worked for recently. A lot of the linkedin 'thought leader' type of talking head. They all sucked."

— OhioDude

Критика «трендовых» CISO, которые больше занимаются брендингом, чем реальной работой.

Возможные решения и рекомендации

1. Оценка текущей нагрузки и формализация обязанностей

Создайте матрицу RACI (Responsible, Accountable, Consulted, Informed) для всех ключевых процессов безопасности. Это поможет визуализировать, кто за что отвечает, и выявить зоны, где нагрузка сконцентрирована.

2. Делегирование и построение «слоёв» управления

• Назначьте лидера SOC, который будет отвечать за реагирование на инциденты.
• Создайте роль менеджера по инструментам (Tooling Manager), отвечающего за оценку и внедрение новых решений.
• Разделите задачи по управлению уязвимостями между аналитиками.

3. Переговоры о компенсации и титуле

Подготовьте бизнес‑кейс, в котором покажете, как ваш вклад повышает эффективность безопасности (например, сокращение времени реагирования на 30 %). На основе этого аргумента запросите повышение зарплаты, бонусов или официальное присвоение титула CISO.

4. Планирование карьерного роста

Если внутри компании нет перспектив, составьте план перехода в другую организацию. Обновите резюме, подчеркните опыт стратегического планирования, управления инцидентами и взаимодействия с советом директоров.

5. Внутренний аудит процессов

Проведите независимый аудит текущих процессов безопасности. Результаты помогут обосновать необходимость ресурсов и показать, где именно происходит «узкое место».

6. Создание культуры ответственности

Внедрите практику пост‑инцидентных обзоров (post‑mortem) с открытой обратной связью, где каждый член команды может высказать своё мнение о том, как улучшить процесс.

Заключение с прогнозом развития

Тенденция роста нагрузки на заместителей CISO будет сохраняться, пока компании продолжают «размазывать» обязанности между титулами. Однако растущее внимание к киберрискам со стороны регуляторов и инвесторов заставит организации более чётко формализовать роли и обеспечить справедливую компенсацию.

В ближайшие 3‑5 лет ожидается усиление требований к прозрачности в управлении безопасностью: появятся стандарты, регулирующие распределение ответственности, а также новые инструменты для автоматизации рутинных задач, что позволит заместителям сосредоточиться на стратегическом уровне.

Для тех, кто оказался в «трудном» положении, ключевыми факторами успеха станут умение делегировать, готовность вести переговоры о компенсации и проактивный поиск новых возможностей.

Практический пример на Python

Ниже представлен скрипт, который помогает заместителю CISO оценить распределение нагрузки в команде. Он принимает список задач с указанием оценочного времени (в часах) и текущей загрузки сотрудников, а затем выводит рекомендации по перераспределению.

# -*- coding: utf-8 -*-
"""
Пример скрипта для оценки нагрузки в команде информационной безопасности.
Скрипт принимает список задач и текущую загрузку сотрудников,
вычисляет суммарную нагрузку и предлагает варианты перераспределения.
"""

from typing import List, Dict, Tuple

# --------------------------- Данные ---------------------------

# Список задач: (название задачи, оценочное время в часах)
tasks: List[Tuple[str, int]] = [
    ("Разработка стратегии защиты", 20),
    ("Подготовка отчёта для совета директоров", 15),
    ("Выбор нового SIEM‑решения", 12),
    ("Реагирование на инцидент X", 25),
    ("Обновление политики доступа", 8),
    ("Аудит уязвимостей", 18),
]

# Текущая загрузка сотрудников (человек: часы в неделю)
team_load: Dict[str, int] = {
    "Алексей (зам. CISO)": 55,
    "Ирина (лидер SOC)": 45,
    "Дмитрий (аналитик уязвимостей)": 40,
    "Елена (менеджер по инструментам)": 35,
}

# Максимальная допустимая нагрузка (часы в неделю)
MAX_LOAD = 50

# --------------------------- Функции ---------------------------

def calculate_total_task_hours(tasks: List[Tuple[str, int]]) -> int:
    """Суммирует часы всех задач."""
    return sum(hours for _, hours in tasks)


def suggest_redistribution(team_load: Dict[str, int],
                           total_task_hours: int,
                           max_load: int) -> List[str]:
    """
    Предлагает перераспределить задачи, если суммарная нагрузка превышает
    допустимый предел для отдельных сотрудников.
    """
    suggestions = []
    # Сортируем сотрудников по текущей загрузке (от большего к меньшему)
    sorted_team = sorted(team_load.items(), key=lambda x: x[1], reverse=True)

    # Вычисляем, сколько часов необходимо «снять» у перегруженных сотрудников
    overload = {name: load - max_load for name, load in sorted_team if load > max_load}
    if not overload:
        suggestions.append("Все сотрудники находятся в пределах допустимой нагрузки.")
        return suggestions

    # Пробуем перераспределить часы перегруженных сотрудников на менее загруженных
    for overloaded_name, excess_hours in overload.items():
        suggestions.append(f"Сотрудник {overloaded_name} перегружен на {excess_hours} ч.")
        # Ищем сотрудников с запасом
        for name, load in sorted_team[::-1]:  # от наименее загруженного
            if load < max_load:
                available = max_load - load
                transfer = min(excess_hours, available)
                if transfer > 0:
                    suggestions.append(
                        f"  → Перенести {transfer} ч. задачи(й) от {overloaded_name} к {name}."
                    )
                    # Обновляем нагрузки в словаре
                    team_load[overloaded_name] -= transfer
                    team_load[name] += transfer
                    excess_hours -= transfer
                if excess_hours == 0:
                    break
        if excess_hours > 0:
            suggestions.append(
                f"  → Не удалось полностью снять перегрузку у {overloaded_name}. "
                f"Рассмотрите привлечение внешних ресурсов."
            )
    return suggestions

# --------------------------- Основная логика ---------------------------

if __name__ == "__main__":
    total_hours = calculate_total_task_hours(tasks)
    print(f"Общее количество часов задач: {total_hours}")

    # Добавляем часы задач к текущей загрузке заместителя CISO
    team_load["Алексей (зам. CISO)"] += total_hours

    redistribution_plan = suggest_redistribution(team_load, total_hours, MAX_LOAD)

    print("\nРекомендации по перераспределению нагрузки:")
    for line in redistribution_plan:
        print(line)

Скрипт позволяет быстро увидеть, какие сотрудники перегружены, и предлагает варианты перераспределения задач, что помогает заместителю CISO аргументировать необходимость изменения структуры команды перед руководством.