Журнал "Information Security/ Информационная безопасность" #1, 2026

В информационной безопасности сло- жилась парадоксальная ситуация. С одной стороны, это одна из самых технически насыщенных сфер. Специа- листу нужно разбираться в архитектуре сетей, законодательстве, криптографии и десятках классов продуктов. С другой стороны, именно здесь хард-скилы пере- стают быть главным критерием успеха, как только речь заходит о карьерном росте. Зачастую блестящий инженер проваливается на позиции руководителя, а человек с базовыми техническими знаниями, но развитой эмпатией и спо- собностями к коммуникации, выводит компанию на новый уровень. Нетворкинг и коммуникабельность как главные инструменты Некоторые спорят о том, какое каче- ство важнее: критическое мышление или глубокая техническая экспертиза. Но и то, и другое необходимо. Однако есть условие, которое проходит через всю профессию красной линией, – ком- муникабельность. Причем в самом при- кладном, почти утилитарном смысле: умение формулировать мысли, аргумен- тировать свою позицию и взаимодей- ствовать с разными аудиториями. Круп- ные компании, выбирая, кого выводить в публичное пространство или на пере- говоры, обращают внимание не только на экспертизу, но и на личные качества: харизму, способность держать удар, умение общаться без конфликтов, но с сохранением принципиальной позиции. Что касается нетворкинга. В инфор- мационной безопасности используется несколько десятков классов решений, и разбираться в них всех невозможно физически, даже если ты гениальный специалист. Поэтому гораздо важнее знать, к кому можно обратиться в нужный момент. Даже в три часа ночи. И полу- чить не формальный ответ, а реальную помощь: совет, рабочий скрипт, контакт профильного специалиста или готовое решение. Активное профессиональное сообще- ство в ИБ довольно компактно – всего примерно сто специалистов, которые регулярно общаются, обмениваются опы- том, обсуждают новые угрозы, делятся экспертизой внедрения средств защиты. Наличие контактов в этом кругу позво- ляет решать сложные задачи быстрее и эффективнее, чем любые формальные регламенты. Для руководителя по без- опасности такая телефонная книга ста- новится ключевым активом. Внутри сообщества вырабатываются коллек- тивные подходы к новым вызовам, и тот, кто умеет выстраивать эти связи, полу- чает доступ к информации и опыту, которые не лежат на поверхности в открытых источниках. Конфликт мышления ИТ и ИБ Одна из ловушек на пути к управлен- ческой позиции – попытка перенести мышление ИТ-специалиста в плоскость информационной безопасности. На пер- вый взгляд, переход кажется логичным: айтишник знает инфраструктуру и спе- цифику компании, разбирается в коде, ему достаточно пройти переподготовку – и вот перед нами готовый безопасник. Но на практике такая схема практически никогда не работает. В крупных промышленных, производ- ственных или торговых компаниях несколько лет назад этот путь был популярен: из-за требований регуляторов сотрудников ИТ отправляли на курсы переподготовки, чтобы формально закрыть потребность в штатном специа- листе по ИБ. Но позже, когда выяснялось, что мышление такого специалиста оста- лось прежним, возникала проблема. Айтишник мыслит категориями рабо- тоспособности. Его главная задача: устойчивость систем – чтобы сервисы были доступны, принтеры печатали, сеть не отваливалась, а пользователи не жаловались на работоспособность чего- либо. Если он внедрил решение Open Source, и оно работает, то его задача выполнена. Специалист по безопасности мыслит иначе: для него тот же компонент Open Source – это потенциальная точка входа для атаки, источник уязвимостей. Имен- но на стыке разницы этих интересов часто возникает напряжение между ИТ и ИБ. Нужно отметить, что в организации с правильно выстроенной структурой ИТ всегда отвечает за стабильность, а ИБ – за контроль рисков. Руководитель, вышедший из технарей, часто продолжает мыслить категориями: "Кому мы нужны? Кто нас будет атако- вать?". До тех пор пока не произойдет какой-нибудь серьезный инцидент. Но есть ли у компании ресурсы, которыми можно пожертвовать ради опыта руко- водителя по ИБ? Пока айтишник не перестанет обесценивать угрозы и не начнет мыслить категориями рисков, он не сможет эффективно управлять без- опасностью. Между бизнесом и регуляторами Способность, отличающая сильного руководителя по ИБ от посредственного, заключается в умении находить ту самую тонкую грань, где требования безопас- ности не убивают бизнес-процессы и не мешают им. Бизнесу нужно запускать новые сервисы быстро и с минимальны- ми препятствиями для пользователей. Регуляторы требуют соблюдения зако- нодательства. Среди всего этого задача безопасника сделать так, чтобы пользо- вателям не приходилось проходить через бесконечные уровни аутентификации, но при этом все требования по безопас- ности и комплаенс были соблюдены в полном объеме. Когда речь заходит о защите проектов перед топ-менеджментом или советом директоров – это всегда проверка софт- скилов. Недостаточно просто понимать, какую систему мониторинга инцидентов 72 • ПРОФЕССИЯ Звонок в три часа ночи: почему в ИБ не стать руководителем без софт-скилов ы все привыкли, что знание технологий, умение читать код и разбираться в регуляторике – главные сильные стороны в ИБ. Но практика показывает, что этого недостаточно. Умение договариваться, выстраивать доверие, находить баланс между безопасностью и бизнесом оказывается гораз- до важнее и востребованее, чем знание нескольких десятков классов решений. М Александр Дворянский, эксперт по информационной безопасности, директор по информационной безопасности крупного промышленного холдинга Фото: Карэн Эгнатосян