Журнал "Information Security/ Информационная безопасность" #1, 2026

нужно внедрить. Нужно уметь объяснить руководству на его языке, почему это важно, какие риски закрывает решение и как оно повлияет на операционную деятельность. Информационная безопас- ность не должна тормозить бизнес, она должна и может помогать компании зарабатывать, со своей стороны обес- печивая конкурентоспособность. Ловушка быстрых курсов В последние годы на рынок хлынул поток "быстрых" специалистов. Курсы с обещаниями "войти в ИТ за три месяца" или "стать безопасником с нуля" создают у людей иллюзию, что профессию можно освоить чуть ли не по видеоурокам. Это напоминает обучение вождению по видеороликам. Можно изучить сотни видео, разобрать сложные ситуации пар- ковки, выучить ПДД. Но сев за руль человек сразу осознает, что реальность сильно отличается от экранных уроков. В ИБ происходит то же самое. Теорию выучить можно, но профессиональные навыки формируются только через прак- тику: через реальные инциденты, ошиб- ки, принятые решения в условиях неопределенности. Особенно остро это проявляется в кри- зисных ситуациях. Если такого ново- явленного кандидата в руководители или даже специалиста по ИБ спросить, что он будет делать при атаке на инфра- структуру, то прозвучат типичные ответы: отключу сеть, обрублю доступ и т. п. Но в реальной инфраструктуре такие действия могут нанести компании боль- ший ущерб, чем сама атака. Умение действовать в стрессовой ситуации, ана- лизировать последствия каждого шага и понимать, сколько действительно будет стоить простой ключевых систем, при- ходят только с опытом. Гармоничный карьерный рост в ИБ редко бывает резким. Нельзя быть тех- ническим специалистом, а на следующий день стать директором по безопасности и ждать, что процессы выстроятся сами. Успешные управленцы приходят к своей роли постепенно, проходя через реаль- ные проекты, накапливая багаж практи- ческих кейсов. Когда такой руководитель сталкивается с новой угрозой, он чаще всего уже видел что-то похожее в другой компании или в другом проекте. Кроме готового скрипта у него понимание, куда смотреть, какие вопросы задавать и какие решения вероятнее всего сра- ботают, – это и называется гармоничный рост. Эмпатия и управление командой Руководитель по безопасности рабо- тает со всеми отделами в компании: ИТ, юридическим блоком, бухгалтерией, кад- ровой службой. У каждого подразделения своя специфика, свой язык и свои задачи. Выстроить с ними нормальные рабочие отношения – это не менее важная работа, чем настройка средств защиты. То же самое касается и управления собственной командой. Хороший руко- водитель видит сильные и слабые стороны сотруд- ников. Кто-то эффектив- нее всего работает с доку- ментацией и регулятор- ными требованиями, оста- ваясь при этом интровер- том. Такого специалиста не нужно заставлять выступать на конферен- циях, а лучше дать ему возможность развиваться в аналитическом направ- лении. Кто-то, напротив, заряжается энергией от публичных ком- муникаций. Задача руководителя – построить команду так, чтобы эти силь- ные стороны дополняли друг друга. Важно понимать, что не все стремятся к карьерному росту. В любой организа- ции есть позиции, где требуется ста- бильность и качественное выполнение регламентных задач. И если сотрудник справляется с ними на высоком уровне, то это тоже полноценная профессио- нальная модель. От защиты к управлению рисками Современная информационная без- опасность выходит за рамки классиче- ской модели защиты периметра. Уста- новить межсетевой экран, внедрить анти- вирус и провести обучение пользовате- лей – это уже вчерашний день. Теперь мы все чаще говорим об Offen- sive Security – наступательной безопас- ности, о проактивной работе. Компании заранее моделируют будущие атаки, используют практики Red Team, Blue Team и Purple Team, имитируют действия злоумышленников, чтобы полноценно протестировать устойчивость собствен- ной инфраструктуры и выработать пра- вильный порядок действий у своей команды. Безопасность начинает рабо- тать за пределами внутреннего контура: отслеживать появление фейковых доме- нов, аккаунтов руководителей или других элементов, которые могут нанести риск компании или быть использованы для имиджевых атак. В основе такого подхода лежит крити- ческое мышление и способность про- гнозировать последствия. Концепция Zero Trust, где любой новый элемент инфраструктуры изначально рассмат- ривается как потенциальный риск, ста- новится не просто технической полити- кой, а философией управления. Доверие и мотивация В конечном счете работа руководи- теля по информационной безопасности строится на доверии. И речь идет не о формальной лояльности. Доверие формируется через профессионализм, открытость и способность общаться на равных с командой, с коллегами из других подразделений и топ-менедж- ментом. При этом важно сохранять баланс между работой и отдыхом, ведь работа безопасника неизбежно связана со стрессом и большой ответственностью. Многое также зависит от внутренней мотивации. Человек должен действи- тельно любить то, чем занимается. Кого- то вдохновляет постоянное обучение и освоение новых направлений, кого-то – участие в профессиональном сообще- стве, а кого-то – возможность видеть конкретный результат своей работы. Без неподдельного интереса к сфере информационной безопасности в раз- личных ее проявлениях достичь серьез- ных управленческих позиций сложно. Современный бизнес это прекрасно понимает. Крупные и средние компании на ключевые позиции стараются при- влекать людей с реальным опытом, а не только с дипломами о переподготовке. Опыт становится главным критерием. Человек может иметь отличные оценки, сертификаты, но, если у него нет прак- тики решения реальных инцидентов, то для бизнеса он остается котом в мешке. Вывод Так почему же сильные инженеры не всегда становятся хорошими руководи- телями? Потому что в информационной безопасности техническая экспертиза – это только фундамент. Само по себе здание строится из совсем других мате- риалов: умения договариваться, выстраивать связи, мыслить категориями бизнеса и рисков, а не только кода и железа. Безопасность нельзя сделать один раз и закрыть вопрос. Это постоянный процесс, требующий адаптации, разви- тия и постоянного диалога. Тот, кто умеет вести этот диалог, кто понимает, что его главный инструмент – не новый файрвол с дополнительными функциями, а доверие бизнеса и профессиональное сообщество, – именно такой специалист становится настоящим лидером. l • 73 ПРОФЕССИЯ www.itsec.ru Ваше мнение и вопросы присылайте по адресу is@groteck.ru Фото: Гротек