Эмоциональный интеллект - ваш главный инструмент в управлении киберрисками

📌 Дисклеймер:

Эта статья — не технический мануал, а стратегическая рамка для мышления. Мы соединяем две вселенные: психологию управления и операционную реальность CISO/CIO.

Что вы получите:
✅ Новую оптику для оценки рисков, связанных с «человеческим фактором».  
✅ Практические примеры применения EQ в кризисных и рутинных сценариях.  
✅ Чек-лист для аудита «эмоциональной устойчивости» вашей команды ИБ.

Что это НЕ:
❌ Готовый пошаговый план.  
❌ Обещание решить все проблемы «мягкими навыками».  
❌ Критика технических специалистов.

Используйте эту статью как триггер для внутренней дискуссии в вашей команде руководства. Ваш опыт — лучший комментарий.

 Предисловие от автора: Данная статья была написана в первую очередь для ознакомления, а не как "мануал" как стать крутым руководителем. Это первая моя статья ориентированная не на технический стек и хард-скиллы, а про нашу рутинную жизнь и человечность в работе. 

Введение: Защита за пределами файрволла

Представьте два сценария после масштабной хакерской атаки на компанию:

Сценарий А: Руководитель в панике кричит на команду, требует немедленно «все починить», ищет виновного, блокирует общение с другими отделами, а в отчете совету директоров преуменьшает масштабы.
    
Сценарий Б: Руководитель, собрав команду, четко констатирует факт: «Мы под атакой. Наша задача сейчас — минимизировать ущерб и восстановить работу. Протоколы активированы. Давайте работать». Он организует коммуникацию с юридическим и PR-отделами, а позже инициирует детальный разбор без поиска «крайнего».
    

Разница — не в технической подготовке, а в эмоциональном интеллекте (EQ). По данным исследований, до 90% успеха топ-менеджеров связано с EQ. В сфере ИБ, где решения принимаются в условиях стресса, неопределенности и высокой ответственности, EQ лидера становится критическим фактором устойчивости. Это не «мягкие навыки» — это жесткий стратегический актив.

Часть 1: Почему EQ — это новая поверхность атаки (и защиты)

Хакеры атакуют технические и человеческие уязвимости. Низкий EQ руководителя создает системные человеческие уязвимости на уровне процессов и культуры.

Пример-антикейс: История Capital One. После одного из крупнейших утечек данных в 2019 году всплыли внутренние отчеты. Инженеры неоднократно предупреждали о рисках в конфигурации облачных сервисов, но их голоса не были услышаны менеджментом. Проблема не в технологии, а в культуре: отсутствие психологической безопасности (часть EQ-компетенции «Социальные навыки») привело к тому, что критически важная информация не дошла до лиц, принимающих решения. Стоимость инцидента — $300+ млн.

Вывод для руководителя: Ваш стиль управления напрямую влияет на пропускную способность организации по критической информации об угрозах. Страх, авторитарность и неумение слушать (низкий EQ) создают «слепые зоны», которые с радостью эксплуатируют злоумышленники.

Часть 2: Карта EQ-компетенций для ИБ-лидера (с примерами)

1. 1. Самосознание: «Знаю свои триггеры и пределы»

Что это: Честная оценка своих эмоций, сильных сторон и, что важнее, слабостей.
    
ИБ-контекст: Вы не обязаны быть гениальным криптографом. Но вы обязаны понимать, где ваши знания заканчиваются.
    
Пример: Получая технический отчет об уязвимости, руководитель с высоким самосознанием не делает вид, что всё понял. Он говорит: «Объясните мне на бизнес-рисках: какой процесс может прерваться, какие данные могут утечь, и какие финансовые/репутационные потери это сулит?». Это смещает фокус с технологической сложности на управление риском.
    

Практический инструмент: Ведите «Дневник решений в стрессе». После сложного инцидента или напряженного совещания запишите: 

1) Какая эмоция вами двигала (раздражение, страх опоздать, желание сохранить лицо)? 

2) Как она повлияла на ваше решение? Это тренирует мета-осознанность.
    

1. 2. Саморегуляция: «Сохраняю голову, когда все вокруг в панике»

Что это: Управление разрушительными импульсами, сохранение гибкости и этичности.
    
ИБ-контекст: Кибер-инцидент — это кризис. Ваша реакция задает тон всей организации.

Пример из практики (Реальный отзыв CISO): «Во время ransomware-атаки коммерческий директор требовал немедленно заплатить выкуп, чтобы возобновить продажи. Мое внутреннее «хочу» — уступить и снять давление. Но саморегуляция — это умение отложить сиюминутное облегчение. Мы активировали план восстановления из бэкапов, а юристы начали диалог с регулятором. Через 72 часа ключевые системы работали. Платить не пришлось. Если бы я поддался импульсу, мы бы профинансировали преступников и, вероятно, не получили бы данные назад».
    

Практический инструмент: Внедрите «правило красной команды для решений». Перед важным решением в условиях давления (например, отключить серверы при DDoS) задайте себе: «Если бы наемный хакер (красная команда) узнал о моем решении, как бы он использовал его против нас?». Это включает рациональное мышление.
    

1. 3. Мотивация: «Вдохновляю миссией, а не страхом»

Что это: Внутренний драйв, оптимизм и настойчивость в достижении долгосрочных целей.
    
ИБ-контекст: Сложно мотивировать инвестициями в «несобытие» (атаку, которая не случилась). Нужна более глубокая цель.
 

Пример: Руководитель отдела ИБ глобальной розничной сети на внутренних митапах всегда говорит не о «комплаенсе», а о «защите доверия». «Когда клиент платит нам картой, он доверяет нам свои деньги. Наша работа — оправдать это доверие. Каждый патч, каждый тест на проникновение — это кирпич в стене этого доверия». Это трансформирует рутинную работу в миссию.
    

Практический инструмент: Внедрите «риторику возможностей». Вместо «Мы должны выполнить эти требования PCI DSS, иначе нас оштрафуют» говорите: «Внедрение этого стандарта позволит нам выйти на новый рынок с онлайн-платежами и увеличить выручку». Вы связываете ИБ с бизнес-возможностями.
    

1. 4. Эмпатия: «Понимаю, почему сотрудник кликает на фишинг»

Что это: Способность понимать эмоциональное состояние других людей.
    
ИБ-контекст: Это ключ к управлению «человеческим фактором» — главным источником уязвимостей.
    
Пример — Успешная антифишинг-кампания: Вместо устрашающих плакатов «Не кликай!» одна компания провела внутреннее исследование. Оказалось, чаще всего попадаются на удочку сотрудники отдела закупок, работающие с десятками неотложных запросов в день. Решение? Не «еще один тренинг», а упрощение и автоматизация процесса подтверждения платежей. Руководство проявило эмпатию, поняв контекст работы, и устранило коренную причину риска.
    

Практический инструмент: «Прогулка в чужих ботинках». Раз в квартал проводите неформальную встречу с рядовыми сотрудниками разных отделов (продажи, поддержка, бухгалтерия). Спросите: «Какие ИБ-правила больше всего мешают вам работать эффективно? Что могло бы помочь?». Вы получите бесценные данные для создания user-friendly политик.
    

1. 5. Социальные навыки: «Строю альянсы, а не стены»

Что это: Искусство выстраивать сети, управлять командами и находить общий язык.
    
ИБ-контекст: Безопасность не может быть достигнута в изоляции. Вы зависите от всех департаментов.
    
Пример — Внедрение строгой политики паролей: Руководитель с низкими социальными навыками разошлет циркуляр с угрозами. Результат: саботаж, записанные пароли на стикерах. Руководитель с высокими социальными навыками построит коалицию:
    
    1. С ИТ-отделом: «Давайте внедрим менеджер паролей за корпоративный счет, чтобы было удобно».
        
    2. С HR: «Давайте включим простой инструктаж в onboarding, представим это как заботу о личных данных сотрудника».
        
    3. С главами департаментов: «Это поможет нам защитить ваши уникальные наработки от конкурентов».  
        Результат: Политика внедряется с меньшим сопротивлением.

Практический инструмент: «Совет по киберустойчивости». Создайте регулярную встречу с ключевыми представителями бизнес-подразделений (не ИТ!). Ваша задача не читать лекции, а слушать их планы и проактивно предлагать, как ИБ может помочь в достижении их целей безопасно. Вы из контролера становитесь партнером.    

Часть 3: С чего начать? План действий на 30/90/180 дней

30 дней (Диагностика):
    1. Проведите анонимный опрос в своей команде и среди ключевых коллег: «Насколько комфортно вам сообщать о плохих новостях или ошибках, связанных с безопасностью?». Это измерит психологическую безопасность.
    2. Проанализируйте один последний инцидент. Где в цепочке реагирования были эмоциональные «сбои»: замалчивание, паника, конфликт?
        
90 дней (Внедрение):
    1. Внедрите «разбор полетов без вины» (blameless post-mortem) для всех инцидентов среднего и высокого уровня. Фокус — на процессе, а не на человеке.
    2. Начните следующую презентацию для руководства не с угроз, а с защищенной бизнес-возможности (например, «Благодаря новым средствам шифрования мы можем запустить сервис Х на новом рынке»).
        
180 дней (Формализация):
    1. Включите оценку поведенческих компетенций (коммуникация, работа в условиях неопределенности, наставничество) в систему KPI и карьерного роста в вашем подразделении.
  2. Станьте спонсором межфункциональных учений (table-top exercises) по киберинцидентам с участием юристов, PR, операционщиков. Ваша цель — отточить не техническую, а коммуникационную и управленческую координацию.
        

Заключение: Ваш самый ценный актив — не софт, а климат

В конечном счете, вы управляете не устройствами и правилами, а людьми и их поведением. Технологии можно купить. Культуру осознанности, доверия и проактивного реагирования, которая является прямым следствием высокого эмоционального интеллекта лидера, — нельзя. Именно эта культура становится тем самым «человеческим фаерволом», который превращает организацию из мишени в крепость.

P.S. Всем кто дочитал до конца и кому действительно было интересно расширить свой кругозор  буду признателен любой оставленной ОС.