Security manager, czyli kto?
Rafał Łupkowski
A gdyby tak „rzucić wszystko” i zająć się bezpieczeństwem? To chyba niemożliwe, z kilku istotnych powodów.
Po pierwsze rynek security nie lubi podobno ludzi z przypadku. Po drugie trzeba gdzieś zdobyć pierwsze szlify i doświadczenie. Po trzecie kim tak naprawdę jest security manager – czy osobą zarządzającą bezpieczeństwem fizycznym w dużej korporacji, czy może odpowiedzialną za obszar cybersecurity? A może ekspertem w dziedzinie zabezpieczeń? Czy warto podejmować nierówną z założenia walkę o jednoznaczną ocenę sytuacji i kto ma monopol na rację?
Przyjrzyjmy się obecnemu rynkowi pracy w Polsce i za granicą. Pokuszę się o własną ministatystykę, z której wynika, że 8 na 10 ogłoszeń o pracę security managera dotyczy zarządzania zagadnieniami cyberbezpieczeństwa. Pracując kilkanaście lat w korporacji, przeoczyłem chyba moment wszechobecnej digitalizacji wszystkiego i wszystkich naraz. Oczywiście np. systemy telewizji dozorowej i kontroli dostępu w pewnym momencie stały się niemal całkowicie zależne od wymagań sieciowych, ale żeby ludzie też?
Kiedy patrzę wstecz, widzę przełom lat 90. i 2000 roku, gdzie zarządzający bezpieczeństwem (a raczej dbający o nie) w ujęciu bardziej państwowym niż komercyjnym to głównie osoby wywodzące się z resortów MSWiA oraz MON, często rozpoczynające karierę w branży dzięki pozwoleniu na broń (tak, proszę „nie regulować odbiorników”). Nie jest tajemnicą, że komercyjny rynek security w Polsce zaczął się od prostych usług w zakresie ochrony i zabezpieczeń. Czy współczesne określenia manager i security kojarzą się nam wyłącznie z bodyguardem i instalatorem, jak było kiedyś? Nie sądzę, mam też nadzieję, że starsi ode mnie koledzy po fachu, zaczynający swoją karierę np. na początku lat 90. lub wcześniej, nie będą mieli mi za złe – mimo wszystko mam do tych czasów spory szacunek.
Słowo manager jest na potrzeby mojej ekspresji nieco bardziej kluczowe, ponieważ przełom lat 90. i 2000 roku dokładnie pokazał, jak bardzo rynek polski nie rozumiał jeszcze istoty słowa zarządzanie, a określenia szef czy kierownik nie szły w parze z managerem, a co dopiero rozumieniem bezpieczeństwa jako „proces” zarządzany przez osobę, która przejawia cechy lidera.
Tak było, a co wydarzyło się później?
Zarządzania bezpieczeństwem uczyliśmy się poprzez prostą koordynację usług ochrony i terminów konserwacji systemów zabezpieczeń. Zdecydowanie dopomogło nam w tym uwolnienie rynku od sektora państwowego i wzrost rynku korporacji. Niestety do dziś wiele z tych korporacji koncentruje się na wymaganiach dotyczących przeszłości kandydatów, określanych jako ex. military lub ex. police dept., co w realiach zachodnich zawsze wydawało się atrybutem. Wielokrotnie przekonywałem się, że w naszych tak nie było.
Jak więc wyrastali pierwsi security managerowie na rodzimym rynku? Z pewnością podobnie jak ja, także wielu moich kolegów w branży zaczynało od prostych zadań, a później, ze wzrostem rynku i jego zapotrzebowaniem dotykaliśmy tego, co bogate i międzynarodowe. Na rozlicznych szkoleniach w pocie czoła poznawaliśmy mądre terminy, takie jak crisis management, disaster recovery, executive security, budget, loss prevention i wiele innych. Tak było w czasach, kiedy o atakach na serwery słyszeliśmy tylko w ujęciu ładunku wybuchowego, a cyber był terminem z książek autorów science fiction. Te czasy wcale nie są szczególnie odległe.
Dlaczego więc odczuwałem pewnego rodzaju przykrość, gdy na jednej z konferencji dla sektora bankowego, gdzie spotkały się struktury physical i cyber security, usłyszałem, że prawdziwe ryzyko jest już tylko po stronie cyber security? Zapewne dlatego, że mam pełną świadomość faktu, że zawsze, bez względu na sytuację, musi w organizacji być ktoś, kto jak w słynnym filmie o Jamesie Bondzie nie jak Q sprzed ekranu monitora, ale jak Bond zejdzie „na dół” i trochę pobrudzi sobie ręce.
Czy zatem rolę security managera można sprowadzić tylko do jednej z działek jak Bond i Q? Uważam, że nie. Tylko umiejętne połączenie wielu wspólnych cech daje przepis na security managera z krwi i kości. Co jest tak fascynującego w tej profesji, oprócz mitycznego munduru? Coś, co Amerykanie nazwali mianem intelligence. Gdy zatem wrócimy do studiowania opisów stanowisk, szybko zorientujemy się, że pracodawcy widzą security managera jako osobę o co najmniej dziesięciu twarzach i nie mniej niż kilkunastu rękach. Paradoksy, jakie rzucały mi się w oczy, bardzo często wykluczały się wzajemnie i przypominały polski rynek ochrony. Osoba ta bowiem miała znać języki obce, raportować do zarządu (byle nie za często i nie o potrzebach finansowych), lecz w strukturze być znacznie niżej, czasem np. w administracji, jednoosobowo dbać o koszty, lecz niekoniecznie o zakupy i umowy, być dyspozycyjna i najlepiej na miejscu mimo rozległej struktury firmy.
To bardzo częsty obraz i problem moich kolegów z branży security, jednak szczęśliwie w swojej karierze miałem przyjemność posiadania dużego wpływu na kształtowanie swojej rzeczywistości w ramach zajmowanych stanowisk, a także czerpania ogromnej satysfakcji z pracy. Także z racji różnorodności w realizacji zadań, co w branży security cieszy chyba najbardziej, zaraz po nawiązywaniu długotrwałych relacji, o czym z racji rozlicznych eventów branżowych mogę ciągle pamiętać – to dobra wiadomość.
Jakie są cechy dobrego i skutecznego security managera i czym powinien się on charakteryzować? Nasuwa mi się lista kluczowych kompetencji. To osoba, która jest:
dojrzała emocjonalnie, potrafiąca skutecznie rozwiązywać sytuacje konfliktowe i kryzysowe (czyli klasyczna weryfikacja potencjału człowieka w starciu z kryzysem),
posiadająca wysokie zdolności do prezentacji zagadnień i uzasadniania tez, co ma bezpośredni wpływ na argumentowanie potrzeb organizacji i budowanie świadomości,
mająca dużą świadomość i łatwość w przyswajaniu zagadnień technologicznych w różnych obszarach (dotyczy to głównie ujęcia systemowego – spróbujmy, także w ramach ćwiczenia, odpowiedzieć na pytanie, co rozumiemy pod pojęciem „systemy bezpieczeństwa”. Wierzę, że dla wielu czytelników będzie to lista w pewnym sensie zamknięta),
posiadająca zdolność kierowania/koordynacji wielu zadań/projektów jednocześnie (celowo nie używam terminu „zdolności analityczne”, gdyż wydaje się to nader oczywiste),
umiejąca poddawać się częstej autorefleksji oraz wyciągać i wdrażać wnioski z niej płynące (dygresją jest autorska zagadka, jaki jest podstawowy problem security managera – odpowiedź brzmi „sam wie najlepiej”, gdyż sam w wielu kwestiach nie jestem od tego wolny),
potrafiąca działać niezależnie, korzystając z umiejętności wysokiej motywacji (to w moim przekonaniu cecha z serii Don’t ever give up!),
posiadająca ponadprzeciętne zdolności komunikacyjne (proszę szybko przeliczyć, na ile obszarów w organizacji ma wpływ bezpieczeństwo i z iloma różnymi strukturami – zarówno wewnątrz, jak i na zewnątrz – trzeba się skutecznie i bezkonfliktowo komunikować),
dbająca o nawiązywanie bezpośrednich relacji (uważam, że to właśnie relacje kreują każdą branżę i pchają ludzi do osiągania wspólnych celów, a jak wiele zwojowałby przytaczany James Bond bez Q – to dla mnie cecha najważniejsza).
Zapewne każdy uzupełniłby tę listę o kolejne cechy, a wielu zada pytania, co z listą twardych merytorycznych kompetencji, gdzie są certyfikaty i szkolenia. Uważam, że w wielu miejscach mamy ich przesyt i obiecałem sobie, że nie popełnię kolejnej listy rodem z Job Description. Oczywiście w tej branży, zależnie od obszaru, niejako kluczowe są uprawnienia i kwalifikacje, ale kilka lat temu postawiłem na coś, co nazywaliśmy „błyskiem w oku”, poznałem bowiem setki megamerytorycznych ekspertów, których wiedza bez odpowiedniej komunikacji była bezużyteczna, wręcz niemożliwa do wykorzystania – z korzyścią zarówno dla rzeczonego eksperta, jak i samej organizacji. Czy to oznacza, że dobry security manager nie musi się szkolić, tylko „mieć gadane” i „to coś”? Wierzę, że odbiorcy rubryki Bezpieczeństwo biznesu użyją swojego intelligence, aby odpowiedzieć na to pytanie.
Kim więc właściwie jest dziś security manager?
Konkludując, uważam, że security manager jest osobą rozumiejącą bezpieczeństwo jako strategiczny zarządzany proces mający wpływ na podstawową działalność operacyjną organizacji.
Nie będę jednak uporczywie bronił żadnej z tez, ich stawianie pozostawiam każdemu, kto zdecydował się podążać tą drogą. Chyba że ktoś powie, że security manager to osoba NIElubiąca swojej pracy, kontaktów z ludźmi, relacji, nowinek technicznych, adrenaliny w sytuacjach kryzysowych, wydarzeń, analizy, negocjacji czy też załatwiania rzeczy niemożliwych „od ręki”. Wówczas prawdopodobnie należy bezzwłocznie podjąć decyzję o zmianie profesji, czego nikomu NIE życzę.
Rafał Łupkowski
Pasjonat i wieloletni praktyk zarządzania bezpieczeństwem biznesu w korporacjach międzynarodowych, współtwórca Kongresu Security.
Niezależny doradca w obszarze bezpieczeństwa biznesu – właściciel firmy SecurityBroker.