Почему никто не любит подразделение «Нет» и что с этим делать?

1. Категоричное «Нет»

• Описание: Это резкое и прямолинейное отрицание, без объяснения причин или обсуждения альтернатив. Оно может казаться агрессивным или непрофессиональным.
• Риск: Разочарование и ухудшение отношений с коллегами или клиентами.
• Как улучшить: Вместо категоричного отказа попробуйте предложить объяснение. Например: «Это не входит в наши текущие планы, но мы можем рассмотреть это в будущем».
  

  В любом случае стоить помнить, что задача ИБ не блокировать бизнес-инициативы, а описывать их владельцам риски от их реализации и, если бизнес все-таки решается на них, то постараться снизить возможные негативные последствия.

2. Защитное «Нет»

• Описание: Отказ, сопровождаемый оправданиями или попытками переложить ответственность на внешние обстоятельства, например, требования регуляторики или запрет со стороны ИТ.
• Риск: Выглядит как избегание ответственности или нежелание и неспособность принимать решения.
• Как улучшить: Будьте честны и уверены в своем отказе. Например: «Это не соответствует нашим целям на данный момент, но мы ценим ваше предложение».

Кстати, во многих нормативных актах по ИБ очень редко, когда говорится «нет» или «нельзя». Они, как правило, говорят «необходимо» или «должно». И даже если суть та же, все-таки явное отрицание используется в законодательстве редко, что позволяет находить обходные или компенсационные меры для решения стоящих задач.

3. Уклончивое «Нет»

• Описание: Попытка избежать отказа с помощью неясных формулировок или обещаний рассмотреть предложение позже.
• Риск: Потеря доверия, так как люди замечают уклончивость.
• Как улучшить: Четко выражайте свою позицию. Например: «Мы сейчас не готовы реализовать это, но можем обсудить через три месяца.»
  

  Вы же помните, что существует 4 стратегии управления рисками — принятие, передачу, снижение и избегание. И отказ от инициативы не входит в их число. Оставьте это решение бизнесу, предложив ему следовать одной из четырех стратегий.

4. Запоздалое «Нет»

• Описание: Чем позже озвучивается отказ, тем больше хаоса он вызывает.
• Риск: Демотивация со стороны коллег.
• Как улучшить: Отвечайте сразу, даже если вы не можете в данный момент дать однозначный ответ, очертив временные границы, когда сможете. Например: В данный момент у нас нет позиции по данному вопросу, нам нужно время, чтобы ее сформулировать. Давайте обсудим это через неделю».

5. Молчаливое «Нет»

• Описание: Полное игнорирование просьбы или вопроса, вместо того чтобы дать четкий ответ.
• Риск: Создает чувство неуважения у другой стороны.
• Как улучшить: Всегда отвечайте, даже если это отказ. Например: «Спасибо за ваше предложение, но, к сожалению, мы не можем его поддержать.»

6. Конфронтационное «Нет»

• Описание: Отказ, сопровождаемый конфликтом или критикой другой стороны.
• Риск: Усиливает напряженность в команде или с клиентами.
• Как улучшить: Сохраняйте профессионализм и уважение. Например: «Мы не можем поддержать это сейчас, но готовы обсудить альтернативные варианты.»

Если эти варианты «нет» звучат слишком часто или ИБ меняет свою точку зрения, выглядя непоследовательно, это приводит к постоянному обходу ИБ-команды в решении вопросов и разрушении доверия к ней.

Кстати, медаль «нет» может быть присуждена и конкретному человеку внутри команды ИБ. Хуже всего, когда от этого «NO MAN» реально зависит решение каких-то вопросов. Тогда эти темы подвисают и никто к ним не прикасается, пока совсем не приспичит или не будет поздно.

В стремлении избавиться от имиджа «отдела, который всегда говорит ‘Нет'», службы безопасности компаний иногда доходят до крайностей, избегая отказов любой ценой. Однако стратегически и правильно сказанное «Нет» остаётся важным инструментом управления имеющимися рисками, позволяя не только защитить компанию и поддерживать долгосрочные отношения с коллегами, но и не быть «токсиками» в коллективе.

Как можно улучшить процесс отказа, чтобы он был более конструктивным и помогал укреплять рабочие отношения? Можно выделить следующие Топ10 рекомендаций:

1. Будьте честны и прозрачны. Честное объяснение причин отказа укрепляет доверие. Если вы не можете разрешить использование паролей без спецсимволов и символов в разных регистрах в создаваемом приложении, то объясните это с отсылками на требования регулятора. Но будьте готовы ответить на вопрос: «А что будет, если мы нарушим требования?»
2. Предлагайте альтернативы. Если возможно, предложите другие варианты действий или решения задач.
3. Проявляйте эмпатию. Понимание точки зрения другой стороны помогает смягчить отказ. Если представители департамента продаж хотят работать удаленно и пользоваться личным ноутбуком, то это не от их прихоти, а от желания быть ближе к клиенту и решать вопросы на месте, не возвращаясь каждый раз в офис, потому что CRM доступна только оттуда.
4. Используйте профессиональный тон. Сохраняйте спокойствие и уважение в любой ситуации.
5. Обучайте команду. Делайте отказ инструментом для достижения взаимопонимания, а не источником конфликта. Курсы по управлению конфликтами сегодня предлагаются многими учебными центрами или даже внутренними корпоративными университетами. Почему бы не спросить в своем HR (отделе кадров), нет ли у них таких курсов в копилке.
6. Будьте своевременны. Решайте проблемы на ранних этапах, когда изменения дешевле и проще.
7. Будьте последовательны. Сохраняйте предсказуемость своих решений, основываясь на четких политиках, стандартах и правилах игры. Если в одном проекте вы допустили использование встроенных в ПО механизмов шифрования данных, то странно будет в другом проекте требовать применения сертифицированных СКЗИ, не имея железобетонной уверенности, что вы правы в обоих случаях (и вам придется это обосновать).
8. Сосредоточьтесь на бизнес-результатах: Убедитесь, что все стороны понимают приоритеты компании и ее бизнес-цели. Желая сказать «нет», глубоко вдохните, досчитайте до десяти и только тогда отвечайте. Возможно за эти 10 секунд вы поймете, что ваше «нет» продиктовано нежеланием что-то делать или дурацким требованием регуляторики, а не реально существующими ограничениями. Ну а про «говорите на языке бизнеса» я уже немало писал в блоге.
9. Пауза для анализа проблемы: Разделите проблему на части (кто, что, как) и уточните, кто отвечает за её решение. Соблюдайте правило чашки чая, о которой я на праздниках писал в своем Telegram-канале.

   

10. Согласуйте приоритеты:
    • «Не сейчас, у нас иные приоритеты»: Объясните, почему другие задачи важнее, и предложите варианты ускорения. Главное, чтобы ваши приоритеты были синхронизированы с корпоративными.
    • «Не сейчас, по техническим причинам»: Укажите, что действительно мешает реализации, и определите сроки, когда вы сможете вновь вернуться к решению задачи.
    • «Нет, по техническим причинам»: Подробно объясните, почему решение невозможно, чтобы вас не считали самодуром.

Грамотное «Нет» — это не препятствие, а инструмент, защищающий компанию и укрепляющий доверие. Оно помогает партнёрам понимать риски и двигаться вперёд с учётом долгосрочных интересов бизнеса. В противном случае ИБ только усилит свой имидж тех, кто только и делает, что запрещает все. Таких не любят, с ними не очень считаются, их отправляют на задворки. Зачем вам быть такими?