Отношения «безопасников» с бизнесом редко можно назвать безоблачными. Зависят они как от уровня зрелости компании, так и от профессиональных и человеческих качеств — как ИБ-директора, так и топ-менеджмента. Между «топами» и ИБ-департаментом нередко проскакивают молнии. Вот лишь несколько типовых ситуаций, когда возникает напряжение:
- Ключевые топ-менеджеры на личном уровне не понимают рисков, возможных последствий и ответственности.
- Новый ИБ-директор приходит в компанию, где кибербезопасности не уделялось особого значения и сталкивается с недопониманием и необходимостью убеждать в очевидных в его понимании вещах.
- Компания истрически тратила на ИБ ничтожно малые бюджеты и для качественного скачка уровня ИБ требуется увеличить бюджет в разы.
- Новые системы кибербезопасности замедляют бизнес-процессы, и вызывают недовольство руководителей бизнес подразделений так как это мешает им достигать своих KPI.
В результате бизнес начинает «торговаться»: выполнять лишь половину требований, не выполнять их вообще, а иногда и просто откровено пренебегать.
Чтобы бизнес-процессы слаженно работали, важно найти баланс между той скоростью, которая необходима бизнесу и достаточным уровнем безопасности. Этот процесс даже можно сравнить с гонкой вооружений или ездой на автомобиле. Сначала люди ездили на лошадях и особенных аварий не было. Потом появился автомобиль: люди начали строить дороги, асфальтировать их и машин стало гораздо больше, росла скорость вождения. Как результат, стали чаще происходить аварии. И с этим нужно было что-то делать: появились ремни безопасности и регулирующие органы, которые контролируют скоростной режим. И в итоге выработался свод правил, который помогает учитывать как потребности водителей, так и сохранение общей безопасности.
Точно так же и в бизнесе.
Построение такого баланса зависит непосредственно от ИБ-директора, от его персонального профессионализма, умения выбрать правильное решение и навыков корпоративного игрока, способности правильно оценивать ситуацию и координировать ожидания или саму цель. Большая часть успеха зависит именно от выстраивания и понимания той экосистемы, в которой находится CISO.
Вот простой пример. Допустим, директор по кибербезопасности через год хочет построить «суперсистему». И для этого нужно 15 миллионов, но бизнес готов выделить только один. Есть несколько вариантов развития событий:
- Принять предложение, не вызывать на себя огня и недовольства, довольствуясь малыми начать с наиболее приоритетных блоков, осознавая все риски.
- Продолжать настаивать, приводя аргументы и угрожая последствиями. В этом случае, еасть шанс что сумма будет увеличена. При этом возрастут и ожидания от уровня защищенности, но вместе с этим вырастет и уровень зрелости компании с точки зрения готовности траты денег на ИБ
- Идти на ультиматум – получение полной суммы или «ничего». Шансы получить полную сумму, хоть и небольшие, но есть, но «врагов» при таком подходе тоже наживается не мало..
Наиболее рекомендованным наверное является вариант номер 2, хотя и он сильно зависит от персоналий, ситуации и специфики в компании и на рынке и т.д
С подобными ситуациями и возражениями нужно уметь работать. Некоторые ИБ-директора пытаются рассчитать ROI от внедрения системы ИБ через потенциальные потери — но эта метрика работает далеко не всегда.Это может сработать в случае, если в недалеком бэкграунде был серьезный инцидент безопасности, который существенно повлиял на бизнес и который еще помнят (памяти, как правило, хватает на 6-12 месяцев). Если вам повезло, и такой инцидент был -покажите менеджерам риски через уровень ответственности, которая может выражаться в деньгах, KPI, а в случае с объектами КИИ — в уголовной и административной ответственности. Если в вашей компании такого инцидента не было, полезно бывает поискать в отрасли или просто громкие случаи в том же географическом регионе.
В моем опыте был случай, когда директор по ИБ пришел к своему генеральному и предложил необходимые ИБ-инструменты, которые руководству показались слишком дорогими. Тогда CISO составил служебную записку: «На основании такого-то закона необходимо внедрить определенные средства, но мне было в этом отказано. Снимаю с себя ответственность за возможные последствия, предусматривающие уголовную ответственность». Сработало очень быстро. Деньги тут же нашлись.
Конечно, делая такой шаг, ИБ-директор должен понимать, кому он это пишет, и что он может. Потому что после такой служебной записки его могут уволить. Уметь взвесить последствия и найти баланс — тоже показатель профессионализма.
Еще один пример. Один наш заказчик (крупный российский бизнес), которому мы годами пытались продать решения и слышали только «пока не надо», позвонил и сказал, что была серьезная проблема на бухгалтерском сервере и пропали данные. И деньги на безопасность молниеносно нашлись.
Поэтому общая логика — прежде всего понять бизнес-процессы компании, проанализировать их и донести в понятном и доступном виде до руководителей бизнес-подразделений риски. Рассказать, чем лично им это может быть чревато или как они могут это использовать в своих целях. Это сделает их союзниками, или по крайней мере не врагами.
