Как убедить руководителя одобрить ИБ-инициативы

Даниил Бориславский

Директор по продукту Staffcop направления информационной безопасности Контур.Эгида

Одна из головных болей руководителей ИБ-службы — убедить руководство в том, что ИБ-инициативы будут полезны компании и их нужно внедрять. Даниил Бориславский, директор по продукту Staffcop направления информационной безопасности Контур.Эгида, специально для Cyber Media рассказал в пяти шагах, как донести ценность ИБ-инициатив руководству, чтобы точно получить согласие на их внедрение.

Шаг 1. Поставить цели и согласовать их

Для начала определитесь с целями. Что мне нужно? Деньги на покупку IT-системы, полномочия для влияния на сотрудников, одобрение моих действий или новые сотрудники для развития подразделения? Когда сам осознаешь, чего тебе недостает для решения задачи ИБ-службы, ты лучше понимаешь как донести эти цели до собеседника.

Когда цели сформулированы, важно понять, как они будут услышаны руководителем. Он может переживать о компании по-другому — он боится потерять бизнес, хочет повысить прибыль, масштабировать бизнес, снизить расходы, улучшить управление.

И вы не сможете подменить его цели своими — важно, чтобы они, если не совпадали, то пересекались.

При этом важно не просто говорить о целях, а не забывать о пользе. Сначала уточните, какие события руководитель считает недопустимыми и вы сможете рассказать, как ваши действия помогут избежать этих событий. И это мост между вашими целями и целями бизнеса — если здесь вы достигли взаимопонимания, можно действовать дальше.

Шаг 2. Быть понятным

В разговоре «слепого с глухим» коммуникацию не построить. Поэтому нужно говорить об ИБ-инициативах на понятном языке. Не злоупотребляйте терминами — если руководитель не поймет вас, то шансы, что он выделит ресурсы и согласует ваши действия, невелики.

Говорите на простом языке — например, представьте, что будете рассказывать свою презентацию перед школьниками. Если вам кажется, что они вас поймут, то вероятность донести свою мысль до руководства повышается.

Шаг 3. Обозначить, чего вы ждете от собеседника

Ваша главная цель — добиться определенных действий от руководителя. И важно, чтобы он четко понимал, что он должен сделать. Например, подписать договор, поставить задачи смежным отделам, изучить документы и принять решение. По сути вы должны выдать руководителю ТЗ, пусть оно и будет устным.

При этом важно, чтобы руководителю не пришлось предпринимать никаких лишних действий. Используйте принцип zero click: в идеале руководитель должен получить всю информацию от вас, чтобы больше ничего не читать и не открывать дополнительных сайтов или документов. Иначе процесс усложняется и велика вероятность, что он не сделает то, о чем вы просите.

Чтобы руководитель понимал, к чему приведут его действия, показывайте варианты развития событий. Если мы покупаем решение А, то это приведет к результату Б, если не покупаем, то к результату В. При этом результат В будет для компании хуже, чем результат Б.

Шаг 4. Показывать измеримые результаты

В диалоге с руководителем важно не только говорить о болевых точках, важно показывать, как именно вы их закроете. При этом здорово, если вы сможете говорить на языке чисел: мы подключим двухфакторную аутентификацию для 100% пользователей, мы снизим риски на 30%.

Даже если у вас нет точных цифровых показателей, их можно использовать, показывая приоритетность и актуальность ваших инициатив. Например, измерьте риски, которые могут произойти с компанией, если вы не внедрите решение; и оцените по десятибалльной шкале последствия этого риска.

Затем покажите данную таблицу руководству и в соответствии с оценкой примите план действий: какие риски принять, какие решать незамедлительно, с какими нужно работать планомерно.

Еще один вариант — взять за основу метрики эффективности бизнеса, а затем детально декомпозировать их, чтобы выявить те аспекты, за которые отвечает подразделение ИБ.

Например, у компании присутствует метрика «Количество денег от новых клиентов растёт год к году быстрее, чем изменение стоимости изделий». Тогда службе ИБ нужно выделить часть, в которой она может предотвратить падение, и часть, где может усилить рост.

Для этого нужно собрать инциденты, которые связаны с утечкой клиентской базы, установить факты «перехвата» заказов конкурентами и провести расследования. Также добавить на сайте информацию типа «Мы заботимся о безопасности данных используя DLP и MFA системы защиты данных».

Иногда руководители ИБ-служб аргументируют необходимость инициатив, опираясь на количество уже выявленных инцидентов. Это скорее неверно — службе ИБ становится выгодно для обоснования своей полезности показывать все больше нарушений. В итоге реальная защищенность организации падает, система становится уязвимой.

Шаг 5. Вовлечь руководителей в процесс

Если вы просто рассказываете об антифишинговых тренировках, то руководителю может быть это непонятным. Поэтому важно показать, как это работает. А лучше всего — вовлечь в процесс. Предложите руководителю составить письмо для тренировочной рассылки — скорее всего он быстро вовлечется в процесс, начнет думать. В итоге он будет лучше осознавать опасность фишинговых писем, поймет, насколько они бывают правдоподобными и опасными, и станет серьезнее относиться к тому, чтобы сотрудники проходили эти обучение и тренировки.

Объясняя необходимость внедрения мер ИБ, вспоминайте правило, которое рассказывает бортпроводник в самолете — «сначала наденьте маску себе, затем — ребенку». Руководитель должен заботиться о личной информационной безопасности и подавать пример сотрудникам, тогда больше шансы, что возникнет культура защиты корпоративных данных. 

ⓘ

2SDnjdvWCYV