Как обосновать владельцу бизнеса расходы на безопасность предприятия?

Руководители и специалисты говорят на разных языках: первых заботит прибыли, издержки, развитие, а у профессионалов свои узкие технические задачи. Существует ряд проблем, которые мешают договориться управленцам и исполнителям.

Что мешает ИБшникам и их директорам договориться?

1. Разное представление о рисках. Безопасники, как правило, крайне нетерпимы в рискам. Им хочется сделать систему неуязвимой, что в принципе труднодостижимо и потребует огромных вложений.
Бизнесмен привык рисковать, ведь без риска нет прибыли, поэтому для руководителя важно не защититься по полной, а найти идеальное соотношение потенциальной потери средств и прибыли. То есть отделу безопасности важно выявить угрозы, которые действительно могут нанести существенный ущерб бизнесу, и потом донести до руководителя соотношение трат на безопасность и возможные потери от вторжения.
2. Желание специалистов “напугать” руководителя возможными последствиями. Управляющий партнер Archer International Патрик Миллер выступая на конференции Kaspersky Industrial Cybersecurity Conference 2019, подчеркнул, что у владельцев бизнеса и так достаточно поводов для стресса. Кроме того, при попытке завалить руководителя техническими терминами включается защитный механизм, директору не комфортно признавать, что он чего-то не знает.
3. Акцент на проблеме, а не на последствиях. Если сотрудник отдела безопасности придет к руководителю и скажет, что обнаружил угрозу, нейтрализация которой потребует Х денег, то руководитель услышит: “Компания потеряет X денег на неведомую техническую фигню”.
Нужно, чтобы помимо X трат на решения по инфобезу прозвучали Y рублей, которые компания потеряет в случае атаки и Z% вероятности такой ситуации. При этом вероятность того, что директор решит просто принять риски очень велика.
4. Нереалистичная оценка времени. Нельзя отвечать на вопрос директора “когда” - “прямо сейчас”. Такого ответа требуют исключительные функциональные нарушения. Противоположный вариант - в течение года - тоже неприемлем для большинства уязвимостей. Атака случится, бизнес потеряет деньги, специалиста уволят. Срок должен быть максимально реалистичным с поправкой на то, что на выделение средств может потребоваться какое-то время.
5.Нужно прокачивать навыки маркетолога. Приходя к руководителю, предлагайте ему решение его проблемы, причем максимально конкретное, минимизируйте тяжелые технические термины, оформляйте свою речь слайдами с диаграммами, чтобы все было наглядно.
Лучше предложить несколько вариантов решения проблемы и уместить их всех на одной странице, потому что длинный текст никто не будет читать.
Вывод: Чтобы донести важность своих требований до руководителя, специалисту мало быть крутым безопасником. Нужно еще быть немного маркетологом, экономистом и чуть-чуть предпринимателем.

0
Комментарии
Читать все 0 комментариев
null