Когда руководителю предприятия озвучивают стоимость услуг по ИБ, он часто разводит руками. Проблема в том, что безопасники и бизнесмены говорят на разных языках. Узкие технические задачи специалистов — защитить тот или иной компонент IT-инфраструктуры не дают мгновенную прибыль, а их польза маячит где-то на горизонте.
Что мешает прийти к компромиссу?
1. Разная оценка риска. У специалиста по информационной безопасности, как правило, любой риск — недопустимое событие, он стремится их максимально минимизировать, чтобы не допускать инцидентов. Конечно, это требует огромных бюджетов.
А предприниматель всегда рискует, без этого не получится расти и получать прибыль.
Как решить? Безопасникам нужно выявить уязвимости, которые нанесут непоправимый урон бизнесу, а потери будут куда выше затрат на средства защиты. Именно это и нужно донести до руководителя и начинать работу с критических проблем.
2. Стремление безопасника «запугать» владельцев бизнеса страшилками о последствиях. Дескать, каждая уязвимость — это путь, который ведет к потере всех активов. Еще в 2019 году управляющий партнер Archer International Патрик Миллер, выступая на конференции Kaspersky Industrial Cybersecurity Conference подчеркнул, что у каждого предпринимателя причин для стресса более, чем достаточно. «Страшилки» не работают. Часто свой доклад безопасник активно наполняет техническими терминами, которые старается не объяснять. В этот момент включается защитный механизм: директор испытывает дискомфорт: он чего-то не знает, хотя понятно, что говорят о важных вещах.
Как решить? Используем в процессе обоснования приемы маркетинга. Вы идете к руководителю не жаловаться или просить, вы предлагаете ему решение его проблемы. Оно должно быть конкретным и реальным. Подготовьте наглядную презентацию, сразу выясняйте все технические термины. заказчика о последствиях, не преувеличивая, но и не преуменьшая. Хорошо работает история с кейсами: проиллюстрируйте своими проектами опасность уязвимостей.
Мы часто используем такой прием: предлагаем несколько рабочих решений, чтобы клиент мог выбрать. При этом стараемся донести мысль компактно, и в каждом случае описать преимущества и примерную тоимость.
3. Противоположная история: специалисты акцентируют внимание на проблеме, а не на последствиях. Представим, как специалист по инфобезу приходит к директору и говорит: «Я нашел уязвимость, чтобы ее устранить, нам надо Х миллионов рублей». Директор слышит: «Наша компания потеряет Х миллионов на непонятную техническую приблуду».
Как решить? Помимо расходов доклад должен содержать и информацию о размере потерь, в случае, если злоумышленники воспользуются уязвимостью, а еще — процент вероятности такой ситуации. И в идеале, что по этому поводу говорит закон. Есть такие компании, в которых уязвимости IT-инфраструктуры равна по меньшей мере штрафным санкциям.
4. Срочность. При оценке времени лучше не определять срок внедрения нужного решения как «прямо сейчас». Такого ответа требуют исключительные функциональные нарушения. Другая крайность — определить срок «в течение одного-двух лет». Если в это время произойдет атака, то безопасника просто уволят, ведь компания потеряет деньги.
Как решить? Озвучиваем руководству риски, размер потенциальных потерь, приводим статистику вторжений. В идеале срок внедрения обозначать до трех-четырех месяцев.
В качестве вывода: чтобы обосновать важность своих требований, специалисту недостаточно технических знаний. Он должен быть чуть-чуть маркетологом, а также разбираться в экономике и понимать боли предпринимателя.