Как обосновать владельцу бизнеса расходы на безопасность предприятия?

Как обосновать владельцу бизнеса расходы на безопасность предприятия?

Когда руководителю предприятия озвучивают стоимость услуг по ИБ, он часто разводит руками. Проблема в том, что безопасники и бизнесмены говорят на разных языках. Узкие технические задачи специалистов — защитить тот или иной компонент IT-инфраструктуры не дают мгновенную прибыль, а их польза маячит где-то на горизонте.

Что мешает прийти к компромиссу?

1. Разная оценка риска. У специалиста по информационной безопасности, как правило, любой риск — недопустимое событие, он стремится их максимально минимизировать, чтобы не допускать инцидентов. Конечно, это требует огромных бюджетов.

А предприниматель всегда рискует, без этого не получится расти и получать прибыль.

Как решить? Безопасникам нужно выявить уязвимости, которые нанесут непоправимый урон бизнесу, а потери будут куда выше затрат на средства защиты. Именно это и нужно донести до руководителя и начинать работу с критических проблем.

2. Стремление безопасника «запугать» владельцев бизнеса страшилками о последствиях. Дескать, каждая уязвимость — это путь, который ведет к потере всех активов. Еще в 2019 году управляющий партнер Archer International Патрик Миллер, выступая на конференции Kaspersky Industrial Cybersecurity Conference подчеркнул, что у каждого предпринимателя причин для стресса более, чем достаточно. «Страшилки» не работают. Часто свой доклад безопасник активно наполняет техническими терминами, которые старается не объяснять. В этот момент включается защитный механизм: директор испытывает дискомфорт: он чего-то не знает, хотя понятно, что говорят о важных вещах.

Как решить? Используем в процессе обоснования приемы маркетинга. Вы идете к руководителю не жаловаться или просить, вы предлагаете ему решение его проблемы. Оно должно быть конкретным и реальным. Подготовьте наглядную презентацию, сразу выясняйте все технические термины. заказчика о последствиях, не преувеличивая, но и не преуменьшая. Хорошо работает история с кейсами: проиллюстрируйте своими проектами опасность уязвимостей.

Мы часто используем такой прием: предлагаем несколько рабочих решений, чтобы клиент мог выбрать. При этом стараемся донести мысль компактно, и в каждом случае описать преимущества и примерную тоимость.

3. Противоположная история: специалисты акцентируют внимание на проблеме, а не на последствиях. Представим, как специалист по инфобезу приходит к директору и говорит: «Я нашел уязвимость, чтобы ее устранить, нам надо Х миллионов рублей». Директор слышит: «Наша компания потеряет Х миллионов на непонятную техническую приблуду».

Как решить? Помимо расходов доклад должен содержать и информацию о размере потерь, в случае, если злоумышленники воспользуются уязвимостью, а еще — процент вероятности такой ситуации. И в идеале, что по этому поводу говорит закон. Есть такие компании, в которых уязвимости IT-инфраструктуры равна по меньшей мере штрафным санкциям.

4. Срочность. При оценке времени лучше не определять срок внедрения нужного решения как «прямо сейчас». Такого ответа требуют исключительные функциональные нарушения. Другая крайность — определить срок «в течение одного-двух лет». Если в это время произойдет атака, то безопасника просто уволят, ведь компания потеряет деньги.

Как решить? Озвучиваем руководству риски, размер потенциальных потерь, приводим статистику вторжений. В идеале срок внедрения обозначать до трех-четырех месяцев.

В качестве вывода: чтобы обосновать важность своих требований, специалисту недостаточно технических знаний. Он должен быть чуть-чуть маркетологом, а также разбираться в экономике и понимать боли предпринимателя.

информационная безопасность
Alt text

Квантовый кот Шрёдингера ищет хозяина!

Живой, мертвый или в суперпозиции? Узнайте в нашем канале

Откройте коробку любопытства — подпишитесь

maksoft

В составе компании 8 структурных подразделений по направлениям деятельности: системная интеграция, информационная безопасность, облачные решения, автоматизация бизнес-процессов, печатная техника, проектно-строительное подразделение, фотовидеофиксация и команда заказной разработки.