Итак, первое: менеджеры не реагируют на угрозы, которые равномерно влияют на рынок, то есть, на все конкурирующие компании. Это логично, хотя и принимается с трудом.
Второе и очень важное: если угроза непонятна, ее игнорируют. Так работает человеческий мозг. Только если индивидуум уверен в том, что он понимает угрозу, его серое вещество согласиться на нее реагировать. Уверенность в понимании угрозы почти никогда не означает, собственно, понимание угрозы и ее последствий. Широко освещенная в прессе и на ТВ угроза воспринимается как более понятная, как бы смешно это не звучало.
Третье, и спасительное: правильные менеджеры часто меняют точку зрения. Все успешные руководители в какой-то момент понимают, что упрямство, жесткость позиции и уверенность в себе это не самоцель, а средство достижения цели, так же, как и гибкость, политичность и готовность идти на компромисс. Чем опытнее менеджер, тем быстрее он принимает позицию, подкрепленную неоспоримыми аргументами, – другое дело, что аргументы эти не все умеют подбирать, но об этом чуть позже.
Итак, что же мы можем из этого слепить?
Во-первых, для получения поддержки руководства вам придется пересмотреть собственное видение и далеко не в пользу вашего профессионального мнения. Выбрали работу безопасника в жестко зарегулированной отрасли? Не жалуйтесь, что приходится заниматься мукулатурой, а не ловить хакеров: думать надо было до приема на работу. В этой компании соответствие требованиям и готовность представить проверяющим органам доказательства этого соответствия представляют наивысшую ценность ИБ для бизнеса. Менеджеры это понимают, а вы, кажется, нет.
Как только вам удастся принять неизбежность выравнивания целей ИБ и целей бизнеса, вам станет намного легче доказать актуальность угрозы руководству. Более того, эта задача намного упроститься, потому что многие ваши идеи и тайные страхи развеются по пути: вы сами поймете, что они более не важны. Формулируя угрозу менеджеру, ставьте ударение на том, что угроза навредит не сферическому бизнесу в вакууме, а конкретной, отдельно взятой, вашей компании. Какие аргументы для этого приводить, а главное, где их взять? Очень просто.
Начните с одной простой вещи под названием "конкурентная разведка". Многие ошибочно считают, что этот термин означает "промышленный шпионаж", который вымыт и причесан для пущей политкорректности. На самом деле, все намного сложнее, и вместо спаивания сотрудников конкурирующей фирмы в попытках выведать коммерческие тайны, вам придется вооружиться Гуглом и поискать, где эта фирма отоваривается средствами защиты, чтобы быть в курсе, какие угрозы ей менее страшны, чем вам. Причем успешность конкурентов в борьбе с угрозами для вас не важна, обычно для руководителя достаточно аргумента вроде "компания А что-то делает в этом направлении".
Помимо изучения участников рынка, конкурентная разведка включает в себя исследование окружающей рынок социальной инфосферы (тематических форумов, страниц в Фезбуке, груп Вконтакте и т.д.), и в особенности – вашего в ней присутствия. Способность отыскать информацию не только о других, но и себе любимом, может дать вам неоспоримые аргументы вроде "компании А, Б и В пользуются среди потребителей небывалой няшностью, а нашу только хают все, вот даже DDoS-ом угрожают." А понимание составляющих репутации и умение эту репутацию измерить может сделать из вашей качественной конкурентной разведки – превосходную.
Еще пару слов про моделирование угроз. Из моего опыта: каждая компания считает себя уникальной. Из моего же опыта: это почти всегда заблуждение. Причина не важна, хотя я считаю, что это от недостатка общения между конкурентами. Все компании приблизительно одинаковые, делают свое дело по-старинке, дельта инноваций обычно мала и ею можно пренебречь. Поэтому и модель угроз у всех на рынке очень похожа. Согласитесь, информационные риски двух телекомов и двух банков намного более схожи, чем риски банка и телекома. Поэтому, нужно построить модель угроз типичного игрока в вашем секторе экономики и по результатам конкурентной разведки продемонстрировать на ней, кто как с рисками справляется, где вы впереди, а где не дотягиваете. Результат можно представить руководству под титулом "пейзаж" или "водопад" рисков и обязательно лично, сжато и в графическом виде. Можете еще пофантазировать о форме представления, главное, чтобы после вашей короткой презентации угрозы были понятны менеджеру, выглядели значимо в контексте вашей компании и были аргументированы проделанной работой – с яркими примерами.
Подводим итог: учимся общаться с менеджерами в три простых шага:
- Понимаем ожидания бизнеса от ИБ.
- Исследуем свою отрасль и ее представителей на предмет используемых средств ИБ.
- Строим модель угроз типичного игрока на рынке и измеряем свое отклонение от этой модели.
- С результатами идем к менеджеру и наглядно демонстрируем свои недостатки, преимущества, потребности. А главное, те участки, где мы неоправданно "перебдели" и можем ослабить хватку и немного сэкономить.
Вот как-то так. Надеюсь, кому-то это поможет. Keep calm and оставайтесь в безопасности.
