22 марта 2023 г.
В корпорации коммуникации между департаментами часто бывают затруднены. Хотя глобальные цели компании едины, внутри отделы могут по-разному видеть пути её достижения. Яркий пример — управленцы и специалисты из службы информационной безопасности. «Птичий язык» и «что-то на айтишном» — так можно охарактеризовать восприятие типичной ИТ-речи ушами управленца. И это не выдумки: согласно недавнему исследованию «Лаборатории Касперского», 42% бизнес-лидеров действительно хотели бы большей ясности в речах специалистов по безопасности. При этом 76% безопасников считают, что их прекрасно понимают.
Наше новое исследование вскрыло много болевых точек, показав проблемы в коммуникации между ИБ-департаментом и управленцами. Так, 98% опрошенных представителей бизнеса хотя бы раз оказывались в ситуации недопонимания со службой ИБ. В результате 62% признали, что это привело минимум к одному инциденту безопасности, а 61% рассказали о негативных последствиях для бизнеса, включая убытки, потерю ключевых сотрудников или ухудшение взаимодействия между отделами.
Для управленцев и ответственных за информационную безопасность чрезвычайно важно понимать друг друга и говорить на одном языке, особенно в текущей ситуации, когда киберинциденты могут не только отразиться на работе бизнеса и репутации компании, но и поставить под угрозу ее существование. Сейчас во многих бизнесах на уровне совета директоров уже сформированы комитеты по рискам, призванные заниматься вопросами информационной безопасности. Получается, найти общий язык возможно. Так с чего же специалистам по безопасности начать диалог с топ-менеджментом?
Не запугивать
Часто работники ИБ-департамента пугают управленцев: опираясь на сложную терминологию, они сгущают краски. В ход идут истории про хакерские группировки, новое вредоносное ПО и инновационные методы социальной инженерии. Однако менеджеры считают, что именно для того в компании есть специалисты по ИБ, чтобы этих угроз избежать, а безопасность — статья расхода, а не дохода. Поэтому во время вашей презентации управленец будет думать: «Я уже потратил деньги, почему это все ещё не работает?» В лучшем случае специалистов по кибербезопасности не поймут, в худшем — сократят инвестиции.
Перевести ИБ-риски на язык бизнеса
С точки зрения предпринимателей, риск — это возможность. При этом для обеспечения устойчивого развития бизнеса необходимо соблюдать баланс рисков и возможностей таким образом, чтобы обеспечить долгосрочный рост прибыли и развитие компании. В то время как безопасники стремятся минимизировать вероятность угрозы, у бизнеса риск — в ДНК: высокие ставки ведут к высокой прибыли. Топ-менеджер ищет идеальное соотношение потенциальных потерь и возможностей, и информационная безопасность — их малая часть, теряющаяся в шквале рисков, с которыми бизнес сталкивается ежедневно. Что действительно беспокоит топ-менеджера, так это срабатывание риска и переход в кризисную ситуацию, ведущую к ухудшению репутации бизнеса перед лицом клиентов, инвесторов, кредиторов, партнёров и сотрудников; сокращение прибыли в результате простоев, поломок оборудования и человеческих ошибок с одной стороны, сильные конкуренты с уникальными товарными предложениями и упущенные возможности — с другой.
Руководителю по информационной безопасности важно показать, что он помогает бизнесу заработать. Мысль, которую стоит донести: не все риски оправданны и многие могут действительно привести к существенному урону. Это можно проиллюстрировать на кейсе конкурентов: какие риски игнорировала компания? Что произошло? Каковы были потери? Что удалось предотвратить? Какие решения сработали? Какие выводы важно сделать? В завершение важно предложить несколько вариантов решения проблемы.
Во время презентации идей необходим ребрендинг «айтишного» языка. Основные акценты стоит расставить не на безопасности, уязвимостях и рисках, таящихся в коде, а на росте и устойчивом развитии бизнеса, пробелах, которые необходимо восполнить. Прекрасно подойдёт бизнес-терминология: «снижение рисков», «предотвращение потерь», «повышение уровня доверия пользователей и операционной эффективности», «сокращение времени простоя или улучшения способности восстанавливать систему», «устранение риска человеческой ошибки».
Как проблема кибербезопасности встраивается в общую картину рисков? В какие суммы обойдется простой или потеря доверия потребителей? Умение оперировать такими данными — ключ к инвестициям в ИБ.
Думать как бизнес-руководитель
Задача управленца — привести результат любого действия (или бездействия) к положительному числу, даже если оно — разность двух отрицательных. Когда специалист по ИБ рассказывает менеджеру об угрозе, нейтрализация которой требует значительных вложений, тот может подумать: «Приняв этот риск, я сэкономлю, следовательно заработаю». Поэтому лучше представить ситуацию в понятном директорам виде: «есть угроза, она может принести нам ущерб в Y с вероятностью Z%, для её нейтрализации надо потратить X». С приходом пандемии всё чаще при оценке рисков стали использовать дополнительный параметр — продолжительность действия риска.
Во многих компаниях существуют комитеты по рискам, разработаны «тепловые карты» оценки рисков. ИБ необходимо убедиться, что риски, связанные с информационной безопасностью корректно отражены в общей карте рисков.
Конечно, оценить реальный размер возможного ущерба в денежном эквиваленте сложно. Можно использовать такую информацию как время простоя по причине инцидента, объём и типы данных, которые рискуют быть потерянными или скомпрометированными, репутационные риски. Такую информацию топ-менеджмент сможет перевести в понятные ему денежные единицы.
Понимать позиции ИБ в компании
Важно представлять, какое место занимает служба ИБ в компании и какую прибыль создаёт. Перед встречей с держателями бюджета специалистам важно знать ответы на вопросы: «Сколько лет компания существует на рынке? Какие позиции занимает? Сколько людей в штате? Сколько офисов? Как управляется? Какие продукты создаёт? Кто их покупает и для чего?» Всё это поможет точнее определить болевую точку, которая убедит бизнес в необходимости повышать уровень кибербезопасности.
Ставить обоснованные сроки
В ИБ-службе знают: от некоторых угроз надо защищаться немедленно. Для бизнеса время — это деньги. Но даже при наличии проблемы управленцы не всегда спешат тратить деньги на её устранение. Ускорить процесс может постановка сроков — конкретных и аргументированных. Важно предупредить, что по истечении определённого времени может произойти инцидент, который обойдётся бизнесу в круглую сумму, а всё, что сможет сделать ИБ-специалист, — это постепенно ликвидировать последствия.
Ключ к успешным коммуникациям ИБ и бизнеса состоит в умении выйти из профессионального информационного пузыря и встать на сторону собеседника. ИБ-директорам нужно понимать операционные процессы и помогать компании получать максимальную прибыль с минимальными издержками. Если у бизнеса будет действительно понятная информация и после её получения он примет решение подождать или ничего не делать, это уже будет его ответственность. Возможно, менеджер решил рискнуть. Но эксперты по информационной безопасности должны понимать, что сделали всё возможное, чтобы его предупредить.
Источник: Анна Кулашова, управляющий директор «Лаборатории Касперского» в России и СНГ
