среда, 29 апреля 2015 г.

Работа с возражениями в ИБ

    Одной из самых больших "болей" специалистов в ИБ является отсутствие поддержки со стороны бизнеса, каковое может быть обусловлено двумя причинами:


  1. Текущий уровень ИБ достаточен для корпорации.
  2. Обсуждение уровня ИБ (коммуникация) было неэффективно.
    Обсуждая ИБ-проекты и разрабатывая бизнес-кейсы я идентифицировал ряд типовых возражений руководителей. Возражения логически структурируются в 3 сегмента: 
  1. Возражения против инициации проекта - сопротивление идее повышать уровень ИБ.
  2. Возражения против бюджета проекта - сопротивление количеству усилий.
  3. Возражения против эффективности проекта - сопротивление эффективности усилий.
    Возражения против инициации проекта могут быть следующими:
  • Приведенные в медиа примеры являются просто шумом и запугиванием. Если бы дела обстояли так, то JPMorgan и Target не раскрывали бы для публики информацию о инцидентах, приведших к десяткам миллионов долларов потерь для их бизнесов.
  • Были инциденты и мы не умерли. Ранее у нас было меньше автоматизации и мы меньше зависели от ИТ. С другой стороны и состав атакующих меняется - хулиганов сменяют профессионалы и прошлых инвестиций в безопасность уже недостаточно что бы сдерживать атакующих.
  • Да кому мы нужны? Никому не нужны только те бизнесы,  у которых нет персонала, клиентов, коммерческой тайны и денежных средств.
   Возражения против бюджета проекта могут быть следующими:
  • У нас нет статистики инцидентов, что бы оправдать столь крупный проект. Статистика ведь не гарантирует повторного наступления статистических случаев, поэтому ущерб определен владельцами активов.
  • Как можно брать оценку возможного ущерба у бизнес-подразделений, которые и нужно будет защищать? Это же конфликт интересов! Ежегодно бизнес-подразделения формируют бизнес-планы включая оценку рынков сбыта и перспектив инвестпроектов.  Если менеджмент доверяет им формировать касающиеся их бюджеты и планы на миллиарды рублей, то почему бы не учесть их мнение в решении о относительно небольшом ИБ-проекте?
  • Мы не можем себе позволить такой проект, так как у нас есть более существенные риски в других областях. Уменьшение бюджета не позволит достичь "критической массы" функциональности, необходимой для целевого снижения описанных рисков, ранее согласованных бизнес-подразделениями. В итоге эффективность ведения бизнеса снизится.
   Возражения против бюджета проекта могут быть следующими:
  • Если нас захотят взломать то взломают. Конечно, но нам хотя бы не отставать от конкурентов. Как-то раз убегали 2 охотника от медведя, и вдруг первый обогнал второго.  Второй спросил "Думаешь, таким образом у тебя получится бежать быстрее медведя?", первый ответил "Достаточно бежать быстрее тебя!".
  • Вы все равно не сможете снизить риск до 0. Конечно, но мы сведем его к приемлемой величине, и владельцы активов смогут спать спокойно.
    Никакие возражения не помогут, если в корпорации нет практики вдумчивого обсуждения проекта бюджета, и решения принимаются волюнтаристски. Для тех же у кого есть - надеюсь, приведенные возражения окажутся полезными.

Комментариев нет:

Отправить комментарий