Внутренние продажи ИБ - драйверы, клиенты, инструменты и проблемы

    Ваш покорный слуга пришел к управлению ИБ-продуктами консалтинговой компании через внутренние продажи ИБ. Опытом которых я и решил сегодня поделиться.

Драйверы внутренних продаж

    В моей практике встречалось 7 драйверов внутренних продаж ИБ:

1. Compliance\аудит - самый удобный драйвер, помогаем бизнесу реализовывать внешние или внутренние требования. Если бизнес пришел с проблемой поздно, не забюджетировал нужные ресурсы, и вообще вел себя не очень серьезно, а мы вместо выставления претензий впрягаемся в работу и таки проходим, например, чертов внешний аудит дотошных британцев - можно получить благодарность и бонус. Мы же бизнесу помогали, а не с APT боролись или еще какой непонятной для бизнеса фигней страдали.
2. M&A - сильный драйвер, ведь во время M&A у бизнеса появляется повышенная тревожность. Как бы кто чего и где-то не получил доступ к нашим данным, как бы не интегрировать новый актив как-то не так и т.п.
3. Изменения (в т.ч. ИТ-проекты) - сильный драйвер, всем понятно что изменения несут риски, и спрятать затраты на ИБ в большом проекте не составляет труда. 
4. Мошенничество\бенчмаркинг - сильный драйвер, ведь никто не любит когда у него воруют или когда он хуже других (конкретнее - когда нельзя будет сказать "так все делали поэтому и мы тут облажались"). Соответственно - работает, например, когда уже уворовали:) Не работает для нерыночных компаний, которым проще переложить потери на клиентов (а тем особо некуда деваться), и которым плевать на свою конкурентоспособность и качество управления.
5. Инцидент ИБ\Угрозы\Непрерывность бизнеса - средний драйвер, т.к. его действие очень сильно падает во времени. К тому же сразу встает вопрос "кто виноват" (кто платит), и тут вполне можно застрять между виновником (например, бизнесом), ИТ и службой безопасности. Что-то по итогам сделают, но не факт что-то в итоге дадут морковку или запустят сколь нибудь интересный в профессиональном плане проект.
6. Удовлетворенность пользователей - средний драйвер, с одной стороны для ИТ это безусловная ценность (а значит для ИБ разменная монета в торге), с другой - показатель виртуальный и с ним можно хорошо "химичить". 
7. Операционная эффективность службы ИБ\деньги - слабенький драйвер, у бизнеса всякие ROI, IRR, NPV обычно сильно лучше, а внутренние задачи по эффективности у ИБ появляются при очень серьезном масштабе службы ИБ. Вот у Роснефти, РЖД, Газпрома есть смысл такой драйвер пользовать, а в большинстве других случаев - нет. Нестандартные кейсы по мониторингу активности бизнеса (как у Дмитрия Мананникова с выявлением признаков текучести персонала) еще непонятно насколько ИБшные, эту поляну в любой момент могут занять директора ИТ.

Внутренние клиенты

    В моей практике встречалось 7 типов внутренних клиентов ИБ

1. CEO - спорный клиент, может интересоваться всеми драйверами, но своих денег у него частенько нет. Его деньги расписаны по бизнес-направлениям и бизнес-функциям, и тут вероятность проекта начинает зависеть уже и от них. С другой стороны - часто является потребителем "коммунальных" сервисов и проектов, что защищают общую инфраструктуру - например, сеть, бренд, казначейство.
2. Бизнес-направления - мои любимые клиенты, хотя и трудные. Интересуются всем но меньше удовлетворенностью пользователей (это задача ИТ) и операционной эффективностью (это задача финансов, аудита и т.п.). У каждого бизнес-направления специфичные интересы и задачи, денег там обычно хватает, но надо четко разобраться за что они готовы платить и на каком языке с ними нужно говорить. Где-то им актуальны лучшие практики (их достали аудиторы), где-то партнеры требуют compliance, где-то у них воруют, где-то они теряют деньги из-за ddos-атак.
3. CIO - средний клиент, у него на ИБ-деньги могут быть свои аппетиты. Интересуется изменениями, эффективностью и удовлетворенностью пользователей. Часто интересуется вяло, т.к. испытывает мощный прессинг от бизнеса по скорости развития ИТ-инфраструктуры и качества разработки и внедрения бизнес-приложений.
4. Юристы - мутный клиент, интересуются compliance - а точнее ограничением корпоративной ответственности. Часто "седьмая вода на киселе" то ли да, то ли нет, и вообще в суде это будут толковать не так как кажется.
5. HR - простой клиент, ему либо нужен compliance либо нет. Других тем я там не встречал, хотя и знаю что там частенько воруют, особенно на Западе в процессе payroll.
6. Внутренний аудит\контроль - средний клиент, интересуется compliance (в части GCC), иногда "мошенничеством" (SoD) и лучшими практиками (benchmarking). Своих денег у них нет, но могут помочь защитить наши.
7. СБ - средний клиент, интересуется драйвером "мошенничество", иногда непрерывностью бизнеса и  compliance. С бюджетами часто напряженка, но могут платить "бартером" - нужной информацией. Как и другие бизнес-функции в крупных корпорациях может кивать в сторону бизнес-направлений "это не проблема корпоративного уровня", занимаясь только общей "комунальной" инфраструктурой и спущенными свыше задачами.

Инструменты внутренней торговли

    Как и в любом реместе во внутренней торговле есть свои ноу-хау. Те которые пригодились мне я собрал здесь. Получилось их 5:

1. Ценообразование. Нормирование по штукам (заявкам, проектам, защищенным хостам, транзакциям или пользователям), по проценту от бюджета ИТ, как угодно - это должно быть понятно и применяться равномерно.
2. Продуктовая линейка. Формализация и типизация наших обещаний (де факто формирование продуктовой линейки) убивает 2-ух "зайцев". Во-первых нам проще будет закрыть проект или запросить допфинансирование, во-вторых мы сможем предложить услуги для бюджетов разного размера.
3. Долгосрочные отношения. Для внутренних продаж характерна относительно узкая клиентская база. С этими людьми так или иначе придется работать бок о бок годами. Не стоит пытаться выжать с них весь бюджет, даже если они в беде. Постоянные клиенты будут приходить еще и еще, закупая услуги "на всякий случай" просто потому что они видят нормальное отношение к делу и клиенту, и конечно - высокий профессионализм.
4. Профессиональное отношение к клиенту. Даже с самыми лучшими клиентами необходимо соблюдать единые правила. Если клиент не выполняет обещания, не передает нам бюджет, либо другим образом торпедирует активности - нужно на это реагировать. По отношению к другим клиентам будет несправедливо, например, если у нас одинаковый приоритет и уровень обслуживания получат и такие вот специфичные клиенты.
5. Лучшие люди. В конечном итоге "продаются" все равно люди, их компетенция. Приятно продавать людей которыми гордишься, поэтому нужно особое внимание уделять отбору и развитию "бойцов" команды ИБ. 

Проблемы внутренних проектов

    Во внутренних проектах есть свои специфические проблемы, которые во многом возможно решить если использовать 5 вышеприведенных инструментов:) Я насчитал 4 проблемы:

1. Шапкозакидательство. В отличие от внешних проектов внутренние проекты часто страдают отсутствием четких целей и задач, да даже банального ТЗ. Видел и сюрр - проекты влияющие на миллиардные финансовые активы без ТЗ и четких сроков:)
2. Нереальные сроки. Отсутствие тендера воспринимается некоторыми менеджерами как возможность несмотря на все существующие проекты и сервисы стартовать прямо сейчас и закончить завтра:)
3. Потребительский экстремизм. Отсутствие формального конца проекта позволяет внутреннему клиенту "переобуваться" постоянно. Непрерывное улучшение качества это хорошо, но непрерывный рост затрат - плохо:)
4. Двойные стандарты. Породив очередную политику ИБ без понимания во что встанет ее реализация по деньгам и срокам бизнесу ИБшники не задумываются, что остальные подразделения тоже знают этот трюк:) Закупки, финансисты, бизнес-подразделения могут вставлять палки в колеса до посинения службы ИБ, благо - штата у них обычно больше:)

    Конечно, упомянутые драйверы, клиенты, инструменты и проблемы во многом присущи нефтегазовому сектору, в трех крупнейших корпорациях которого я имел честь работать. На отраслевые драйверы пока не замахиваюсь, хотя там и есть своя специфика. Например, мой проектный опыт свидетельствует, что телеком очень уважает непрерывность бизнеса (они из-за каждой секунды простоя теряют деньги), инвестбанки и family office постоянно погружены в M&A, в капстрое адски воруют, а B2C-отрасли (ритейл с программами лояльности, платежные системы и розничные банки) находятся под пристальным присмотром регуляторов - у них банально ну очень много персональных данных.
    Поэтому буду рад дополнениям и конструктивным комментариям:)