Одной из самых больших "болей" специалистов в ИБ является отсутствие поддержки со стороны бизнеса, каковое может быть обусловлено двумя причинами:
- Текущий уровень ИБ достаточен для корпорации.
- Обсуждение уровня ИБ (коммуникация) было неэффективно.
Обсуждая ИБ-проекты и разрабатывая бизнес-кейсы я идентифицировал ряд типовых возражений руководителей. Возражения логически структурируются в 3 сегмента:
- Возражения против инициации проекта - сопротивление идее повышать уровень ИБ.
- Возражения против бюджета проекта - сопротивление количеству усилий.
- Возражения против эффективности проекта - сопротивление эффективности усилий.
Возражения против инициации проекта могут быть следующими:
- Приведенные в медиа примеры являются просто шумом и запугиванием. Если бы дела обстояли так, то JPMorgan и Target не раскрывали бы для публики информацию о инцидентах, приведших к десяткам миллионов долларов потерь для их бизнесов.
- Были инциденты и мы не умерли. Ранее у нас было меньше автоматизации и мы меньше зависели от ИТ. С другой стороны и состав атакующих меняется - хулиганов сменяют профессионалы и прошлых инвестиций в безопасность уже недостаточно что бы сдерживать атакующих.
- Да кому мы нужны? Никому не нужны только те бизнесы, у которых нет персонала, клиентов, коммерческой тайны и денежных средств.
Возражения против бюджета проекта могут быть следующими:
- У нас нет статистики инцидентов, что бы оправдать столь крупный проект. Статистика ведь не гарантирует повторного наступления статистических случаев, поэтому ущерб определен владельцами активов.
- Как можно брать оценку возможного ущерба у бизнес-подразделений, которые и нужно будет защищать? Это же конфликт интересов! Ежегодно бизнес-подразделения формируют бизнес-планы включая оценку рынков сбыта и перспектив инвестпроектов. Если менеджмент доверяет им формировать касающиеся их бюджеты и планы на миллиарды рублей, то почему бы не учесть их мнение в решении о относительно небольшом ИБ-проекте?
- Мы не можем себе позволить такой проект, так как у нас есть более существенные риски в других областях. Уменьшение бюджета не позволит достичь "критической массы" функциональности, необходимой для целевого снижения описанных рисков, ранее согласованных бизнес-подразделениями. В итоге эффективность ведения бизнеса снизится.
Возражения против бюджета проекта могут быть следующими:
- Если нас захотят взломать то взломают. Конечно, но нам хотя бы не отставать от конкурентов. Как-то раз убегали 2 охотника от медведя, и вдруг первый обогнал второго. Второй спросил "Думаешь, таким образом у тебя получится бежать быстрее медведя?", первый ответил "Достаточно бежать быстрее тебя!".
- Вы все равно не сможете снизить риск до 0. Конечно, но мы сведем его к приемлемой величине, и владельцы активов смогут спать спокойно.
Никакие возражения не помогут, если в корпорации нет практики вдумчивого обсуждения проекта бюджета, и решения принимаются волюнтаристски. Для тех же у кого есть - надеюсь, приведенные возражения окажутся полезными.
Комментариев нет:
Отправить комментарий