Как наладить коммуникации между безопасностью и бизнесом

Успешная работа любой компании невозможна без эффективного взаимодействия управленческого аппарата и профессионалов, отвечающих за отдельные участки бизнеса. Такое взаимодействие требует коммуникаций — а они могут быть затруднены из-за того, что управленцы и специалисты работают в разных «информационных пузырях» и разговаривают на разных языках. Бизнес думает о прибыли, издержках и развитии, а профессионалы — о своих узких технических задачах. Встречается такое и во взаимодействии управленцев со службой ИБ.

Недавнее исследование, проведенное нашими коллегами, показало, что, хотя взаимопонимание бизнеса и специалистов ИБ растет, проблемы все еще присутствуют. Так, 98% опрошенных представителей бизнеса рассказали, что хотя бы раз оказывались в ситуации недопонимания со службой ИБ. В качестве прямых последствий такого недопонимания 62% признали, что оно привело как минимум к одному инциденту с безопасностью, а 61% рассказали о негативных последствиях для бизнеса, включая убытки, потерю ключевых сотрудников или ухудшение взаимодействия между отделами. При этом сами безопасники не всегда замечают эту проблему: 42% бизнес-лидеров хотели бы большей ясности в речах специалистов по безопасности, но 76% последних уверены, что их все прекрасно понимают.

Зачастую проблемы возникают на уровне языка — бизнес в принципе не понимает технических терминов, которыми его пытается завалить служба ИБ. Но терминология — не единственная и даже не главная проблема взаимоотношений бизнеса и информационной безопасности. Давайте попробуем разобраться в других проблемах — не без помощи Патрика Миллера, управляющего партнера Archer International, и его выступления на Kaspersky Industrial Cybersecurity Conference 2019.

Разные представления о рисках

У большинства специалистов по информационной безопасности очень низкий порог терпимости к рискам. Но у бизнеса все наоборот — без риска нет прибыли, поэтому управленцы зачастую готовы рисковать куда больше. Для директора главное — найти идеальное соотношение потенциальных потерь и прибылей. Настоящая задача отдела безопасности, как бы странно это ни звучало, заключается не в устранении всех угроз, а в помощи бизнесу заработать как можно больше.

С точки зрения бизнеса риски можно принять, снизить или сделать чужой проблемой (например, страховщиков). Любой управленец постарается принять как можно больше рисков ради увеличения прибыли, причем информационная безопасность — это очень маленькая их часть, о которой он, скорее всего, даже не хочет задумываться.

Как следствие, специалист ИБ должен думать не о том, как «закрыть все дыры», а о том, как выявить и нейтрализовать угрозы, которые действительно могут нанести существенный урон бизнесу. И как, соответственно, объяснить управленцам, почему что-то все-таки надо закрыть, потратив на это деньги.

FUD не работает

Запугивать управленцев бесполезно, тактика убеждения при помощи «страха, неуверенности и сомнений» (FUD) не сработает. Потому что бизнес платит безопасникам не за то, чтобы служба ИБ его пугала. Специалисты должны решать проблемы, по возможности так, чтобы никто их вообще не замечал.

Еще одна проблема концепции FUD состоит в том, что управленцы и так все время находятся в довольно стрессовом состоянии — просто потому, что любая ошибка для них станет последней, вокруг множество людей, мечтающих занять их место, они особо никому не доверяют и так далее. Им просто не нужны дополнительные факторы страха.

Наконец, ни один директор не любит показывать, что он что-то не знает. Поэтому попытки закидать руководство умными терминами заведомо обречены на провал.

Думать как бизнес

Главная задача бизнеса, которую он умеет решать, — зарабатывать деньги. Все управленцы на все смотрят с этой точки зрения. Поэтому если к ним приходит специалист ИБ и рассказывает, что «появилась такая-то угроза, для ее нейтрализации нам нужно инвестировать X денег», то они слышат: «если мы примем этот риск и не будем ничего делать, то мы заработаем X денег». Это может выглядеть абсурдно, но это именно то, как думает бизнес, и это наиболее разумный вывод при имеющихся вводных.

Управленцу необходимо, чтобы результат любого его действия или бездействия можно было привести к положительному числу, даже если это положительное число — разность двух отрицательных. Значит, ситуацию надо представить в понятном директорам виде: «есть угроза, она может принести нам ущерб в Y с вероятностью Z%, для ее нейтрализации надо потратить X». Это уже очевидное для бизнеса уравнение.

Разумеется, предсказать реальный размер потенциального ущерба в денежном эквиваленте не всегда реально, поэтому можно оперировать известными величинами, например временем простоя, в течение которого будут устраняться последствия инцидента, количеством и типом данных, которые могут быть потеряны или скомпрометированы, репутационными потерями и так далее. Эту информацию бизнес сможет конвертировать в понятные ему денежные единицы — в том числе и с помощью соответствующих специалистов. Но лучше, если ИБ умеет это делать сама — это здорово экономит время.

Ну и, разумеется, надо быть готовым к тому, что уравнение сойдется не в пользу ИБ. Это далеко не всегда проблема коммуникаций, технических терминов и «они нас не слышат» — часто прекрасно слышат, просто рискнуть выгоднее. Ну или ИБ не смогла достаточно убедительно аргументировать свою позицию, потому что не научилась думать как бизнес.

Главное — хорошо представлять себе, какое именно место занимает служба ИБ в компании и какую прибыль создает. Это позволит качественнее оценивать и классифицировать потенциальные угрозы, не тратить свои и чужие время и нервы на заведомо бесперспективные начинания и в целом работать эффективнее.

Фактор времени и сроки

Для безопасности фактор времени важен, от некоторых угроз надо защищаться немедленно. Но для бизнеса время тоже имеет значение, потому что для него время = деньги. Можно потратить упомянутый выше X сегодня, но если сделать это через месяц, то в умелых руках X превратится в X*n, и X*(n-1) останется на счетах.

Даже если управленцы хорошо поняли проблему и знают, что ее необходимо решить, спешить тратить деньги они не будут, если не поставить им четкого, разумного и аргументированного срока. И добавить, что после истечения этого срока конкретный риск по умолчанию становится их ответственностью, поскольку потом ИБ сможет только ликвидировать последствия.

Этот срок действительно должен быть максимально реалистичным. Если каждый раз требовать решения «вчера», то ИБ перестанут слушать, как того мальчика, что кричал «волки». Если каждый раз говорить «ну можно в течение года», то такого сотрудника просто уволят после очередного инцидента (или просто за ненадобностью). Важно уметь оценить и обозначить срок точно так же, как и потенциальные риски.

Стоит добавить, что мало какая компания просто держит деньги на счетах и ждет, пока к ней придет директор по ИБ и расскажет, куда бы их поскорее потратить. Средства на решение проблемы придется откуда-то забрать или где-то одолжить, а это может занять время. И, кстати, чтобы оценить это время, тоже важно знать, как работает и финансируется бизнес.

Быть маркетологом

Для эффективного общения представители ИБ должны быть немного маркетологами — уметь продавать свои решения бизнесу.

• Предлагать решение, а не проблему. Очевидно, что проблему продать нельзя.
• По возможности опираться на реальные, легко проверяемые прецеденты. Бизнес их очень любит — они снижают неопределенность.
• Вместо технических терминов использовать красивые продающие словосочетания и слайды с цветными диаграммами.
• Предлагать несколько вариантов решения, начиная с заведомо непроходных.
• Умещать все предложение на одной странице — больше никто все равно читать не будет.
• Использовать синонимы выражения «информационная безопасность»: снижение рисков, обеспечение надежности, непрерывности рабочих процессов, операционной эффективности; сокращение простоев, предотвращение ущерба и так далее.
• Сдерживать эмоции, поддерживая деловой профессиональный стиль общения.

Что делать?

Ключ к успешным коммуникациям с бизнесом — софт-скиллы. Надо уметь выйти из своего профессионального пузыря и научиться разговаривать с управленцами на понятном им языке понятными им категориями. Все-таки они при всем желании не могут глубоко погрузиться в технические детали всех подразделений компании. Для службы ИБ важно осознавать себя частью бизнеса, знать, как он работает, и помогать ему получать максимальную прибыль с минимальными издержками.