Как начать разговор о безопасности с руководством
Если вы специалист по безопасности, вас, скорее всего, больше волнует операционная сторона вопроса. Высшее руководство, напротив, более склонно рассматривать вложение средств в решения безопасности как любую другую инвестицию. Решение о таком вложении будет принято, если преимущества перевешивают риски отказа от инвестирования. Высшее руководство также будет взвешивать долгосрочные последствия для деятельности компании и примет окончательное решение прежде всего на основании фактических данных.
Если компания потерпела крупную кибератаку, руководство, вероятнее всего, осознает финансовые потери, наступающие в результате таких неприятных инцидентов. Однако, если вам повезет и вы не ощутите на себе пристальное внимание общественности после взлома системы безопасности, нужно объяснить руководству преимущества вложений в решения безопасности, прежде чем случится худшее.
Ниже приведены советы, полученные нами от начальников отделов информационной безопасности, о том, какие аргументы они представляют своим руководителям в пользу выделения средств на решения безопасности.
Скажите руководителям о необходимости соблюдения регуляторных требований
Например, защита персональных данных является сейчас весьма животрепещущей темой для обсуждения, которая может быть актуальна и для вашего высшего руководства. Используйте это в свою пользу. Высшее руководство, наверное, уже знает о возможных штрафах, так что вы можете сразу указать на важность этой темы для вашей организации и ваших данных. Вокруг GDPR возникло немало путаницы, поэтому объясните руководителям последствия принятия этого акта для компании, а также какие инвестиции необходимы для повышения конфиденциальности и безопасности данных.
Расскажите о конкретных факторах риска для вашей компании
Объясните руководителям, какие угрозы безопасности существуют для вашей организации. Не тратьте слишком много времени на представление общих тенденций и статистических данных. Вместо этого помогите руководству увидеть связь между тенденциями в области нарушения безопасности и проблемами, характерными для вашей компании и отрасли. Чем больше вы будете приводить конкретных примеров, тем более убедительными будут ваши доводы для руководства.
В частности, можно упомянуть крупнейший источник дохода вашей компании и привести примеры того, какие угрозы безопасности могут возникнуть, например в связи с атакой вируса-вымогателя. Если ваша компания хранит такие конфиденциальные данные, как финансовая документация, можно привести примеры правовых последствий и штрафов, которые может понести организация в случае публичного разглашения таких данных.
Расскажите, что происходит при взломе системы, как легко можно поставить безопасность под угрозу. Приведите реальные примеры знакомых вам ситуаций, а также рисков и долгосрочных последствий, которые могут возникнуть вследствие этих проблем.
Нужно больше цифр
Руководители любят все измерять и считать. Поэтому важно привести в соответствие преимущества вложения средств в решения безопасности с целями и планированием работы вашей компании. Укажите руководству на цели компании и преимущества решений безопасности и расскажите, как с помощью этих решений компания может достичь своих целей.
Раскройте также и обратную сторону: как из-за нарушения безопасности может возникнуть угроза для планов компании. Например, если вы собираетесь запустить новый продукт, какой ущерб для вашей компании может возникнуть в связи с обнародованием или уничтожением интеллектуальной собственности?
На самом деле, этот вопрос не должен быть абстрактным. Если вы можете рассчитать, во сколько существующие проблемы безопасности уже обходятся вашей компании, это станет еще более убедительным аргументом.
Повторяйте, повторяйте, повторяйте
Маловероятно, что вы получите все ответы после одной беседы. Общайтесь с руководством эффективнее и чаще. Организуйте регулярные встречи и представляйте отчеты о соответствующих показателях. Не бойтесь повторяться и испытайте несколько разных подходов, пока не сможете убедить руководство выделить средства на решения безопасности и оказать вам необходимую поддержку в их внедрении.