Сертификация систем менеджмента ISO 9001, ISO 14001, ISO 45001, ISO 27001
Качество – правило. Цена – исключение!
Главная \ Новости и статьи \ Руководство с Марса, Специалисты по ИБ - с Венеры.

Новости и статьи

« Назад

Руководство с Марса, Специалисты по ИБ - с Венеры. 28.06.2021 12:01

Очень распространенной проблемой является то, что многие специалисты по ИБ не могут говорить с руководством на понятном ему языке. Они, как правило, концентрируются на технических деталях, которые обычный человек понять не может. Для руководителя будет пустым звуком фраза, что «существуют уязвимости «нулевого дня», которые могут позволить злоумышленнику получить административный доступ к серверу базы данных». Зато, если сказать ему, что «имеющиеся недостатки обеспечения безопасности этой системы могут позволить злоумышленнику без труда скопировать данные банковских карт всех наших клиентов, а потом снять с них деньги», эффект будет гораздо выше. Руководству безразлично, используют ли спам-фильтры компании Байесовскую фильтрацию или «черные» списки, однако для них важно, сколько времени тратят сотрудники компании на удаление приходящего им спама.

Такая неспособность понять друг друга может привести к разочарованию для обеих сторон. В лучшем случае, бизнес будет воспринимать ИБ как нечто, что необходимо сделать для соблюдения обязательных требований к компании, а в худшем – ИБ будет полностью игнорироваться.

Так как же нам решить эти проблемы межпланетных коммуникаций и добиться лучшего понимания между сторонами? К счастью, это вполне решаемая задача, и несколько несложных шагов могут помочь вам достичь более эффективных взаимоотношений с руководством:
 

  • Поймите, что руководителей компании тоже беспокоят вопросы ИБ, но они просто не могут позволить себе тратить на это столько же времени, сколько тратит специалист по ИБ. У руководителей есть много других обязанностей и запросов. Вы должны понять, что они могут быть не в состоянии уделить вам столько внимания и времени, сколько вам хотелось бы. Учитывайте это ограничение и старайтесь доносить свои мысли до руководства максимально коротко и максимально понятно, четко обозначайте, в чем заключается проблема и что вы предлагаете.
  • Разберитесь, наконец, чем занимается ваша компания. Вам нужно хорошо понимать потребности бизнеса вашей компании, тогда вы сможете выстроить программу обеспечения ИБ в соответствии с реальными нуждами компании. Ознакомьтесь с годовым отчетом компании - это даст вам немало полезной информации о самой компании и тех областях, на которых она зарабатывает деньги (для банков, помимо внутренней отчетности). Изучите бизнес-план компании на ближайшие годы, чтобы понять, как это может отразиться на ИБ. Например, компания может планировать выпустить на рынок новый продукт, открыть офис в другой стране, передать отдельные функции на аутсорсинг, организовать удаленный доступ к внутренним ресурсам и т.п. Любая из таких бизнес-инициатив будет иметь большое влияние на вашу стратегию ИБ. 
  • Регулярно встречайтесь с руководством и сотрудниками бизнес-подразделений, чтобы лучше понять их требования и стоящие перед ними бизнес-задачи. Такие встречи могут проходить не только в формальной обстановке, иногда можно встретиться в перерывах на обед или за чашкой кофе. Вы будете в большей степени доступны для них и они будут готовы обсуждать с вами вопросы, имеющие отношение к ИБ. Кроме того, вы на самых ранних стадиях будете узнавать о новых бизнес-инициативах, которые могут потребовать участия специалиста по ИБ.
  • Помните, что технические вопросы, вызывающие у вас интерес, могут не вызвать такого же интереса у ваших бизнес-коллег. Использование технического жаргона, модных словечек и страшных сокращений быстро приведет к потере интереса у ваших собеседников, в результате чего они не услышат важную информацию, которую вы хотели им сообщить.
  • Руководство понимает и говорит о проблемах, связанных с бизнесом, с позиции управления рисками. Вам нужно научиться понимать и объективно оценивать риски, уметь с их помощью донести до руководства информацию об имеющихся проблемах. Руководство оценит это по достоинству и лучше поймет "масштабы бедствия". Однако учитывайте, что даже если руководитель хорошо поймет суть проблемы и вашего предложения, он может не согласиться на него. Зато он будет адекватно понимать ту ответственность, которую он берет на себя, и сможет лучше объяснить вам причины своего решения.
  • Лучше избегать использования фактора страха, чтобы заставить бизнес принять предлагаемое вами решение. Во-первых, это может подействовать на руководителя совсем не так, как вы хотите. А, во-вторых, даже если вам удастся достичь своей цели, вряд ли вы при этом получите надлежащую поддержку руководства. Если вы не видите других способов объяснить важность своего решения, еще раз подумайте, а действительно ли это правильное решение? Не решаете ли вы этим свою проблему, вместо проблемы компании? Кроме того, предостерегая бизнес от того, что никогда не произойдет, вы рискуете превратиться в того мальчика из мультфильма, который кричал: "волки!".
  • Периодически напоминайте о себе и не допускайте, чтобы вас начинали слушать, только в случае возникновения проблем и нарушения безопасности. Иначе бизнес приравняет ИБ к плохим новостям. Избавьтесь от этого образа, регулярно готовя для руководства отчеты и статистические данные о положительном влиянии, которое приносят ваши инициативы (разумеется, в понятных и значимых для бизнеса терминах). Существует масса показателей, которые можно использовать для этого. Постарайтесь продемонстрировать, как ваши инициативы сказались на снижении расходов компании, повышении производительности и иных аналогичных вещах, важных для бизнеса. Это будет способствовать формированию у бизнеса более позитивного отношения к ИБ и вам лично.

 

Автор: Dorlov.


Контакты
г. Нур-Султан
Написать нам
новости Казахстан