Представим себе классическую ситуацию. Есть производитель систем защиты, который не является альтруистом и который свои решения продает, зарабатывая этим себе на хлеб с маслом. Непродаваемые продукты будут сниматься с производства, т.к. бизнес есть бизнес. И есть покупатель, у которого тоже основная задача — бизнес. Иными словами у покупателя и продавца схожие цели — заработать. Логично предположить, что обе стороны будут инвестировать только в те проекты, которые будут нести некую пользу с точки зрения бизнеса. И обычно для оценки позитивного результата применяются вполне конкретные финансовые методики — NPV, IRR, PbP, ROI, TCO и т.д.
Теперь начинается парадокс. Продавая систему защиту ее производитель отказывается от бизнес-языка (оценки позитивного влияния продаваемой системы защиты) и начинает оперировать техническими терминами — AES, ACL, PKI, IPS и другие трехбуквенные аббревиатуры. Покупатель в лице CISO тоже, в массе своей, ориентируется на технические характеристики.
А все почему? Потому что, есть существенный разрыв между основными подразделениями
и безопасностью. Они изначально говорят на разных языках и не пытаются придти к взаимопонимаю. Каждый валит всю вину на другую сторону ;-(
Никакого пардокса. Это CISO и должен переводить абстрактно-техническое на свое бизнес-специфичное. Иначе непонятно, что он вообще делает, потому что если он не понимает и того и другого, то ему просто запудрят мозги глянцевыми проспектами.
Я бы даже сказал, так многие вендоры и интеграторы и поступают.
Жизнь есть жизнь
Взялся за гуж — полезай в кузов. В том и назначение любого «технического» C-level executive (CTO, CIO, CSO) , что он должен предоставлять интерфейс своей «второй буквы» к бизнесу. Если он не делает этого, то его должность просто неправильно называется.
слушайте, други, а дайте может ссыль в инете, если есть, шоп почитать про набор умных слов. я конечно очень пессимистически смотрю на их эффективность, но вдруг и правда поможет настроить нужных людей на нужную волну. в крайнем случае сам образуюсь финаносово
arkanoid’у: А у нас и нет CSO, CISO и т.д. Есть директора по ИТ-безопасности, руководитель служб или отделов, но не Chief. Так что они «чисты» 😉
Ильмар, тебе какие умные слова нужны? Про финансы, эффективность, метрики, governance?…
ну мне надо въехать в тему, потому что технологии для использования просты, порой маркетинговых материалов уже хватает за глаза, чтобы понять чё и как там сделано. а вот как людям объяснять, что эта вся херня не просто так денег стоит…
Вчера Курбатов посоветовал получать управленческое образование, но я типа думал может начать с чего попроще, чтоб разобраться
Володя прав… Только получать его можно по-разному. Можно пойти на MBA, а можно самому, что почитать 😉
Например, Val IT от ISACA