Почему изменения ИБ, особенно крупные, часто тяжело идут внутри компаний? Почему нам так сложно перестраивать процессы, чтобы внедрить в них кибербез? Почему так непросто заставить (слово дурацкое) людей пользоваться многофакторной аутентификацией, ИТ-службу внедрить MFA-решение для доступа к ключевым системам, а финдира заставить за все это заплатить? В чем причина столь частых неудач?
Если коротко, то ответ простой — «кибербез — это не техническая задача и учитывать надо много иных факторов из организационного дизайна, психологии, финансов и т.п.».
Если вдуматься в то, что делает ИБ на любом предприятии, то она продает себя. Даже внутри организации мы ее «продаем», чтобы нам выделили на кибербез ресурсы, чтобы наши советы и рекомендации слушали работники, чтобы сотрудники службы ИБ и ИТ делали все правильно. А умение продавать — это не в конверте принести откат или пообещать вернуть часть денег за счет увеличенной скидки (это все тьфу, нельзя, и вообще незаконно).
Я в свое время руководил отделом продаж в «Информзащите», кстати. Продавал решения по Интернет-безопасности в конце 90-х…
Продажи они же про другое. Есть три уровня продаж:
- Продажа «клиенту» (даже внутреннему).
- Продажа своей команде.
- Продажа самому себе.
И эти уровни применимы в том числе и в кибербезе, которым мы все занимаемся. Проще всего «продать» ИБ внутри руководству. Его можно запугать оборотными штрафами, требованиями регуляторики, кейсами у соседей, новостями о многодневных простоях и т.п. То есть мы идем и по классике описываем преимущества ИБ, разные альтернативы, отсекаем возражения и вуаля, нам дали денег на ИБ. Дальше сложнее.
Помимо страшилок можно «продавать» и бизнес-выгоды — рост лояльности клиентов, снижение их текучести, снижение цикла сделок, географическую экспансию, снижение расходов и т.п.
Мы пытаемся это продать сотрудникам, служащим и работникам. Но уже не так как боссам. Перед последними мы распинаемся, чтобы нам выделили ресурсы, а работников уже игнорируем, ставя перед фактом, спуская на них «так написано в регламенте», игнорируя их возражения, заставляя их делать то, что нужно вам, но не то, что нужно им. В итоге, вас посылают нахер, и ИБ-проект, если это не просто поставить два десятка PT NGFW на периметре, рассыпается как карточный домик, не получив поддержки снизу. Дальше еще хуже.
Мы должны «продать» нашей ИБ- или ИТ-команде, которой это все реализовывать (если вы не начальник, то этот пункт можете пропустить). Часто ли вы это делаете? Или вы думаете, что это и так понятно, что это их работа и т.п.? В итоге мы забываем расписать все преимущества и отработать возражения для «своих» и они, получив взамен понятной ценности работу в выходные, отказ от выплаты сверхурочных и головняк с неработающими решениями, говёной техподдержкой вендора (а он уже все продал — ему пох), спасибо вам не скажут, будут работать спустя рукава, спуская все полученные от продажи боссам преимущества в унитаз. У них и так дохрена дел; зачем им yet another project? Особенно если вы не объяснили им его нужность для компании и для них самих.
Хотя бы презентацию, прочитанную свои боссам, вы им показали?
Наконец, финальный уровень, продажа самому себе. Это, скажу я вам, вершина пирамиды в умении протолкнуть что-то кому-то. Вам спустили очередную инициативу государства, но вы либерал и тайны оппозиционер, и не верите в светлое будущее, желая хотя бы хорошего настоящего? Регулятор требует от вас реализации нового указания, стандарта или приказа, а вы видите, что это чушь полная и регулятор вообще не вдупляет, что он регулирует и что то, что он от вас требует, нереализуемо? Вы вообще попали в ИБ по ошибке и всю жизнь хотели разводить пчел на собственной пасеке? А может вы попали в ИБ, потому что там отсрочка, ИТ-ипотека, девчонки таких любят, и вообще, это модно и смузяшно? Сфигали вам тогда «гореть» этим проектом? А тогда почему он должен «стрельнуть», если вы сами в него не верите?
Поэтому, чтобы с ИБ в компании было хорошо, надо уметь не только разбираться в технических вопросах и знать нормативку. Надо уметь продавать! Пока вы не продали себе, ни один проект по ИБ не взлетит, а если и продастся, то долго не проживет. Потом вы должны продать это своей команде, чтобы у нее горели глаза и она хотела быть причастной к чему-то великому. А потом уже вы должны все это продать топам, чтобы они выделили на это ресурсы. Но это, при выполнении первых двух условий, уже гораздо легче, так как они видят, что у вас горят глаза, вы верите в успех, а это очень сильно заряжает всех вокруг.
Потом уже вам надо это будет продать интегратору, чтобы он сделал то, что нужно вам, а не то, что хочет и умеет он. Но это уже отдельная история.
