— Спасибо. Ой, Степан Петрович.
— Привет, Сергей! Что-то рано ты сегодня?!..
— Да вот, запускаем с утра программу повышения осведомленности сотрудников. Хотел все проверить еще раз.
— Это хорошо. Тебе ведь пятый? А скажи-ка мне.
— Да, Степан Петрович…
— Мы защищены?
— … (Вот ведь блин. Скажешь «да», сразу напомнит про историю с SOCом, который ничего не видит. Скажешь «нет», это скажется на мне и повлияет на бюджет управления. Что же делать, что делать? Ой, к моему этажу уже подходит..)
Описанный выше диалог отражает вполне реальную ситуацию, с которой может столкнуться любой руководитель ИБ, который регулярно пересекается с топ-менеджментом своей компании и слышит примерно одни и те же вопросы. И ответы на них надо дать короткие, но емкие. И желательно без жаргонизмов. По моему опыту могу сказать, что это проблема. Безопасник знает много и хочет свое знание выплеснуть все и сразу, не боясь в них утопить своих визави. А топов все эти детали не нужны — они оперируют другим языком. Да и тем, помимо ИБ, у них тоже немало. Поэтому в отличие от общения с коллегами-безопасниками, к разговору с руководством надо готовиться заранее.
Я бы выделил пять типичных вопросов, которые вам могут быть заданы генеральным директоров, правлением или иными большими начальниками:
- Мы защищены?
- Как мы узнаем, что нас взломали?
- Как мы соотносимся с конкурентами?
- Мы тратим достаточно на обеспечение нашей безопасности?
- Насколько эффективно мы инвестируем в безопасность?
Ответ на первый вопрос зависит от контекста и предыстории. Были ли у вас недавно инциденты? Что уже генеральный директор знает про ИБ? Главное заранее донести до руководства мысль, что ИБ — это не состояние, а процесс (это как получение прибыли :-), у которого бывают взлеты и падения. Но про это мы еще поговорим отдельно.
Второй вопрос на самом деле просто отличный. Он означает, что руководство понимает, что 100% безопасности не бывает и у вас тоже могут быть проколы. Но оно же хочет знать, насколько вы готовы к нештатным ситуациям и, самое главное, каков ущерб может быть нанесен компании в случае инцидента. У вас классная команда (я надеюсь) и вы можете оперативно реагировать на угрозы. Покажите это (но кратко) руководству. Упомяните про наличие готовых планов, проведенных киберучений, вложенные в правильный инструментарий инвестиции, наличие опыта борьбы с инцидентами в прошлом, наличие контактов с внешними ИБ-компаниями и т.п.
Третий вопрос, при всей своей «дурацкости», очень важен именно для топ-менеджмента, так как они любят оценивать каждый вложенный рубль в сравнении с другими компаниями в том же сегмента рынка. В России не очень развит security benchmarking и поэтому ответить на этот вопрос будет непросто. Тем более, что сумма расходов на ИБ ничего не говорит о качестве вашей системы защиты. Но интерес руководства есть интерес и к нему надо быть готовым. Поэтому так важен так называемый networking, общение с коллегами по цеху на различных мероприятиях, особенно в неформальной обстановке. Если не получится узнать бюджеты коллег (а многие их завышают для придания себе значимости), то можно попробовать «меряться» уровнями зрелости. Но тут тоже есть засада — свою зрелость считают не все, а если считают, то завышают, не имея внешней, независимой оценки. Да и что считать точки отсчета для измерения зрелости? ISO 27001? ГОСТ 57580.1/2? NIST CSF? О том как измеряет себя служба ИБ Cisco я надеюсь написать на этой неделе.
Четвертый вопрос такой же «дурацкий», но такой же важный, что и предыдущий. С одной стороны ответить на вопрос «Сколько денег на ИБ надо тратить?» однозначно невозможно. А с другой никто и не ждет такого ответа. Замените «ИБ» на «маркетинг», «развитие», «кадры» и вы поймете, что схожий вопрос будет задаваться любой бизнес-единице вашей компании. А следовательно можно попробовать поговорить с коллегами и получить ответ на этот сакраментальный вопрос. Но могу заранее сказать, что бизнес интересует, куда вы уже потратили выделенные ранее деньги и насколько эти траты связаны с бизнес-целями. Готовясь к ответу на этот вопрос, стоит подготовить и запрос и на новые инвестиции с указанием, куда они будут потрачены с точки зрения бизнеса.
Финальный вопрос является квинтесенцией всех предыдущих. В ответе на него вы должны описать все свои проекты и инициативы, указать их связь с бизнес-целями. Также необходимо показать позитивную динамику в реализации ваших задач и проблемные места, которые надо улучшать. Ну и не обойтись без ваших планов, которые должны показать, что вы четко понимаете, куда движется бизнес.
А причем тут лифт? А это из области менеджмента. Есть такое упражнение, которое заключается в том, что вы должны себе представить, как будто вы попали со своим руководителем в лифт и у вас есть всего 1 минута, чтобы донести до него свои нужды и чаяния. Поэтому вам нужно уметь говорить быстро, четко и по делу. А для этого надо знать примерные вопросы, которые вам могут задать.
