Карта эмпатии на благо безопасника

Ну продолжим тогда тему 😉  Итак все сходятся во мнении, что красиво выйти на уровень топ-менеджеров и «продать» им идею ИБ, как бизнес-процесса, не получится. Иными словами, как говорят специалисты по развитию бизнеса, бизнес-модель с ориентацией на организацию дала сбой. То ли бизнес не дорос, то ли CISO. Допустим первое (хотя я бы предположил второе). Какие у нас еще есть варианты, коль скоро мы получили доступ к телу босса? Ориентироваться на потребителя, в качестве которого выступает начальник. Ведь он обычный человек, у которого есть «болевые» точки, на которые можно (а иногда и нужно) нажать, чтобы достичь поставленных целей.

В бизнес-моделировании есть такая штука под названием карта эмпатии. Ее разработали в XPLANE. С помощью этого инструмента можно понять вашего визави. В обычном бизнесе карту эмпатии используют для составления портрета потребителя, а в области ИБ ее можно применить для того, чтобы понять, как достучаться на топ-менеджера.

Итак, карта эмпатии включает 6 вопросов, на которые надо ответить:

  • Что он (она) видит?
    • На что похоже его (ее) среда?
    • Кто его (ее) окружает?
    • С кем он (она) дружит?
    • С чем сталкивается в повседневной жизни?
    • С какими проблемами встречается?
  • Что он (она) слышит?
    • Что говорят его (ее) друзья/подруги?
    • Кто и как реально воздействует на него (нее)?
    • Какие медиаканалы имеют на него (нее) влияние?
  • Что он (она) на самом деле думает и чувствует?
    • Что для него (нее) действительно важно?
    • Что его (ее) трогает? 
    • Его (ее) мечты и стремления?
  • Что он (она) говорит и делает?
    • Как он (она) себя держит?
    • О чем он (она) может рассказать окружающим?
  • Что его (ее) тревожит?
    • Каковы его (ее) самые большие разочарования?
    • Какие препятствия стоят между ним (ею) и его (ее) желаниями и стремлениями?
    • Что его (она) может бояться в жизни?
  • К чему он (она) стремится?
    • Чего он (она) действительно хочет достичь?
    • Что является для него (нее) мерилом успеха?
    • Какие стратегии он (она) мог бы использовать для достижения своих целей?

Вопросы на эти ответы позволяют понять тот язык, на котором говорить с начальством. И давить уже можно будет не на потребности организации, а на потребности конкретного человека, который может захотеть засветиться перед начальством, получить бонус, показать свою крутость, прослыть инноватором и т.д.

ЗЫ. Правда, это тоже непросто. Это уже вопросы психологии и социологии, которым, во-первых, безопасников нигде не учат. А во-вторых, на это нужно время, которым обычно безопасники не обладают, латая дыры в системе ИБ.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Tomas

    Алексей, не согласен, что нигде не учат — в академии ФСБ учат, и результат, кстати, действительно положительный. Интересно было бы посмотреть карту эмпатии Cisco по России))). Как на эти вопросы ответила Cisco? хотя бы примерно.
    На самом деле, видимо, так и происходит: встретились бизнесмены и зашел разговор про тоже DLP и выяснилось, что у одного есть, а у другого нет — безопасник, скорее всего получит DLP))) а супер отчёт с обнаруженными угрозами явно произведет меньшее впечатление на босса. Но чтобы босс задал вопрос другому боссу его уровня, сначала должен быть супер отчет с рисками от своего безопасника, иначе у них просто не зайдет речь о DLP)))

    Ответить
  2. Unknown

    > Это уже вопросы психологии и социологии, которым, во-первых, безопасников нигде не учат.

    Ты разгадал-таки третий вариант 🙂

    Ответить
  3. Алексей Лукацкий

    Карты эмпатии Cisco по России нет 😉 Она же для каждого человека/группы людей своя. По России — это средняя температура по больнице.

    Там вообще еще 8 вариантов к первоначально озвученным двум 😉

    Ответить
  4. Spanky

    >>А во-вторых, на это нужно время, которым обычно безопасники не обладают, латая дыры в системе ИБ.

    — У нас дыра в безопасности!!!
    — Уф… хорошо, что хоть что-то в безопасности!

    Ответить
  5. Michael

    Если CISO не дорос, то карта ему не поможет.

    Принцип KYC (know you customer) можно реализовывать по-разному, и это хороший опросник, но, как ты верно заметил, правильно его интерпретировать — это из другой области.

    Ответить