В бизнес-моделировании есть такая штука под названием карта эмпатии. Ее разработали в XPLANE. С помощью этого инструмента можно понять вашего визави. В обычном бизнесе карту эмпатии используют для составления портрета потребителя, а в области ИБ ее можно применить для того, чтобы понять, как достучаться на топ-менеджера.
Итак, карта эмпатии включает 6 вопросов, на которые надо ответить:
- Что он (она) видит?
- На что похоже его (ее) среда?
- Кто его (ее) окружает?
- С кем он (она) дружит?
- С чем сталкивается в повседневной жизни?
- С какими проблемами встречается?
- Что он (она) слышит?
- Что говорят его (ее) друзья/подруги?
- Кто и как реально воздействует на него (нее)?
- Какие медиаканалы имеют на него (нее) влияние?
- Что он (она) на самом деле думает и чувствует?
- Что для него (нее) действительно важно?
- Что его (ее) трогает?
- Его (ее) мечты и стремления?
- Что он (она) говорит и делает?
- Как он (она) себя держит?
- О чем он (она) может рассказать окружающим?
- Что его (ее) тревожит?
- Каковы его (ее) самые большие разочарования?
- Какие препятствия стоят между ним (ею) и его (ее) желаниями и стремлениями?
- Что его (она) может бояться в жизни?
- К чему он (она) стремится?
- Чего он (она) действительно хочет достичь?
- Что является для него (нее) мерилом успеха?
- Какие стратегии он (она) мог бы использовать для достижения своих целей?
Вопросы на эти ответы позволяют понять тот язык, на котором говорить с начальством. И давить уже можно будет не на потребности организации, а на потребности конкретного человека, который может захотеть засветиться перед начальством, получить бонус, показать свою крутость, прослыть инноватором и т.д.
ЗЫ. Правда, это тоже непросто. Это уже вопросы психологии и социологии, которым, во-первых, безопасников нигде не учат. А во-вторых, на это нужно время, которым обычно безопасники не обладают, латая дыры в системе ИБ.
Алексей, не согласен, что нигде не учат — в академии ФСБ учат, и результат, кстати, действительно положительный. Интересно было бы посмотреть карту эмпатии Cisco по России))). Как на эти вопросы ответила Cisco? хотя бы примерно.
На самом деле, видимо, так и происходит: встретились бизнесмены и зашел разговор про тоже DLP и выяснилось, что у одного есть, а у другого нет — безопасник, скорее всего получит DLP))) а супер отчёт с обнаруженными угрозами явно произведет меньшее впечатление на босса. Но чтобы босс задал вопрос другому боссу его уровня, сначала должен быть супер отчет с рисками от своего безопасника, иначе у них просто не зайдет речь о DLP)))
> Это уже вопросы психологии и социологии, которым, во-первых, безопасников нигде не учат.
Ты разгадал-таки третий вариант 🙂
Карты эмпатии Cisco по России нет 😉 Она же для каждого человека/группы людей своя. По России — это средняя температура по больнице.
Там вообще еще 8 вариантов к первоначально озвученным двум 😉
>>А во-вторых, на это нужно время, которым обычно безопасники не обладают, латая дыры в системе ИБ.
— У нас дыра в безопасности!!!
— Уф… хорошо, что хоть что-то в безопасности!
Если CISO не дорос, то карта ему не поможет.
Принцип KYC (know you customer) можно реализовывать по-разному, и это хороший опросник, но, как ты верно заметил, правильно его интерпретировать — это из другой области.