Почему одной готовности рисковать недостаточно для согласия
Я провел годы в ситуационных центрах безопасности — от военных оперативных штабов до залов заседаний корпоративных советов директоров. За все эти годы могу сказать, что самая сложная миссия для большинства руководителей служб безопасности — не выявить угрозу, а заставить кого-либо предпринять действия по ее устранению.
Мы обучены видеть уязвимости раньше, чем их заметят другие. Мы постоянно оцениваем вероятные угрозы, анализируем их потенциальное влияние и разрабатываем меры контроля, чтобы предотвратить сбой задолго до того, как он достигнет операционной деятельности или станет известен акционерам. Такова наша работа. Но вот что я наблюдал снова и снова: руководитель безопасности приходит на совещание с технически грамотным докладом, хорошо обоснованными рекомендациями и четкой картиной риска. Комната согласно кивает. Финансовый директор просит дополнительных разъяснений. Обсуждение откладывается до следующего квартала.
Ничего не происходит.
Дело не в том, что они не верят предоставленной информации. Почти всегда верят. Проблема в том, что сам по себе риск лишь информирует. Он не побуждает к действию. И между этими двумя состояниями существует разрыв, который мы до сих пор медлим устранить.
Провал в переводе
Высшее руководство видит мир через призму ответственности. Руководство отвечает за поддержание потока доходов, соблюдение нормативных требований, операционную стабильность и долгосрочную стоимость компании. Если мы представляем уязвимость, не увязывая ее с этими вопросами, то мы говорим на чужом языке.
Я сам был свидетелем этого. Если вы сообщите, что охват конечных точек составляет 62%, это говорит о точности данных. Но скажите директору по операциям, что одна незащищенная конечная точка может остановить производственную линию на два дня, и внезапно вы ведете разговор об операционном риске, а не об ИТ-метриках. Базовая уязвимость не изменилась. Изменилась рамка обсуждения.
Именно здесь многие из нас терпят неудачу. Как только мы чувствуем колебания, инстинкт подсказывает добавить еще данных. Больше дашбордов, больше метрик, больше слайдов. Это эквивалент того, чтобы говорить громче с человеком, который даже не знает вашего языка. Больше информации не равно большей ясности. Иногда она лишь закапывает то решение, которое необходимо принять.
Где ломается доклад
Из бесед с руководителями информационной и физической безопасности различных отраслей можно выделить несколько общих тем.
Во-первых, мы сразу выкладываем возражения на стол. Реальность бюджета, рабочих процессов, конкурирующих инициатив — всё это формирует допустимый уровень риска. Если не выявить препятствия заранее, они позже всплывут как причины для отсрочки. Когда вы сталкиваетесь с ними лицом к лицу, вы демонстрируете понимание ограничений всей организации, а не только своей модели угроз.
Во-вторых, мы смещаем фокус с функции безопасности на бизнес в целом. Когда запрос формулируется вокруг возможностей команды безопасности или пробелов в инструментарии, это звучит как запрос одного отдела. Когда же он формулируется вокруг общих бизнес-результатов, разговор становится стратегическим. Тот же запрос, но воспринимается совершенно иначе. Я быстро усвоил этот урок. Мы не могли продвинуть инвестиции в защиту руководства, пока не перестали говорить о нуждах нашей команды и не начали говорить о том, что потеряет бизнес.
В-третьих, и это моё самое большое разочарование: мы заканчиваем встречу без чёткого определения запроса. Вы прекрасно изложили проблему. Все согласны. Встреча окончена. Ничего не двигается. Потому что вы так и не определили необходимые инвестиции, ответственного, сроки или последствия бездействия.
Что работает
Руководители по безопасности, которые стабильно получают «да» от заинтересованных сторон, работают не с лучшей информацией. Они просто используют иные методы коммуникации.
Они начинают с последствий, а не с конфигурации. Вместо того чтобы начинать обсуждение с соответствия требованиям или архитектуры системы, они объясняют, что произойдёт, если уязвимость не устранить. Примеры включают простой операционной деятельности, потерянные контракты, уход клиентов, регуляторные проверки и т.д. Такие примеры привлекают внимание к тому факту, что руководитель несёт ответственность за эти же вещи.
Они связывают техническую работу с бизнес-расчётами. Каждая инициатива — это цепочка: техническое действие снижает риск, что в конечном итоге защищает конкретную бизнес-цель. Модернизация возможностей аутентификации в организации — это не улучшение системы. Это инвестиция в 200 тысяч долларов, которая снизит вероятность захвата учётных записей, способного привести к потере миллионов. Связывание причины и следствия с деньгами позволяет советам директоров активно вовлекаться.
Они адаптируют сообщение для каждой заинтересованной стороны. Финансовый директор оценивает финансовые риски и обязательства. Операционный директор ставит во главу угла бесперебойную работу. Директор по маркетингу беспокоится о доверии и восприятии бренда. Содержание коммуникации не меняется. Меняется точка входа.
И они формулируют просьбу предельно точно. Не «нам нужно усилить защиту в нерабочее время». Вместо этого: «Я запрашиваю двух дополнительных охранников на ночную смену, начиная с 1 ноября, стоимостью X, ответственность возлагается на Y, потому что без них мы принимаем на себя риск Z». Конкретность запроса доказывает, что специалист по безопасности потратил время на изучение затрат и преимуществ предлагаемого решения. Кроме того, четкая формулировка дает заинтересованным сторонам конкретный предмет для согласия или несогласия.
Истинная миссия
Получение поддержки организации — это не просто мягкий навык. Это ключевая компетенция. В военной сфере мы понимали, что разведданные без действий — всего лишь информация. Тот же принцип применим и здесь. Расстояние между выявлением угрозы и побуждением компании к действию — это и есть пространство, где проявляется настоящее лидерство в сфере безопасности.
Мы обязаны перед нашими командами, организациями и людьми, которых защищаем, сократить этот разрыв. Не с помощью большего объема данных, а с помощью лучшего перевода. Анализ рисков говорит людям о том, что может пойти не так. Умение влиять заставляет их что-то с этим сделать.
Для получения дополнительной информации ознакомьтесь с Руководством для руководителей служб безопасности по достижению согласия.