Как обосновать руководству инвестиции в ИБ: 11 подсказок о том, что можно и что нельзя

Успех или неудача зависят от того, насколько убедительно вы обоснуете, что бизнес не может функционировать без определенной инфраструктуры безопасности

Продавать идею ИТ-безопасности вышестоящему начальству уже не так сложно, как раньше, но по-прежнему легкой прогулкой это не назовешь. Бюджеты сокращаются, а вас постоянно просят сделать больше при меньшем количестве ресурсов. Директора по безопасности вынуждены доказывать, что успех компании во многом зависит от надежной и гибкой инфраструктуры безопасности, охватывающей все аспекты бизнеса. Прямо скажем, задача не из легких.

Покажите, что информационная безопасность критична для повседневной деятельности вашей компании – это лучшая стратегия, особенно если вы сможете продемонстрировать отдачу от инвестиций в ИБ. Вот 11 подсказок о том, как говорить об информационной безопасности с топ-менеджерами и членами совета директоров

 1.    Своя рубашка ближе к телу. Очень важно, чтобы топ-менеджеры и члены совета директоров понимали: случись что, их могут привлечь к уголовной ответственности – потому что на самом деле всегда что-то случается: каждый час как минимум тысячи хакеров атакуют вашу систему. Разница лишь в сумме убытков. В компании должны быть системы и инструменты проведения расследования, которые докажут, что каждый сделал всё возможное для защиты информации.

 2.    Говорите на одном языке. Слушайте и запоминайте, как топ-менеджер говорит о своих приоритетах и требованиях, и тем же языком опишите ему свой запрос.

 3.    Сделайте глобальный обзор корпоративных уязвимостей. Сегодня данные повсюду: на компьютерах сотрудников и их смартфонах, гаджетах,  в сети, облаке, на мобильных устройствах, у внешних партнеров, удаленных работников, поставщиков услуг и др. Четко объясните, что ИБ-ресурсы не должны быть сосредоточены в одном месте, а наоборот должны быть соответствующим образом распределены и охватывать абсолютно все каналы. Если вы защищаете информацию только в одной области, хакеры найдут самое слабое звено, а через него доберутся и до всего остального. Рвется там, где тонко.

 4.    Не позиционируйте ИБ как бремя. Подчеркните, что пусть безопасность по большей части скрыта от глаз, она также двигатель бизнеса. Продемонстрируйте, как ИТ-безопасность облегчает бизнес-процессы. Например, благодаря политикам внутри системы классификации каждый сотрудник бухгалтерии автоматически получает доступ к определенным файлам и папкам без необходимости создавать запросы на изменение.

 5.    Покажите, что категорирование данных влияет на расходы. В зависимости от поиска и сортировки данных в компании определяется способ их хранения и необходимый уровень защиты. В конечном счете может оказаться, что ее наивысший уровень нужен лишь для 10% корпоративных данных. Поэтому в данном случае категоризация данных может снизить нагрузку на ИТ-сервисы, и снизит операционные и более долгосрочные капитальные расходы.

 6.    Недостаточно дать руководству лишь список уязвимостей. Опишите последствия уязвимостей: судебные иски, ущерб репутации, штрафы и пр. Например, для этого вы можете сделать подборку инцидентов в РФ и мире из базы утечек InfoWatch. Или показать запись вебинара

 7.    Не забывайте о деньгах. Покажите, во сколько на самом деле обходятся компаниям нарушения безопасности. Поищите свежие примеры в Google. Вот один из них: Target Corp. должна заплатить $39 млн пострадавшим от нее финансовым организациям.

 8.    Напомните высшему руководству о юридических обязательствах компании и о том, как нарушения безопасности на них влияют. Например, ваша компания, вероятно, неоднократно подписывала договоры о неразглашении перед тем, как ее бизнес-партнеры соглашались отправить вам свою служебную информацию. Если посторонний извлечет эту информацию из ваших внутренних систем, вы фактически аннулируете договор о неразглашении и рискуете получить иск.

 9.     Проанализируйте требования регуляторов. Большинство компаний так или иначе обязаны соблюдать нормы законодательства, а в отдельных случаях еще и отраслевые стандарты безопасности – такие как, например, PCI-DSS. Помимо этого существуют  требования других регулирующих органов. Соответствующий аудит – плановое мероприятие, и постоянно соблюдать требования регуляторов оказывается гораздо проще и дешевле, чем корректировать комплексные корпоративные системы после провального аудита и платить огромные штрафы. Вот вам еще один аргумент в пользу рентабельности инвестиций.

 10.    Ищите единомышленников внутри организации, чтобы представлять интересы группы людей. Обратите особое внимание на группу управления корпоративными рисками.

 11.    Объясните, почему безопасность данных – важная основа трудовых отношений. У работодателей есть персональные данные работников (например, паспортные данные или информация о родственниках и пр.). Появление этой информации в общем доступе —существенное злоупотребление доверием и как следствие - серьезные риски. Работники могут подать против вас судебный иск: из-за ваших действий их ПДн могут быть скомпрометированы.

На безопасность должна приходиться значительная часть ИТ-бюджета. Вы составили список требований и расставили приоритеты. Теперь вам нужно определить, на что лучше потратить деньги, и затем выстроить свои аргументы. Много ли денег выделят вашему департаменту зависит от того, насколько убедительно вы обоснуете, что бизнес не может функционировать без определенной инфраструктуры безопасности.

Подпишитесь на рассылку INFOWATCH