«Угрозы растут, хакеры наступают, мы все умрем!». Если кто-то хотел услышать именно эти слова от Рустэма Хайретдинова, генерального директора компании Attack Killer, или Алексея Лукацкого, эксперта по информационной безопасности Cisco, они ошиблись. Таких людей на XIII CISO-форуме не было. Мастер-классы этих признанных экспертов и мастеров слова были совсем о другом.

Бизнес в условиях пандемии, кризиса и постепенного выхода из ограничений думал и думает, как это ни печально, об оптимизации и сокращении затрат.

ИБ у значительного количества представителей топ-менеджмента и определена как элемент этих затрат. А зря! Как метко выразился сэр Уинстон Черчилль: «За безопасность платят, а за ее отсутствие расплачиваются!».

Этот тезис отлично известен тем, кто пережил перестройку, лихие 90-е и все прочие кризисы «тучного» начала XXI века. «Гвозди бы делать из этих людей», — коротко и метко описал образ настоящих спецов в области кибербезопасности Владимир Маяковский еще в начале XX века в противовес множеству современных «всёпропальщиков». Однако эта категория менеджеров, к сожалению, зачастую относится к «лицам, принимающим решения» (ЛПР), и именно с ними безопасникам приходится иметь дело. Какие стратегии и тактики могли бы им помочь в диалоге с бизнесом?

Strategic Selling: разговор с бизнесом

Рустэм Хайретдинов посвятил свой мастер-класс «прокачке» умения совмещать цели ИБ и бизнеса, попутно преподав уроки перевода «с ИБ-шного на бизнес-язык» и навыков презентации собственной пользы и эффективности борцов с кибермошенниками. 

Рустэм Хайретдинов, генеральный директор компании Attack Killer. Фото: infor-media Russia

На наш взгляд, квинтэссенцией очной части диалога с залом стало разъяснение того, как современный менеджмент воспринимает риск. Во-первых, 100%-ный риск означает, что проблему надо решать. Во-вторых, риски с вероятностью реализации менее 100% говорят о том, что ИБ в полном соответствии с модной концепцией «highly likely» услышит нечто типа «весьма вероятно, что мы подумаем, а может быть, и нет». Наконец, риски с вероятностью реализации меньше 50% принесут ИБ резолюцию от ЛПР: «Я подумаю об этом завтра», т.е. никогда. 

Это знание в опытных руках руководителя службы безопасности (CISO) с большой долей вероятности трансформируется в двухходовку: «Хорошие процессы не замедляются, а плохие процессы не происходят. Подгоните свою систему под эту формулу, и у вас в бюджете всегда будут деньги!». 

Понятно, что на такой минорной ноте эксперт не мог остановиться в официальном выступлении и выдал несколько рекомендаций, связанных с экономией, вовлеченностью и выполнением регуляторных требований. Но в воздухе витал вопрос: «А как же быть с цитатой сэра Черчилля»?

Отчасти ответ был дан в самом начале мастер-класса. Тогда он больше показался подготовкой аудитории к дискуссии. Но не страшно! Рустэм Хайретдинов повторил его и описал на своей страничке в Facebook собственную историю продажи сложного проекта, точнее полного ее фиаско. Убийственные, казалось бы, для ЛПР аргументы, наоборот, легко похоронили проект.

Эта история заслуживает цитирования: «Продавая в 90-х ERP-систему, я упомянул, как меня учили на тренингах, что после ее внедрения ЛПР сможет уволить больше половины бухгалтеров. Первое, что я получил в результате такого заявления, абсолютно понятного для первого лица, заинтересованного в эффективности компании, — мощнейшую оппозицию в лице главбуха, ибо меньше подчиненных — меньше статус и влияние. Второе, что сработало против проекта: городок был небольшой, состав бухгалтерии — женский, а предприятие — градообразующее. И скоро на многих кухнях за ужином жены-бухгалтеры начали подзуживать мужей: “Приехали какие-то москвичи, и скоро меня уволят”. И к оппозиции подключились уже совсем не бухгалтерские мужики, чьи жены работали в бухгалтерии. А каким бы мощным и авторитарным ни был руководитель и какое бы у вас ни было сильное лобби, ЛПР бессилен против мнения своих функциональных заместителей — “система хорошая, но у нас это не заработает”».

В итоге проект пришлось перезапускать полностью с противоположным месседжем: «Уникальный проект, который встряхнет кадры, даст работу разработчикам, повысит квалификацию финансистов, обеспечит приток молодежи, объединит различные подразделения компании». И он «полетел», да так, что до сих пор не может остановиться.

При чем тут ИБ? По словам спикера, любой сложный проект не «продается» одному человеку, всегда есть сеть принятия решений. 

Недостаточно показать хорошую презентацию формальному ЛПР, надо понимать, с кем внутри и снаружи компании он посоветуется, кто может ему сказать «У нас это не “взлетит”», на кого он равняется и с кем на рынке себя сравнивает. Безопасность залезает на поляну многих людей, облеченных властью.

Но есть и положительные моменты: b2b-продажи придумали не сегодня, накоплен колоссальный опыт. Что касается отечественных IT- и ИБ-секторов, то здесь своего рода средством опознания «свой-чужой» среди продавцов и покупателей является книга Роберта Миллера Strategic Selling. Рустэм Хайретдинов призвал ознакомиться с ней подробнее и продолжить мастер-класс в любое удобное время.

И это не магия?

Алексей Лукацкий не стал ничего откладывать на потом и продолжил тему в своем выступлении «Презентация по кибербезопасности для руководства компании». В своем блоге он так кратко описал свой доклад: «Я говорил о том, как надо готовить презентации и отчеты по ИБ для руководства компании. Тема эта непростая, и за один час изложить ее непросто, но я попытался показать отдельные важные моменты. Рассказал и про то, на чем делать акцент, и что в отчете обязательно нужны KPI, привлекающие внимание, и как увязать KPI по ИБ с KPI топ-менеджера, и как учитывать интересы целевой аудитории и многое другое. Но все-таки час — это час. Границы времени не расширишь, и многие практические лайфхаки остались за кадром».

Алексей Лукацкий, эксперт по информационной безопасности Cisco. Фото: infor-media Russia

А какие же лайфхаки были освещены? Например, довольно парадоксальное для презентации с данной темой утверждение: «Презентация или отчет нужны для принятия решения и больше ни для чего»! Так как же их составить? Ответ можно интерпретировать так: «Необходимо искать взаимосвязи между задачами целевой аудитории CISO и деятельностью по ИБ. И это не магия. Просто надо понимать особенности бизнеса своего предприятия»!

Поэтому не бывает универсальных отчетов на все случаи жизни, необходимо преследовать действительно необходимые и важные бизнес-цели и учиться их визуализировать. 

При этом, скорее всего, документ будет рассмариваться без участия человека, его составившего. Объяснять что-либо непонятное будет некому. Посему приоритет должен быть отдан тому, ЧТО показать, а не КАК, и писать о сугубо технических вещах нет никакого смысла. Наоборот, необходимо использовать как можно больше бизнес-лексики и всегда помнить, что у IT, ИБ, финансовых директоров и CEO абсолютно разное видение пользы моделей CAPEX и OPEX в условиях России. Отсюда вывод: западные практики порой могут скорее навредить, чем помочь при обосновании финансовой целесообразности проектов.

А главный совет от Алексея Лукацкого наверняка можно выразить словами английского писателя Терри Пратчетта: «Перспектива быть повешенным с утра пораньше чудесным образом заставляет разум человека предельно сосредоточиться». Прямо про ИБ!