Привлечение руководителей: как представить кибербезопасность так, чтобы она нашла отклик

Обеспечение поддержки проектов по кибербезопасности в бизнесе требует тонкого баланса. Если остальная часть высшего руководства считает, что компания уже защищена, CISO может столкнуться с трудностями при получении бюджета на проекты. В то же время получение финансирования для превентивных мер может быть сложным в общении.

На конгрессе по безопасности ISC2, который проходил в Лас-Вегасе с 12 по 16 октября, основатель и генеральный директор Safe-U Хорхе Литвин поделился стратегиями организации дискуссий по вопросам безопасности таким образом, чтобы они находили отклик у руководителей.

Почему взаимодействие между службой кибербезопасности и руководством так сложно?

Без эффективной коммуникации между директором по информационной безопасности и остальными руководителями весь бизнес может столкнуться с негативными последствиями.

Ключ к получению поддержки усилий по кибербезопасности — объяснить эти риски в терминах бизнеса, сказал Литвин. Невыполнение этого требования может привести к неэффективному распределению ресурсов, отсутствию уважения к CISO и снижению морального духа команды из-за нехватки ресурсов. Кроме того, бюджетные ассигнования с меньшей вероятностью будут соответствовать потребностям команды по кибербезопасности.

«Их ожидания не соответствуют тому, что мы действительно можем сделать с тем, что у нас есть, а то, что у нас есть, — это то, что они нам дают», — сказал Литвин.

Чтобы исправить это, специалисты по кибербезопасности должны говорить на языке руководителей.

«Мы всегда должны помнить, что наша главная цель — не защитить все», — сказал Литвин. «Каковы основные бизнес-функции, которые мы должны защитить? Сосредоточьте наш запрос на этом».

Влияние на бизнес может быть на операции, финансы, соответствие или репутацию. Например, злоумышленники, подделывающие бизнес-аккаунты или совершающие мошенничество от имени компаний, могут негативно повлиять на репутацию компании.

SEE: Проекты генеративного ИИ в Великобритании, как правило, застревают на стадии планирования, а управление данными становится основным препятствием.

5 советов по эффективному общению

Говоря на языке высшего руководства, необходимо:

Понимание точки зрения руководителя. Насколько занят руководитель? Что его беспокоит? Понимание влияния угроз на основные бизнес-операции. Формулируйте проблемы кибербезопасности с точки зрения того, как они влияют на способность компании поставлять или производить свой продукт или услугу. Показ руководителям того, как проект по кибербезопасности принесет пользу компании. Использование сильного начала («Эта встреча будет успешной, если к ее концу мы…») и завершения («Если есть что-то, что нужно помнить, помните об этом…») на встречах. Сохранение простых и кратких тезисов. Также наличие подготовленной краткой версии на случай, если руководитель закончит встречу раньше времени.

«Постарайтесь донести, как ваш проект способствует развитию или улучшению бизнеса», — сказал Литвин.

Например, команда по кибербезопасности может захотеть внедрить SaaS-решение для поддержки своего персонала. В этом случае руководитель по кибербезопасности может представить решение высшему руководству как способ поддержки запланированного расширения бизнеса в Европе. В конце концов, решение продемонстрирует, что компания обучается защите данных — фактор соответствия GDPR.

C-suite может захотеть узнать, рассмотрел ли лицо, принимающее решения по кибербезопасности, все альтернативы, прежде чем представлять проект или услугу. Покажите C-suite различные пути и раскройте вариант, который вы поддерживаете. В частности, сообщение должно четко демонстрировать, что представленный вариант является наилучшим выбором для бизнеса, а не личным предпочтением.

Представляйте идеи также и другим членам совета директоров.

Получение поддержки также требует некоторой межведомственной коммуникации. Эффективная коммуникация с высшим руководством означает разговор о деньгах в конкретных терминах.

Не знаете ожидаемую окупаемость инвестиций в проект по кибербезопасности? «Мы можем обратиться в финансовый отдел [бизнеса] или в консалтинговую компанию и сказать: «Помогите мне сделать расчеты, чтобы представить это», — объяснил Литвин. «Помогите мне понять, логично ли это и осуществимо ли, или есть лучший способ».

Сравните финансовое воздействие проекта, используя как абсолютные, так и относительные цифры, сравнив его с текущим состоянием и потенциальными выгодами.

Лидеры кибербезопасности могут представить свой проект другим членам совета директоров перед встречей с генеральным директором. Это поможет донести, как проект влияет на различные области и команды. Спросите их мнение, задав такие вопросы, как: «Как мы собираемся работать вместе, чтобы добиться успеха?» После этих встреч свяжитесь с ними, чтобы сохранить импульс.

Знание бизнес-структур, таких как Business Model Canvas, может помочь специалистам по кибербезопасности определить наиболее важные моменты, которые следует затронуть на встрече с руководителями.

«Спросите себя, о чем они, скорее всего, вас спросят», — сказал Литвин.

Наконец, поощряйте руководителей принимать участие в уже существующих усилиях по кибербезопасности в бизнесе. Они могут подавать пример, участвуя в упражнениях Месяца осведомленности о кибербезопасности. Убедитесь, что менеджеры позволяют сотрудникам смотреть обучающие видео по кибербезопасности, а не просто приказывают им «вернуться к работе», сказал Литвин. В конце концов, согласование команды по кибербезопасности с более крупными бизнес-целями может принести только пользу бизнесу. Это просто вопрос поиска правильных слов.

Отказ от ответственности: ISC2 оплатила мне перелет, проживание и питание на мероприятии ISC2 Security Congres, которое проходило с 13 по 16 октября в Лас-Вегасе.