11/12/2017

Продолжая серию статей об опыте реализации программ повышения осведомлённости персонала в области информационной безопасности (далее часто будем говорить просто – повышение), обратимся теперь к ряду частных, но весьма важных на практике вопросов. Напомним: в наших статьях мы предполагаем, что читателя уже не надо склонять к пониманию необходимости и полезности повышения – статьи не содержат сдобренных разного качества статистикой аргументов в пользу тезиса о том, что программа повышения осведомлённости является неотъемлемым компонентом системы обеспечения информационной безопасности любой современной организации. Мы надеемся, что читатели (многие из которых, вероятно, являются руководителями ИТ/ИБ-подразделений) уже решили для себя этот вопрос.

Итак, необходимость создания и реализации программы повышения осведомлённости ответственным за обеспечение информационной безопасности осознана. И почти сразу с деятельным воодушевлением и желанием немедленно начать повышать эту самую осведомлённость приходит понимание, что в одиночку ИТ/ИБ-подразделению делать ничего нельзя. Или, хуже того, никто ничего сделать не даст.

В предыдущей статье мы говорили о том, что одним из наиболее важных факторов успеха любой программы повышения осведомлённости является её поддержка (а лучше – формальное санкционирование) высшим руководством организации. В большинстве случаев следствием такой поддержки является выделение необходимых программе ресурсов – финансовых, человеческих и материальных. Верно и обратное: нет поддержки высшего руководства – нет и денег на реализацию программы, а вы завалены другой работой так, что про повышение осведомлённости некогда даже вспомнить!

Давайте рассмотрим, как наименее болезненно и наиболее эффективно можно решать жизненно важный для самой идеи повышения осведомлённости персонала вопрос: как заручиться поддержкой руководства?

Задача эта, по нашему опыту, для многих ИТ/ИБ-руководителей является нетривиальной, поскольку обычно условия таковы:

  • ранее в организации сколько-нибудь значимая работа по повышению осведомлённости персонала не велась (а значит нет ни опыта обоснования затрат, ни опыта отбора и привлечения квалифицированных ресурсов);
  • руководство не является осведомлённым в отношении современного состояния информационной безопасности, киберугроз и их последствий, зато хорошо считает деньги (что, без сомнений, есть часть его работы), а потому ко всем новым причинам роста затрат априори относится как к чему-то с недоказанной (и трудно доказуемой) целесообразностью.

Общий подход: думайте как маркетолог

Необходимо «продать» повышение осведомлённости руководству, поэтому придётся какое-то время побыть маркетологом, обычная работа которого заключается в привлечении внимания потенциальных покупателей к товару и склонения оных к покупке. Мы умышленно не говорим здесь «действовать как маркетолог», потому что как раз действовать лучше в рамках существующих корпоративных правил.

Из необходимости думать как думают маркетологи следует, что:

  1. Необходимо хорошо знать «товар» - вы сами должны понимать, знать и полностью отдавать себе отчёт в том что, сколько и, главное, почему (зачем) вам нужно от руководства для программы повышения осведомлённости;
  2. «Продавать» следует не саму программу повышения, а целевой образ (состояние) организации после того, как программа будет реализована – и вы и руководство должны хорошо представлять, какими должны быть результаты реализации программы;
  3. Вероятность «покупки» существенно возрастёт, если вы будете использовать «язык», понятный «покупателю». Если представление программы будет изобиловать ИТ/ИБ-спецтерминами и излишне мелкими деталями, не уделяя внимания интегральному эффекту воздействия на организацию (снижение рисков несоответствия требованиям, сокращение прямого и косвенного ущерба и т.п.) и ключевые показатели её деятельности (деньги, время, лояльность клиентов и т.п.), желаемой цели достигнуть будет весьма трудно.

Знайте «головные боли» своего руководства

Давно известный, но часто забываемый и требующий определённой сноровки метод – встать на сторону оппонента и посмотреть на ситуацию его глазами. Это всегда полезно. Кроме того, у вашего руководства может быть своё руководство – попытайтесь понять, что оно требует от вашего руководства, какие цели ставит. Это поможет определить о чём у вашего руководства «болит голова» и даст возможность лучше адаптировать к текущей ситуации идею инициации программы повышения осведомлённости.

Покажите руководству его личную выгоду

Руководство – тоже люди. Поэтому оно непременно должно увидеть собственный интерес и выгоду от реализации программы повышения осведомлённости персонала. Данный совет, конечно, сильно коррелирует с предыдущим. Однако, не забывайте и про личные (т.е. не рабочие) интересы и выгоды руководства: обычно это люди среднего или старшего возраста, часто совершающие поездки, имеющие взрослых детей и, как правило, использующие современные модели сразу нескольких устройств. Показать руководству на его личном примере что даст каждому сотруднику организации программа повышения – весьма неплохой аргумент. Однако, опять же, здесь важно не только что вы расскажете руководителю, но и как вы это будете рассказывать: ваш рассказ должен быть кратким, по сути и фокусироваться на наиболее острых проблемах.

Начинайте заранее, продолжайте периодически

Всё новое часто воспринимается негативно – такова особенность человеческой психики. Поэтому если вы уже приняли идею повышения, а ваше руководство всё ещё понятия не имеет ни об эволюции вашего мировоззрения, ни даже о том, что такое повышение осведомлённости и зачем оно нужно, то необходимо учитывать инерцию мышления руководства и его занятость (здесь под занятостью мы понимаем обычный режим работы руководителей – быстрое переключение с вопроса на вопрос при малом удельном времени рассмотрения каждого из них). Первое упоминание о повышении и связанных с ним нуждах в разговоре с руководством должно иметь место задолго (в некоторых сложных случаях – за год и больше) до желаемого действия с его стороны. Например, принципиального одобрения начала реализации и выделения необходимых ресурсов. Затем периодически напоминайте об идее, постепенно детализируя её контуры и наполнение. Фактически вам придётся заниматься повышением осведомлённости руководства о повышении осведомлённости с полноценным применением упомянутых в предыдущей статье практик (должное документационное обеспечение, правильные материалы для правильной аудитории, периодичность).

Используйте релевантные аргументы

Часто используемый метод обоснования – «подкладывание» статистики в пользу обосновываемого тезиса – употребим и в нашем случае. Применять его, однако, необходимо со вниманием:

  • Источник статистических данных не должен быть ангажирован. Применительно к повышению это условие соблюсти достаточно трудно, поскольку большинство замеров и опросов проводится именно компаниями, оказывающими услуги в области повышения осведомлённости.
  • Статистика должна отражать отраслевую специфику организации. Программы повышения осведомлённости не инвариантны по отношению к отрасли и должны отражать отраслевую специфику организации. А значит оперировать статистикой по металлургической отрасли в банке следует с должной осмотрительностью.
  • Постарайтесь продемонстрировать количественные данные, характеризующие эффективность программ повышения осведомлённости. При том, что объективных таких данных крайне мало. Это связано и со сложностью проведения подобных замеров, и с ещё пущей сложностью выбора подходящей методики анализа их результатов, и с «чувствительностью» темы. В то же время демонстрация реальных кейсов с известным эффектом реализации программы повышения осведомлённости может быть сильным аргументом в диалоге с руководством.

Упомянутые в нашей статье рекомендации достаточно высокоуровневые, однако, более подробные советы возможны лишь при изучении особенностей конкретной ситуации. Меж тем высказанные рекомендации основаны на опыте компании UBS выполнения проектов по повышению осведомлённости и действительно помогут вам сократить путь до создания и реализации эффективной программы повышения осведомлённости персонала.