"Так безопасно?" №4: Как техдиру говорить про кибербезопасность и деньги?
По результатам вчерашнего поста про управление рисками, у нас возник один небольшой спор с коллегами о том, как техдир должен обосновывать свои расходы. Эта история не совсем про наш бизнес, но мы попробуем ответить (тем более, что бэкграунд у Артёма всё равно в финансах).
Самое главное — ваш CEO\CFO мыслит в других категориях. С CTO наверное проще, но если у вашей компании есть отдельный CTO и вертикаль под ним — то, наверное, какие-то понятия о безопасности у вас есть. А если есть CISO то вообще прекрасно и говорить придется уже ему.
Начать в любом случае надо с того, чтобы перевести возможную угрозу в разряд денег. Просто говорить "нас могут взломать" — недостаточно, потому что сразу возникнет здравый вопрос "и чем нам это грозит"? Хорошо бы сразу понимать, в какие конкретно потери эта история может вылиться. Потому что говорить "наша база клиентов утечет к конкурентам" — это одно, а "если наши продажи упадут на 10%, то нас зашифруют и будут потери от простоя на XXX рублей" — это другое. Никто не любит абстракции, все любят бабки.
Сделать такую "бизнесовую" оценку для человека из IT/ИБ может быть тяжело, но если вы доросли до Head of что-нибудь, то вам рано или поздно придётся вгружаться в бизнесовую составляющую. Это в любом случае полезно.
Второй момент — это правильно оценивать ваши возможности и реальность угроз. Потому что если вы понимаете, что проблема реальна, жопа (извините) полная, то лучше уже сейчас идти к тому, кто распоряжается деньгами и говорить "есть проблема". Нет, конечно, конкретная стратегия зависит от того места, где вы работаете — но общая идея именно такая. CTO, который "обо всём предупреждал" лучше CTO, который молчал. Кстати, именно таким CTO мы иногда продаём расследование инцидентов.
В общем, главное — это интерпретировать проблему в деньгах. Идея, вроде бы, совсем очевидная, но мы часто видим колоссальную пропасть в мышлении "чуваков из IT/ИБ" и "людей, которые распоряжаются деньгами".
По результатам вчерашнего поста про управление рисками, у нас возник один небольшой спор с коллегами о том, как техдир должен обосновывать свои расходы. Эта история не совсем про наш бизнес, но мы попробуем ответить (тем более, что бэкграунд у Артёма всё равно в финансах).
Самое главное — ваш CEO\CFO мыслит в других категориях. С CTO наверное проще, но если у вашей компании есть отдельный CTO и вертикаль под ним — то, наверное, какие-то понятия о безопасности у вас есть. А если есть CISO то вообще прекрасно и говорить придется уже ему.
Начать в любом случае надо с того, чтобы перевести возможную угрозу в разряд денег. Просто говорить "нас могут взломать" — недостаточно, потому что сразу возникнет здравый вопрос "и чем нам это грозит"? Хорошо бы сразу понимать, в какие конкретно потери эта история может вылиться. Потому что говорить "наша база клиентов утечет к конкурентам" — это одно, а "если наши продажи упадут на 10%, то нас зашифруют и будут потери от простоя на XXX рублей" — это другое. Никто не любит абстракции, все любят бабки.
Сделать такую "бизнесовую" оценку для человека из IT/ИБ может быть тяжело, но если вы доросли до Head of что-нибудь, то вам рано или поздно придётся вгружаться в бизнесовую составляющую. Это в любом случае полезно.
Второй момент — это правильно оценивать ваши возможности и реальность угроз. Потому что если вы понимаете, что проблема реальна, жопа (извините) полная, то лучше уже сейчас идти к тому, кто распоряжается деньгами и говорить "есть проблема". Нет, конечно, конкретная стратегия зависит от того места, где вы работаете — но общая идея именно такая. CTO, который "обо всём предупреждал" лучше CTO, который молчал. Кстати, именно таким CTO мы иногда продаём расследование инцидентов.
В общем, главное — это интерпретировать проблему в деньгах. Идея, вроде бы, совсем очевидная, но мы часто видим колоссальную пропасть в мышлении "чуваков из IT/ИБ" и "людей, которые распоряжаются деньгами".