Многие интернет-дискуссии о бюджетах на кибербезопасность сводятся к необходимости убедить совет директоров и обосновать инвестиции.
Некоторые подходы основаны на финансовых моделях и направлены на обоснование окупаемости инвестиций. Другие фокусируются на количественной оценке рисков и демонстрации их снижения.
Все они основаны на данных и построены на некоторой форме рациональных аргументов.
Но действительно ли именно так принимаются решения на высшем уровне в крупных организациях?
На самом деле, все эти подходы являются частью «восходящего» нарратива, который директора по информационной безопасности (CISO), консультанты и поставщики услуг кибербезопасности выстраивали для топ-менеджеров на протяжении последних двух десятилетий.
По моему опыту, они сталкиваются с тремя аспектами реальной корпоративной динамики:
Прежде всего, принятие решений на уровне предприятия может выглядеть как рациональный процесс, но на самом деле оно сильно подвержено когнитивным искажениям, как показали Дэниел Канеман и его последователи.
Это совершенно очевидно в сфере кибербезопасности, и это подводит меня ко второму пункту:
Любой, кто провел достаточно времени в индустрии безопасности, сталкивался с различными ситуациями, когда деньги, ранее отказанные, появляются в огромных количествах при первом же намеке на регуляторное расследование, плохой отчет об аудите, инцидент, «почти случившуюся» катастрофу или подобное событие, затронувшее конкурента (это вопрос «может ли это случиться с нами?», знакомый многим CISO).
В таких сценариях не возникает вопросов о рентабельности инвестиций или снижении рисков: топ-менеджеры хотят видеть выполненные задачи и доказательства того, что они выполнили свою работу на случай серьезной утечки данных. Если исполнение не последует, обвинят кого-то другого (часто CISO, которого иногда в шутку называют «Главным козлом отпущения за инциденты» (Chief Incident Scapegoat Officer)).
Более серьезно, во многих советах директоров уже осознали парадигму «когда, а не если» в отношении кибератак: после почти двух десятилетий непрерывных утечек данных, вероятно, трудно найти члена совета директоров, не осведомленного о деловых последствиях, которые они могут иметь. Это подводит меня к третьему пункту:
Я провел много обсуждений, в частности с CIO, которые открыто признавали, что могут заложить в свои бюджеты «что угодно» на кибербезопасность, но их главная проблема — это реализация проектов в этой области.
Откуда возникает это расхождение между многими CISO и их поставщиками, которые якобы испытывают нехватку ресурсов, и топ-менеджерами, все более осведомленными о киберугрозах и желающими инвестировать в защиту фирмы?
Миф о бюджете: почему кибербезопасность на самом деле не недофинансирована
Конечно, проекты кибербезопасности часто сложны, поскольку они должны охватывать корпоративные разрозненные подразделения и географические регионы для обеспечения эффективной защиты бизнеса. Это нетипично для крупных фирм, которые по своей сути территориальны и политизированы.
Но помимо этого, профиль CISO также является ключевым фактором:
Большинство из них — технологи по образованию и опыту, и провели последнее десятилетие, туша пожары инцидентов, не имея возможности построить или реализовать какой-либо долгосрочный нарратив.
Они не развили управленческий опыт, политическую проницательность или личный авторитет, которые были бы им необходимы для достижения истинного успеха, теперь, когда внимание высшего руководства твердо сосредоточено на них.
Многие искренне считают, что хроническое недофинансирование кибербезопасности является первопричиной недостаточного уровня зрелости, в то время как на самом деле именно хронический сбой в исполнении, связанный с повсеместным краткосрочным мышлением бизнеса, лежит в основе проблемы: проекты теряют приоритет, как только достигаются «быстрые победы» или ставятся галочки в отчетах о соответствии требованиям; изменения направления, как только приходит или уходит новый руководитель; инициативы ставятся на паузу при первом признаке рыночной турбулентности — все это указывает на управленческие и культурные аспекты, которые являются истинными первопричинами долгосрочного застоя в уровне зрелости кибербезопасности в крупных фирмах.
Для CISO, которые не интегрировали эти культурные аспекты и почти всегда остаются в стороне от принятия решений, это порождает разочарование; разочарование порождает короткие сроки пребывания в должности (в среднем два-три года для многих); короткие сроки пребывания в должности усугубляют несоответствие в управлении и руководстве: за такие сроки невозможно добиться подлинного трансформационного воздействия в крупных фирмах.
Для топ-менеджеров «карусель» CISO также вызывает разочарование: они видели, как слишком многие приходили с грандиозными планами, просили миллионы, а затем увольнялись через несколько лет, оставляя все недоделанным.
Первые 100 дней: где доверие завоевывается или теряется
Значительная часть этого разрыва фактически формируется в первые 100 дней работы CISO.
Многие CISO приходят на новую должность с заранее сложившимися представлениями, иногда сформированными во время собеседования: вещи, которые работали в других местах, любимые темы, поставщики или консультанты.
Многие также считают, что им необходимо доказать свою компетентность в первые 100 дней. Это ошибка. Компетентность предполагается в первые 100 дней (вас только что наняли). Проблемы лежат в другой плоскости.
Первые 100 дней — это демонстрация вашей способности вписаться в организационную структуру фирмы и действовать как лидер.
На мой взгляд, это начинается со слушания: прислушиваться к заинтересованным сторонам и спонсорам, понимать их ожидания, их болевые точки, что работало в прошлом, что нет и почему, что произошло с вашим предшественником… Иногда лучший вопрос, который можно задать, это «Чем я могу вам помочь?»…
Этот процесс должен инициировать совместное построение нарратива кибербезопасности и, более того, стратегии кибербезопасности фирмы.
Если цели разделяются с заинтересованными сторонами и спонсорами, трения уменьшаются; со временем появляются бизнес-чемпионы, которые транслируют нарратив кибербезопасности не потому, что это нарратив CISO, а потому, что он их собственный.
Этот процесс также должен интегрировать CISO в управленческую и лидерскую динамику фирмы.
Искренне слушая, выявляя и следуя культурным течениям в фирме, группам влияния, неформальным сетям доверия, где происходит реальное принятие решений, CISO становится доверенным лицом для бизнес-лидеров.
В этот момент обсуждения бюджета становятся двусторонними диалогами между доверенными партнерами, а не конфронтационными ситуациями, где одна сторона должна убедить другую.
Напротив, CISO, которые подходят к своим первым 100 дням с целью доказать себя тактически, рискуют оказаться в ловушке оперативного тушения пожаров: это ситуация, из которой очень немногие выбираются. В конечном итоге их могут считать надежными исполнителями, но вряд ли это позволит им быть принятыми за стол переговоров по стратегии.
Именно в такой ситуации возникает необходимость в роли CSO (директора по безопасности), как я утверждал в статье «Сломана ли роль CISO», для координации защиты бизнеса на корпоративном уровне и обеспечения соблюдения всех нормативных требований.
Но это не фатально.
В конечном счете, будущее лидерства в области кибербезопасности будет за теми CISO, которые признают, что построение влияния и доверия должно предшествовать действиям и инвестициям.
Советы директоров больше не нуждаются в убеждении в том, что киберриски имеют значение — им нужны уверенные, культурно адаптированные лидеры, которые могут ориентироваться в сложной корпоративной динамике, строить доверие со всеми заинтересованными сторонами и координировать выполнение задач в различных подразделениях.
Первые 100 дней задают тон: не через технические демонстрации или бюджетные баталии, а через слушание, согласование и совместное создание нарратива, за который бизнес-лидеры чувствуют ответственность.
Таким образом, CISO переходят от выпрашивания ресурсов к формированию стратегии как истинные руководители — не пожарные на обочине, а архитекторы устойчивости в самом сердце предприятия.
Эта статья опубликована в рамках сети экспертных авторов Foundry.
Хотите присоединиться?
Автор – JC Gaillard
