Реализация масштабных инициатив по трансформации, таких как внедрение Zero Trust, требует большего, чем просто техническое понимание – именно здесь начинаются трудности для многих специалистов по ИТ-безопасности. Они привыкли оперировать техническими аргументами, а не инициировать культурные изменения. Ведь замена привычной инфраструктуры означает выход из зоны комфорта и освоение неизведанного.
Необходимо преодолеть связанные с этим опасения многих заинтересованных сторон и убедить скептически настроенное руководство на разных уровнях. Это невозможно сделать с помощью профессионального жаргона. Руководству компании следует понимать риски, пути их минимизации и преимущества, чтобы соответствующим образом доносить информацию и на этом уровне.
Язык имеет значение
Успех на пути к Zero Trust зависит не столько от технической грамотности, сколько от уверенности в себе и коммуникативных навыков ответственных за кибербезопасность. Zero Trust ставит под сомнение сложившиеся годами процессы и предположения. Межсетевые экраны (firewalls) и VPN создавали привычное, хотя и небезупречное, чувство безопасности. Zero Trust же заменяет неявное доверие постоянной проверкой. Технологически этот подход уже доказал свою эффективность. На культурном уровне гораздо сложнее донести необходимость отказа от привычного.
Рекомендуем к прочтению: Zero Trust создает проблемы для CISO
ИТ-руководители должны донести преимущества подхода Zero Trust таким образом, чтобы они нашли отклик у нетехнической аудитории на уровне высшего руководства. Это непростая задача для ИТ-лидеров, которые продвигались по карьерной лестнице, опираясь на технические знания. Если техническое объяснение нового подхода скорее отпугивает участников процесса принятия решений, чем убеждает их, трансформация останавливается, а процесс замены устоявшейся инфраструктуры замедляется.
Таким образом, цель коммуникативного процесса – найти общий язык с руководством и перевести вопросы безопасности на понятный им язык. Поэтому при модернизации системы безопасности важно показать, как может трансформироваться весь бизнес. Ключевые вопросы: где находится компания сегодня, где она хочет быть в будущем и какие этапы необходимо преодолеть на этом пути?
Следовательно, Zero Trust следует позиционировать не как технический тренд, а как адекватную реакцию на общеотраслевые потребности. Отказ от устоявшегося мышления в области безопасности, связанного с моделью «замка и рва», где все внутри периметра считается доверенным (вспомним межсетевые экраны), — это гигантская задача.
Zero Trust, напротив, отказывается от какого-либо аванса доверия и полагается на проверку каждого отдельного доступа, тем самым ограничивая радиус атаки. Результатом такого подхода к безопасности являются снижение затрат, уменьшение сложности и, тем не менее, повышение уровня безопасности. Такой язык транслирует результаты, которые проявляются в создании добавленной стоимости.
Убеждать и добиваться согласия
Когда сообщение сформулировано понятными словами, возникает вопрос о стратегии его донесения. Технический директор (CTO) и команда инфраструктуры – первые заинтересованные стороны, которых необходимо вовлечь в процесс. Тесное сотрудничество имеет решающее значение для предотвращения возможного торможения трансформации. Этот начальный этап коммуникационной работы по убеждению должен быть относительно простым, поскольку на этом уровне говорят на схожем языке.
Однако успешная трансформация требует согласия, выходящего за рамки ИТ- и инфраструктурных команд. Ключевой группой для реализации являются руководители различных бизнес-подразделений. Эти бизнес-единицы в первую очередь сосредоточены на увеличении своей прибыли. Они должны обеспечивать финансовый успех, операционную эффективность, удовлетворенность клиентов и минимизировать сбои.
Чтобы завоевать их доверие и сотрудничество, ИТ-директора (CIO) и директора по информационной безопасности (CISO) должны вникнуть в их повседневную рабочую деятельность. Индивидуальные беседы, учитывающие приоритеты руководителей подразделений и фокусирующиеся на их операционных и финансовых рисках, могут вестись на равных.
Например, в разговоре с руководителями производственных цехов не следует говорить о сложных процедурах аутентификации. Более продуктивно объяснить, как кибератаки могут привести к сбоям в производстве, потере данных и штрафам за несоблюдение нормативных требований. Эти темы не дают менеджерам покоя. Если Zero Trust представить как средство достижения производственных целей и защиты их отчета о прибылях и убытках, смена модели безопасности превращается в бизнес-преимущество.
Время и частота коммуникации с руководством также важны для создания и поддержания единого подхода во всей компании. Регулярное обсуждение вопросов кибербезопасности на квартальных совещаниях позволяет относительно быстро создать динамику и доверие на руководящем уровне.
Когда первоначальный скептицизм ослабевает, эти совещания можно трансформировать в краткие встречи раз в полгода. Тогда в центре внимания должны быть практические вопросы и измеримые результаты. Риски безопасности также могут быть переопределены как бизнес-приоритеты.
Создание сторонников
За последние годы киберриски превратились из нишевой области в тему первостепенной важности, находящуюся на повестке дня каждого генерального директора и члена правления. Поэтому беседы с руководством становятся все более позитивно воспринимаемыми этими заинтересованными сторонами. Как только доверие к внедрению нового подхода к безопасности достигнуто, становится все проще поддерживать приверженность каждому отдельному аспекту фактической трансформации.
Прежде чем такой проект трансформации будет одобрен, CIO и CISO следует быть готовыми к первоначальной сдержанности со стороны руководства. Финансовый директор (CFO), главный юрисконсульт или члены наблюдательного совета могут помочь и оказаться союзниками. Эта группа может оказать тонкое давление, когда традиционные цепочки принятия решений дают сбой, и побудить нерешительных руководителей к изменениям.
CIO и CISO — это больше, чем просто хранители устоявшихся технологий. Они должны трансформироваться в сторонников культурных изменений, чтобы строить мосты для модернизации. Это требует готовности адаптировать стиль руководства к требованиям. В конечном счете, именно им предстоит инициировать трансформацию безопасности и для этого использовать язык руководства компании. (jm)
Автор – Yves Le Gelard
