Защищаем бюджет на кибербезопасность правильно

Умение разговаривать на одном языке с представителями бизнеса – главная компетенция профессионала в области информационной безопасности в вопросах отстаивания бюджетов на ИБ, по мнению экспертов, участвующих в пленарной дискуссии конференции. Важность этого навыка подчеркнули все выступающие, однако, у каждого был свой рецепт нахождение общего языка. Так, Павел Луцик (КриптоПро) предложил безопасникам в диалоге с руководством найти посредника из числа коллег, который бы смог перевести язык угроз и инцидентов на понятную бизнесу речь о рисках и их денежном выражении. Дмитрий Самойленко (ESET) называет такого человека «сообщником». Им может стать любой из сотрудников компании, испытывающий трудности в работе, которые можно решить средствами ИБ и при помощи безопасника. После того, как эти трудности выявлены, нужно выносить их на экспертное обсуждение при участии департамента информационных технологий. И уже за этим этапом должно следовать преподнесение проблемы и мер по ее решению руководству компании. В данной ситуации специалист по информационной безопасности должен являться исполнителем, который готов прийти на помощь. Второй рецепт от Дмитрия Самойленко – декомпиляция цели по обеспечению ИБ в компании, то есть разбивка всех бизнес-процессов организации на более мелкие, и нахождение среди них наиболее уязвимых мест. «Далее следует процесс обсуждения с руководством изменений, которые вы хотите внедрить, — продолжает эксперт, — а конкретно: что даст бизнесу в качественном или количественном измерении ваше предложение».

Тимур Бигулов (Лаборатория Касперского) отвергает формулировку проблемы «Как продать ИБ руководству» как нежизнеспособную. Эксперт уверен, что вложения в ИБ – это инвестиции, за счет которых увеличивается стоимость бизнеса, повышается его устойчивость. «Часто руководители компаний и владельцы бюджетов не понимают, зачем вкладываться в кибербезопасность. Проще всего дать им попробовать самим. Благодаря новой платформе повышения осведомленности о кибербезопасности, вы можете дать руководителям протестировать продукт. Интересное обучение, тестирование и последующая имитация действий злоумышленников позволяют каждому сотруднику понять, какие киберугрозы может испытывать на себе организация», — комментирует Тимур Бигулов.

Павел Зимарев (СКБ Контур) отметил необходимость ведения статистику угроз и атак, которое были отражены вами в компании. Эти данные существенно облегчат выстраивание диалога с руководством в вопросах защиты бюджетов на ИБ. По словам эксперта, нужно стремиться переходить к партнерству с руководством при обсуждении покупки решений по кибербезопасности. «Станьте экспертом для бизнеса в выявлении и оценке рисков и угроз, помогите бизнесу принять верные решения для нивелирования этих угроз», — советует Павел Зимарев. Денис Прынков (Информационные системы и аутсорсинг) напоминает, что риски могут быть разного рода: уголовные, финансовые, репутационные, административные, политические, и если систематически доносить информацию о вероятности их наступления до руководства, то эффект обязательно будет. Лучше если эти риски будут подкреплены примерами и кейсами конкретных компаний.

Это не единственное мероприятие, проводимое агентством бизнес-событий «Экспо-Линк» в Краснодарском крае. Ближайший Код ИБ пройдет в Сочи с 25 по 28 июля в формате двух дней учебы и двух дней приключений и соберет руководителей департаментов по ИТ и ИБ со всей страны. Регистрация на конференцию уже открыта и доступна по ссылке: sochi.codeib.ru/