Изображение: recraft
Люди в компаниях плотно взаимодействуют друг c другом в рамках ведения проектов или бизнес-процессов. Например, при принятии решения о внедрении нового продукта информационной безопасности возникает задача объяснить бизнесу технические риски простым языком. Сложность объяснения, чаще всего, заключается в том, что бизнес думает о прибыли, а технические специалисты – о своих профильных задачах.
Проблемы могут возникнуть из-за разного языка коммуникации – коммерческий и директор по развитию бизнеса могут не понимать технических терминов, а ИБ-специалистам проще объяснить что-то с помощью привычных формулировок.
Представление о рисках у технических специалистов и ответственных за ведение и развитие бизнеса также может отличаться из-за того, что одни несут ответственность за защиту данных, а другие могут не видеть положительного или отрицательного влияния этого на бизнес.
Существует ли продуктивный метод для объяснения технических рисков на уровне совета директоров?
Единая метрика для любого бизнеса – это финансовая составляющая. Поэтому в обозначении технических рисков нужно представить их в формате: «есть некая киберугроза, которая может принести нам X рублей ущерба, для уменьшения рисков ее наступления на N%, нам нужно решение за Y рублей». При таком подходе директорам будет понятнее проблема, т.к. они увидят в этом ущерб в цифрах для бизнеса.
Для лучшего восприятия информации можно использовать визуализацию, которая наглядно продемонстрирует масштабы риска и его последствия. Также перечислить события и факторы, которые могут повлиять на вероятность наступления угрозы.
При объяснении важности снижения рисков лучше всего опираться на реальные проверяемые случаи других компаний и предлагать несколько вариантов решений. При этом объем этой информации должен быть такой, чтобы ознакомления с ней не занимало длительное время.
Еще одна составляющая – это время. Защита от некоторых угроз требует быстрой инсталляции в ИТ-инфраструктуру. В таком случае бизнесу нужно понимание в течение какого срока выделить бюджет. При этом обозначенное время должно быть реалистичным, поэтому важно оценить сроки также, как потенциальные риски.
Таким образом, для простого и эффективного общения между техническими специалистами и советом директоров важно использовать понятный всем язык. Язык финансов бизнесу более понятен. Через него доступно описываются риски и их воздействие на коммерческие показатели компании. Поэтому становится гораздо проще обозначить важность и необходимость мер по их минимизации.
Автор: Леонид Варламов, заместитель генерального директора по развитию собственных продуктов компании Secret Technologies.
Оригинал публикации на сайте CISOCLUB: "Общение с советом директоров: как объяснить сложные технические риски простым языком?".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.