Как ИТ-директору правильно общаться с финдиректором

15 Февраля, 2016 12:45
Владимир Смирнов
Теги: CIO, ИТ-бюджет, CISO, CFO
Исторически так сложилось, что информационная безопасность считается сферой ответственности ИТ-подразделения, и именно они должны ею заниматься. В принципе, это не совсем верно - ИБ должна заниматься специальная команда по безопасности под руководством CISO.

Однако, речь сегодня не о том - есть в этом вопросе и другие моменты, которые также необходимо также учитывать. Ведь сегодня под угрозой – личная, финансовая, интеллектуальная информация, и некорректно считать, что за ее защиту отвечают только ИБ-шники.

Защита информационных активов – это задача коллективная, и разработкой и реализацией стратегии ИБ должны заниматься, в той или иной степени, большинство руководителей высшего звена. В том числе, CFO – финансовый директор, который для некоторых ИТ-шников выступает скорее в роли традиционного неприятеля, а никак не союзника или тем более помощника. И такое восприятие финансового директора ИТ-службами если и существует, является неверным, а значит, должно быть исправлено. Ведь по сути, одной из главных задач финансового директора является управление финансовыми рисками, которые могут угрожать компании, а не только минимизация ИТ-бюджета.

И это как раз та грань, на которой CIO или CISO (или оба) могут найти общие точки соприкосновения с CFO, а также, нащупать рычаги влияния на него. Им нужно доносить до сведения финансового директора информацию о том, какие угрозы, репутационные и финансовые риски могут стать реальными в случае отсутствия адекватной системы информационной безопасности. Полную безопасность обеспечить сложно, но можно определить приоритетные угрозы (самые вероятные или опасные), сделать это в сотрудничестве с финансовым директором… и, предложив ему ряд шагов (проектов) по защите от информационных угроз, разделить с ним ответственность за любой из вариантов развития событий.

Очевидно, что так будет проще получить необходимый бюджет и правильнее. Ведь с оценкой возможного финансового ущерба приходит осознание ответственности за противостояние угрозе. «Никто кроме нас». Даже если произойдет, к примеру, утечка – при разбирательствах обязательно будут выяснять, были ли предприняты превентивные меры, а если нет, то почему – из-за того, что их не предлагали, или из-за того, что на них не выделили средства?...

Какова же последовательность шагов, необходимых для достижения консенсуса с финансовым директором?

- Необходимо повышать уровень понимания финансовым директором ценности информационных активов компании и того, какие именно информационные активы у нее есть

- Вслед за этим становится реальным объяснить, какие угрозы наиболее вероятны для информационных активов компании, и какие меры предосторожности смогут предотвратить эти угрозы.

- После того, как как достигнут определенный уровень взаимопонимания с финансовым подразделением, можно приступать к совместной разработке (модернизации) и реализации стратегии информационной безопасности. Ведь мы понимаем, что безопасность нельзя обеспечить простым внедрением соответствующих решений. Нужны постоянные обучение и проверки – такие, как пентест и т.д.

Достижение каждого из этих этапов будет означать, что выделение адекватных бюджетов стало ближе. 

Материалы по теме:

Комментарии: