Как ИТ-директору правильно общаться с финдиректором
Однако, речь сегодня не о том - есть в этом вопросе и другие моменты, которые также необходимо также учитывать. Ведь сегодня под угрозой – личная, финансовая, интеллектуальная информация, и некорректно считать, что за ее защиту отвечают только ИБ-шники.
Защита информационных активов – это задача коллективная, и разработкой и реализацией стратегии ИБ должны заниматься, в той или иной степени, большинство руководителей высшего звена. В том числе, CFO – финансовый директор, который для некоторых ИТ-шников выступает скорее в роли традиционного неприятеля, а никак не союзника или тем более помощника. И такое восприятие финансового директора ИТ-службами если и существует, является неверным, а значит, должно быть исправлено. Ведь по сути, одной из главных задач финансового директора является управление финансовыми рисками, которые могут угрожать компании, а не только минимизация ИТ-бюджета.
И это как раз та грань, на которой CIO или CISO (или оба) могут найти общие точки соприкосновения с CFO, а также, нащупать рычаги влияния на него. Им нужно доносить до сведения финансового директора информацию о том, какие угрозы, репутационные и финансовые риски могут стать реальными в случае отсутствия адекватной системы информационной безопасности. Полную безопасность обеспечить сложно, но можно определить приоритетные угрозы (самые вероятные или опасные), сделать это в сотрудничестве с финансовым директором… и, предложив ему ряд шагов (проектов) по защите от информационных угроз, разделить с ним ответственность за любой из вариантов развития событий.
Очевидно, что так будет проще получить необходимый бюджет и правильнее. Ведь с оценкой возможного финансового ущерба приходит осознание ответственности за противостояние угрозе. «Никто кроме нас». Даже если произойдет, к примеру, утечка – при разбирательствах обязательно будут выяснять, были ли предприняты превентивные меры, а если нет, то почему – из-за того, что их не предлагали, или из-за того, что на них не выделили средства?...
Какова же последовательность шагов, необходимых для достижения консенсуса с финансовым директором?
- Необходимо повышать уровень понимания финансовым директором ценности информационных активов компании и того, какие именно информационные активы у нее есть
- Вслед за этим становится реальным объяснить, какие угрозы наиболее вероятны для информационных активов компании, и какие меры предосторожности смогут предотвратить эти угрозы.
- После того, как как достигнут определенный уровень взаимопонимания с финансовым подразделением, можно приступать к совместной разработке (модернизации) и реализации стратегии информационной безопасности. Ведь мы понимаем, что безопасность нельзя обеспечить простым внедрением соответствующих решений. Нужны постоянные обучение и проверки – такие, как пентест и т.д.
Достижение каждого из этих этапов будет означать, что выделение адекватных бюджетов стало ближе.