17.11.2011

Типы "принимателей" решений

Продолжая тему принятия решений по тому или иному проекту ИБ необходимо обязательно сказать, что принятие решения находится не всегда в руках одного человека. Хотя надо признать, что это один из самых распространенных вариантов, а точнее множеств вариантов:
  • Бизнес-монархия. Право принятия решения лежит только на топ- или senior-менеджере.
  • ИТ-монархия. Право принятия решения лежит на CIO или ИТ-директоре, которому подчиняется служба ИБ.
  • СБ-монархия. Право принятия решения лежит на CSO. Я на заре своей карьеры работал именно в такой компании. Будучи сотрудником отдела АСУ отвечавшем за информационную безопасность, я бешал к руководителю СБ за деньгами на те или иные задачи. А все потому, что у него был вес в компании (по сути он был чуть ли не вторым человеком).
  • Феодализм. Право принятия решения лежит на руководителе бизнес-подразделения, в интересах которого осуществляется проект по ИБ. Достаточно редкая ситуация в российских компаниях, в которых бюджеты на уровень подразделение может и спускаются, но свободы в расходовании денег у руководителей среднего звена нет.
  • Анархия. Право принятия решения имеет инициатор проекта по ИБ. Еще более редкая ситуация, чем предыдущая.

Преимущество "монархического" подходо в том, что груз ответственность за слова "да" или "нет" лежат на одном человеке, а значит понять его интересы и потребности, составить карту эмпатии гораздо проще, чем для группового принятия решений.

С точки зрения группового принятия решения, то их можно выделить два:
  • Дуополия. Право принятия решения делится между двумя группами; одной из них обычно является ИТ или ИБ.
  • Федерация. Право принятия решения разделяется между топ- или senior-менеджментом и руководителями бизнес-подразделений, к числу которых могут быть отнесены и ИБшники/ИТшники.

Последний вариант, пожалуй, самый правильный, но и достаточно редкий. Он требует от безопасности умения донести до бизнеса суть выносимых на обсуждение проектов по безопасности. Причем на языке бизнеса, а не безопасности. От бизнеса же требуется желание вникать в вопросы ИБ и оценивать предлагаемые проекты не с точки зрения "лишь бы поскорей закончилось", а с точки зрения рисков и перспектив для оценщика.