Ну продолжим тогда тему ;-) Итак все сходятся во мнении, что красиво выйти на уровень топ-менеджеров и "продать" им идею ИБ, как бизнес-процесса, не получится. Иными словами, как говорят специалисты по развитию бизнеса, бизнес-модель с ориентацией на организацию дала сбой. То ли бизнес не дорос, то ли CISO. Допустим первое (хотя я бы предположил второе). Какие у нас еще есть варианты, коль скоро мы получили доступ к телу босса? Ориентироваться на потребителя, в качестве которого выступает начальник. Ведь он обычный человек, у которого есть "болевые" точки, на которые можно (а иногда и нужно) нажать, чтобы достичь поставленных целей.
В бизнес-моделировании есть такая штука под названием карта эмпатии. Ее разработали в XPLANE. С помощью этого инструмента можно понять вашего визави. В обычном бизнесе карту эмпатии используют для составления портрета потребителя, а в области ИБ ее можно применить для того, чтобы понять, как достучаться на топ-менеджера.
Итак, карта эмпатии включает 6 вопросов, на которые надо ответить:
Вопросы на эти ответы позволяют понять тот язык, на котором говорить с начальством. И давить уже можно будет не на потребности организации, а на потребности конкретного человека, который может захотеть засветиться перед начальством, получить бонус, показать свою крутость, прослыть инноватором и т.д.
ЗЫ. Правда, это тоже непросто. Это уже вопросы психологии и социологии, которым, во-первых, безопасников нигде не учат. А во-вторых, на это нужно время, которым обычно безопасники не обладают, латая дыры в системе ИБ.
В бизнес-моделировании есть такая штука под названием карта эмпатии. Ее разработали в XPLANE. С помощью этого инструмента можно понять вашего визави. В обычном бизнесе карту эмпатии используют для составления портрета потребителя, а в области ИБ ее можно применить для того, чтобы понять, как достучаться на топ-менеджера.
Итак, карта эмпатии включает 6 вопросов, на которые надо ответить:
- Что он (она) видит?
- На что похоже его (ее) среда?
- Кто его (ее) окружает?
- С кем он (она) дружит?
- С чем сталкивается в повседневной жизни?
- С какими проблемами встречается?
- Что он (она) слышит?
- Что говорят его (ее) друзья/подруги?
- Кто и как реально воздействует на него (нее)?
- Какие медиаканалы имеют на него (нее) влияние?
- Что он (она) на самом деле думает и чувствует?
- Что для него (нее) действительно важно?
- Что его (ее) трогает?
- Его (ее) мечты и стремления?
- Что он (она) говорит и делает?
- Как он (она) себя держит?
- О чем он (она) может рассказать окружающим?
- Что его (ее) тревожит?
- Каковы его (ее) самые большие разочарования?
- Какие препятствия стоят между ним (ею) и его (ее) желаниями и стремлениями?
- Что его (она) может бояться в жизни?
- К чему он (она) стремится?
- Чего он (она) действительно хочет достичь?
- Что является для него (нее) мерилом успеха?
- Какие стратегии он (она) мог бы использовать для достижения своих целей?
Вопросы на эти ответы позволяют понять тот язык, на котором говорить с начальством. И давить уже можно будет не на потребности организации, а на потребности конкретного человека, который может захотеть засветиться перед начальством, получить бонус, показать свою крутость, прослыть инноватором и т.д.
ЗЫ. Правда, это тоже непросто. Это уже вопросы психологии и социологии, которым, во-первых, безопасников нигде не учат. А во-вторых, на это нужно время, которым обычно безопасники не обладают, латая дыры в системе ИБ.
Алексей, не согласен, что нигде не учат - в академии ФСБ учат, и результат, кстати, действительно положительный. Интересно было бы посмотреть карту эмпатии Cisco по России))). Как на эти вопросы ответила Cisco? хотя бы примерно.
ОтветитьУдалитьНа самом деле, видимо, так и происходит: встретились бизнесмены и зашел разговор про тоже DLP и выяснилось, что у одного есть, а у другого нет - безопасник, скорее всего получит DLP))) а супер отчёт с обнаруженными угрозами явно произведет меньшее впечатление на босса. Но чтобы босс задал вопрос другому боссу его уровня, сначала должен быть супер отчет с рисками от своего безопасника, иначе у них просто не зайдет речь о DLP)))
> Это уже вопросы психологии и социологии, которым, во-первых, безопасников нигде не учат.
ОтветитьУдалитьТы разгадал-таки третий вариант :)
Карты эмпатии Cisco по России нет ;-) Она же для каждого человека/группы людей своя. По России - это средняя температура по больнице.
ОтветитьУдалитьТам вообще еще 8 вариантов к первоначально озвученным двум ;-)
>>А во-вторых, на это нужно время, которым обычно безопасники не обладают, латая дыры в системе ИБ.
ОтветитьУдалить- У нас дыра в безопасности!!!
- Уф... хорошо, что хоть что-то в безопасности!
Если CISO не дорос, то карта ему не поможет.
ОтветитьУдалитьПринцип KYC (know you customer) можно реализовывать по-разному, и это хороший опросник, но, как ты верно заметил, правильно его интерпретировать - это из другой области.