Прежде чем представить программу по обеспечению информационной безопасности финансовому директору и другим топ-менеджерам, неплохо узнать, что именно имеет для них значение.
Если вы собираетесь представить программу по обеспечению информационной безопасности финансовому директору и другим руководителям своей организации, будет неплохо узнать, что именно имеет для них значение.
На прошлой неделе финансовый директор нашей компании Боб Бинкаунтер вихрем ворвался ко мне в кабинет. «Мне нужно веское доказательство того, что ваши программы по обеспечению безопасности способствуют повышению продуктивности компании, ее конкурентоспособности и в конечном счете ее успеху в бизнесе», — сказал он без намека на объяснение причин своей бесцеремонности.
«Доказательство?» — спросил я, а затем повторил, будто на прослушивании на роль в какой-нибудь мыльной телеопере: «Доказательство? Хм. Тебе придется помочь мне в этом, Боб. Как ты оцениваешь стоимость негодного сотрудника?»
Пришлось напомнить ему о том, как за прошедшие несколько лет мы отказались от сотен людей, пришедших устраиваться на работу, на основании той информации, которая стала нам известной в результате углубленного анализа их анкетных данных; каждая такая проверка обошлась нам примерно в 125 долл.
«Как ты думаешь, сколько бы мы потеряли, если бы наняли дюжину-другую таких работников?» — спросил я.
«Ну, я...», — запнулся он. Но пути назад у меня уже не было.
«Ха! Мы можем продемонстрировать, что наши меры безопасности способствуют росту стоимости акций благодаря меньшим потерям при объемах продаж, сравнимых с конкурентами. И между прочим, у нас число сотрудников службы безопасности на одного служащего компании меньше, чем у кого-либо из наших конкурентов, — добавил я и продолжил: Напомню, что мы гораздо раньше, чем другие, вернулись в нормальный рабочий режим после терактов 11 сентября, так как у нас были адекватно спланированные и проверенные планы по возобновлению бизнеса».
Я не стал говорить о том, что благодаря нашим превентивным мероприятиям в компании не было ни минуты простоя из-за регулярно нас атакующих все более злокозненных вирусов и червей. Помогло ли это росту производительности и практическому результату?
Зато я поинтересовался, задавался ли Боб в последнее время проблемами управления рисками. «Страховые взносы компании были существенно сокращены после того, как страховщики как следует проанализировали наши меры безопасности», — сказал я ему.
«Компания намерена нанять работников для телефонных продаж. Между тем мы обнаружили огромные бреши в программах, которые они будут использовать. Можешь помочь мне подсчитать затраты, которые мы бы понесли, если бы были утеряны номера кредитных карточек наших покупателей или иная конфиденциальная информация?»
В заключение я позволил себе предположить, что миссис Джеймсон, возможно, одобрит расходы, которые наша компания несет на свою безопасность. Ведь именно сотрудник службы безопасности спас жизнь ее мужу несколько недель назад, квалифицированно оказав ему экстренную помощь, когда у него случился сердечный приступ. Неотложке потребовалось полчаса, чтобы добраться до нашего офиса, а нашим ребятам — три.
Да, мистер Бинкаунтер, думаю, что мы вносим свой вклад в повышение производительности нашей организации. Но мы делаем и сверх того. В конечном счете наша задача — помочь компании вести свой бизнес в опасном мире. Может быть, это не отражается в бухгалтерском балансе, но я готов поспорить, что практический результат был бы намного хуже, если бы мы не делали то, чем мы здесь занимаемся.
Широко открытые глаза
Мне бы очень хотелось иметь козырь в любом споре, в котором обсуждается, как служба безопасности компании могла бы продемонстрировать топ-менеджменту, что служба эта — намного больше, чем просто еще один центр затрат.
Все, что вам нужно сделать, — это оглянуться на прошедшее десятилетие, чтобы увидеть, что безопасность является ключевым элементом основных бизнес-процессов. Начните с международной — а теперь и внутренней — угрозы терроризма. Или поразмыслите о краже интеллектуальной собственности или о намеренном вредительстве на производстве. А как насчет внутренних должностных преступлений, криминальной активности, ежедневной сводки киберпреступлений? Какую бы сферу деятельности вы ни взяли, вы обнаружите самую убедительную статистику.
Мне приходилось работать с руководителями, которые без моих настойчивых убеждений просто не видели действительной ценности службы безопасности. Они думали, что любая деятельность, которая не может продемонстрировать результаты прямого содействия потоку доходов и размеру прибыли, висит мертвым грузом на шее компании. Они никогда не трудились понять нашу миссию.
Со всей ответственностью я заявляю: службы безопасности предлагают новые возможности. Мы предоставляем услуги, позволяющие предприятию встречать опасности бизнеса с широко открытыми глазами. Их ценность — в управлении рисками. Если вы хотите владеть зданиями, удобными для бизнеса, то лучше иметь хорошие системы жизнеобеспечения, поддержанные высокими технологиями. Если вы хотите заняться электронной коммерцией, вам лучше предложить покупателям надежный способ иметь с вами дело. Если вы управляете деньгами других людей, вам лучше иметь тщательный контроль над их неприкосновенностью. Если вы хотите наладить бизнес за границей, то и тут вам лучше держать проблему безопасности на повестке дня.
С 90-ми годами пришли уголовные иски против корпораций, Internet-доступ, потребность в безопасной электронной коммерции. Новое тысячелетие принесло нам реальность терроризма, сибирской язвы, атипичной пневмонии и высокие требования к адекватности внутреннего контроля и этических стандартов. За этот короткий период не только концепция «корпоративной безопасности», но репутация, навыки и компетентность тех, кто поставляет широкий ассортимент услуг защиты бизнеса, резко возросли, достигнув кульминации. Сегодня мы ведем речь о директорах служб безопасности, так как сущность угрозы, уязвимость и риск в бизнесе расширяются, и руководство компании хочет иметь единую и всеобъемлющую стратегию защиты.
Всепокрывающая безопасность
Итак — с такой эволюцией роли корпоративной безопасности и, по-видимому, с общепризнанной потребностью в руководителе системы безопасности предприятия — почему мы, эти самые руководители, продолжаем беспокоиться из-за прибыли, которую не можем положить на стол?
Я думаю, мы проделали ничтожно мало, чтобы бизнес-лидеры осознали центральную роль управления полномасштабной безопасностью. Я не стал бы колебаться, чтобы занести бухгалтерские фирмы, вне зависимости от их известности, и так называемых консультантов, которые обслуживают топ-менеджмент компаний и бизнес-школы, в черный список — они тоже упускают эту тему. И я не стал бы критиковать тех, кто запускает программу полномасштабной безопасности — если она исполняет все функции и ориентирована на то, чтобы экономически эффективно способствовать защите предприятия.
Я знаю, что безопасность сложно «продать» не только потому, что она увеличивает затраты, но и потому, что наши «клиенты» воспринимают наши инициативы как дополнительное неудобство или как меры, обременяющее выполнение бизнес-процессов. Но мы все знаем, что за последние несколько десятилетий правила поменялись, и старый добрый Бобби Бинкаунтер также это знает. Не забывайте, что финансовые директора — ключевые фигуры в управлении рисками, и они знают, что мы сейчас живем в мире, где риск на особом месте.
Все предприятия различны, история безопасности также разнообразна. Директорам службы безопасности приходится искать ту приманку, которая сработает именно в их уникальной корпоративной культуре. Она должна соответствовать тому, на чем сосредоточена наша продукция. Сложная техническая среда? Необходимость в тщательных мерах безопасности и сокращении штатов. Деньги других людей? Доверие и честность. У всех нас есть история, которая соответствует профилю риска и культуры нашей компании. То, в чем некоторые из нас не преуспели, — это набор рассказов для разнородной аудитории. Есть приманки для Бинкаунтера, которые привлекут его внимание, и есть для аудиторов, для генерального директора, для директора информационной службы и т. д. Если вы посидите с ними за одним столом, то будете знать, какие приманки работают для каждого из них и как подать свою историю.
Думаю, добавленная стоимость — это проблема, у которой много граней. Как я упомянул в разговоре с финансовым директором, мы можем показать, как наши усилия позволяют избегать явного риска. Сегодня можно продемонстрировать большим количеством способов, как мы способствуем конкурентоспособности нашей компании. Я, конечно, не убедил мистера Бинкаунтера до его непосредственного визита. Моя ошибка. Как-никак, он занимается управлением издержками! Если ваша служба хорошо справляется со своей работой, у вас накоплено большое количество данных, регистрационные журналы, предложения по уменьшению последствий рисков. Афишируйте успехи. Подумайте о стендах на стройплощадке, говорящих: «254 дня без несчастных случаев!» Какие «вывески» могли бы быть у каждой из ваших инициатив? На своих периодических встречах с топ-менеджерами имейте наготове немного статистики и историю или две, соответствующие интересам руководителя. Это сработает.
Каждый видит ценность той или иной вещи по-своему. Бизнесу всегда тяжело понять и осознать наши продукты. Знайте своего «клиента» и откройте ему глаза, предъявив факты.
Ву Anonymous. Value Proposition. CSO, August 2003.