Продавцы страха

Продавцы страха
Илья Медведовский | 24.02.2014
Один из основных вопросов, долго и неустанно терзающих умы безопасников, — как перед бизнесом обосновать расходы на ИБ? Копий тут сломано немало, поэтому я не стану повторяться и попытаюсь посмотреть на проблему под иным углом зрения. Но прежде давайте немного поговорим про общеизвестные вещи и вспомним азы.

Итак, первое, что не дает покоя профессионалам, — то, что безопасность всегда (или практически всегда, если быть совершенно точным) часть сугубо расходная. Напрямую она не дает бизнесу ничего. Здесь, в отличие от ИТ, невозможно сказать, что внедрение конкретной системы позволит оптимизировать бизнес-процессы настолько-то, и подсчитать эффективность внедрения. Положа руку на сердце, это и в ИТ сделать не всегда просто, а уж в ИБ и подавно. Вот и мы, безопасники, крутимся как можем, придумывая различные доводы, почему мы нужны, при этом зачастую выдвигая и совершенно бредовые аргументы, но эффективные в данной конкретной ситуации, а значит, работающие в одном случае и совершенно не работающие в другом. И главный парадокс тут в том, что даже в одной и той же компании, с одними и теми же лицами, «принимающими решение», одни и те же аргументы в разные моменты времени могут приводить к различным результатам. Я абсолютно убежден, и весь наш опыт это точно подтверждает, что здесь не бывает «серебрянной пули» и в каждом конкретном случае и даже в каждый конкретный момент времени аргументы могут быть свои. Даже, казалось бы, абсолютно железные аргументы в виде демонстрации видеозаписи реальной атаки на банк с переводом денег со счетов всех пользователей через найденные в процессе аудита уязвимости работают далеко не всегда.

Паутина страха

Одно совершенно точно, и не стоит строить иллюзий, стыдливо пряча глаза: любая индустрия любой безопасности всегда основана на страхе. Это аксиома. Нет врага, нет угроз, нет уязвимостей, нет рисков — нет продаж безопасности. Третьего тут не дано. 

Какими же традиционными методами безопасность пытается убедить бизнес выделить для себя бюджет? Здесь мы не будем говорить о случаях, когда необходим формальный, навязанный сверху комплаенс — вопрос обоснования бюджета в данном случае не стоит. Не будем вдаваться в подробности, а просто легкими штрихами наметим проблему, кратко выделив основное и ни в коем случае не претендуя на полноту или, не дай бог, глубину. 

Инциденты
Самый любимый и, как ни странно, самый сложно реализуемый на практике метод. Я постоянно слышу от коллег жалобы, что, дескать, ну не хватает у нас реальных инцидентов, не хватает. И это правда. Уязвимостей масса, а инцидентов мало. Парадокс? Отнюдь. Во-первых, огласке придаются сотые доли процентов реальных инцидентов — лишь тогда, когда масштаб произошедшего никак не позволяет его скрыть. Во-вторых, латентность преступлений в области ИБ такова, что вы можете годами не подозревать, что у вас в системе орудует целая преступная группа — и подобных историй масса. Поэтому в данном случае наличие или отсутствие реальных инцидентов не дает нам практически ничего и попытка обосновывать необходимость выделения бюджета, базируясь на этом параметре, далеко не всегда адекватна. Хотя, бывает, и срабатывает. 

Анализ рисков
Возможно, я для кого-то сейчас открою Самую Страшную Тайну всех безопасников: анализ рисков — это одно из главных шаманств в ИБ. Впрочем, на данную тему надо писать отдельную большую статью. Если кратко, то статистические методы, на которых великолепно работает анализ рисков, например, в автостраховании, совершенно неприменимы для ИБ. Мало того, что инцидентов нет или число их чересчур незначительно, так еще и ущерб толком подсчитать не может никто. И что, раз так, то вообще не заниматься безопасностью и оставить дверь открытой? Но бывает, финансисты, привыкшие к классическому риск-менеджменту, требуют выкладок с данными, и бедным безопасникам приходится брать в руки шаманский бубен и на основе экспертных оценок придумывать страшные цифры рисков. Но и это иногда работает... 

Процент от бюджета
Самый простой способ, который очень легко укладывается в чьей угодно голове, — сколько процентов от стоимости того, что ты хочешь защитить, логично потратить на обеспечение безопасности. В жизни мы с вами постоянно используем данный способ, страхуя машины, устанавливая сигнализации и т. д. Правда, применяем еще и анализ рисков (но без всякого шаманства), основываясь на простой житейской логике, и это нормально — ведь для максимального эффекта лучше применить комбинацию традиционных методов. Понимание того, что как ни крути, а безопасностью надо заниматься, плюс годы сопоставления бюджетов на ИТ и ИБ показывают, что на безопасность тратится от 1 до 10% бюджета ИТ. Поэтому данный порог иногда бывает полезен при грубой верхней оценке стоимости проекта по ИБ. 

Гениальные сейлы
Наивная вера в суперсейла и евангелиста в одном флаконе, который способен продать что угодно и кому угодно, резко, одним ловким ударом переломив любую негативную ситуацию и обосновав при этом любую сумму, как ни странно до сих пор существует даже в профессиональной среде. Надежда, что придет кто-то и разными хитрыми пассами, манипуляциями вперемешку с аргументами, НЛП и баней немедленно убедит руководство потратить деньги (в данном случае) на безопасность, очень прочно сидит в умах даже достаточно зрелых менеджеров. Наивная вера в супермена не дает человеку почувствовать себя стариком, и хорошо — верить нужно. Тем более что, правда, иногда и срабатывает, подкрепляя ореол веры. Особенно если не видеть случаев, когда это не сработало. 
img

Под другим углом

Хватит уже основ — давайте посмотрим на проблему обоснования бюджета под обещанным иным углом зрения, хотя кому-то и это может и должно показаться базовыми банальностями.

Безопасность по умолчанию  
Зададимся вопросом: какие продукты по ИБ покупают прежде всего и почему? Для начала обратимся к статистике и посмотрим, какие специализированные ИБ компании котируются на бирже, оставаясь при этом независимыми. Скажу сразу: их всего 13 (да, так мало!). Из них всего две имеют капитализацию более $10 млрд: Symantec ($15,3 млрд) и Check Point ($12 млрд). Еще восемь с капитализацией свыше $1 млрд, из них одна антивирусная Trend Micro ($4,7 млрд) и пять компаний, специализирующихся, как и Check Point, на сетевой безопасности. Какой вывод? А вывод прост: самые богатые ИБ-компании те, которые продают антивирусы и сетевую безопасность, — это неоспоримый факт. Почему? А потому что на самом деле сегодня безопасность воспринимается бизнесом прежде всего как некий базовый санитарный фактор. Как чистка зубов перед сном: ты не задумываешься, надо или нет, — ты просто чистишь. Так и эти два направления в безопасности стали базовыми — они почти не требуют обоснования, они нужны по умолчанию. Отсюда и термин, описывающий целый класс продуктов, — «безопасность по умолчанию». И если ты делаешь продукты или продаешь услуги, то чем ты ближе в понимании масс находишься к зоне by default — тем проще обосновывать на них бюджет. 

«Дайте мне точку опоры, и я переверну весь мир»
В продолжение тезиса о суперсейле, который может убедить кого угодно в чем угодно. Не может. Или может, но далеко не всегда. Ведь если по каким-то причинам человек не хочет чего-либо, он никогда это не купит, даже при наличии железных аргументов. Давайте рассмотрим гораздо более сложный и близкий лично мне случай вывода на рынок совершенного нового нишевого продукта или услуги. Здесь бесполезно пытаться продавать наскоком: вначале тебе предстоит долгий и тернистый путь преодоления, а затем и формирования общественного мнения и нового рынка. Зачастую нужно потратить годы, чтобы убедить рынок в актуальности продукта или услуги. Если взять за основу стандартные стадии примирения с неизбежным и попытаться спроецировать их на процесс вывода на рынок нового продукта/услуги, то мы получим такие этапы в прямой временной последовательности:
• Отрицание
• Раздражение
• Колебание 
• Принятие 

Каждая из этих стадий занимает определенное время, и пока они все не будут пройдены подавляющим большинством заказчиков — результата не будет даже у гениального сейла-супермена, которые бывают обычно, как это и присуще настоящим суперменам, только в комиксах.

***
В заключение я бы хотел еще раз подчеркнуть, что процесс обоснования бюджета на продукты или услуги по безопасности всегда является делом крайне непростым. Поэтому практика показывает, что наибольшего успеха достигают люди творческие, способные, с одной стороны, тонко чувствовать и постоянно адаптироваться под наш быстро меняющийся мир, а с другой — не боящиеся пытаться «выгибать» этот мир под себя. Не правда ли, в этом заключается один из главных человеческих парадоксов, который описывает многих успешных личностей: конформизм, замешанный на бунтарстве, довольно взрывоопасная смесь. 

Теги: безопасность, внешние угрозы

Журнал IT-Manager    [ PDF ]    [ Подписка на журнал ]

Об авторе


Илья Медведовский

Илья Медведовский

Более 20 лет занимается информационной безопасностью. Это давно уже перестало быть просто бизнесом, увлекательной работой. ИБ - хобби, любимое дело, миссия и мечта. В течение 12 лет руководит консалтинговой компанией Digital Security, которая на сегодняшний день является одним из лидеров российского рынка аудита ИБ. В 2010 году создал также дочернюю международную компанию ERPSсan, осуществляющую разработку средств мониторинга защищенности SAP. Автор около 200 статей по информационной безопасности, а также легендарной хакерской серии книг «Атака через Интернет», в которую также вошли «Атака на Интернет» и «Атака из Интернета». Спикер на ведущих российских конференциях по ИБ.


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru

Другие материалы рубрики

Отсутствие контроля ИБ-рисков мобильности современных устройств может приводить к выражающимся в потере дохода\прибыли бизнес-рискам.

Мероприятия


08.09.2016
Санкт-Петербургский клуб ИТ-директоров «SPb CIO Club» и компания Event House приглашает Вас принять участие во втором Форуме по промышленной автоматизации «Industrial IT-Forum»! Промышленная автоматизация на предприятии – важная область, которой уделяется повышенное внимание. Использование информационных технологий - один из немногих технологически и экономически выгодных способов повышения эффективности подготовки производства. На современных предприятиях автоматизируются по максимуму все возможные участки работ. Новый взгляд на проблемы и тенденции информационных технологий в области промышленной автоматизации будут рассмотрены на II Форуме по промышленной автоматизации «Industrial IT Forum»

14.09.2016
Компания IBM приглашает Вас принять участие в Инфраструктурном Форуме IBM. Опережайте пределы возможного. Дата и место проведения: 14 сентября 2016 г., г. Москва. Подробная информация о месте проведения мероприятия предоставляется при регистрации. Каждый год тема мероприятия диктуется актуальными задачами, стоящими перед бизнесом. В прошлом году мы говорили об инфраструктуре для цифрового бизнеса, в этом году мы призываем выйти за пределы цифрового бизнеса, опередить "статус кво" и расширить инфраструктурные границы до новой эры когнитивного бизнеса.