Продавцы страха
Автор
Илья Медведовский
Нет врага, нет угроз, нет уязвимостей, нет рисков — нет продаж безопасности
Один из основных вопросов, долго и неустанно терзающих умы безопасников, — как перед бизнесом обосновать расходы на ИБ? Копий тут сломано немало, поэтому я не стану повторяться и попытаюсь посмотреть на проблему под иным углом зрения. Но прежде давайте немного поговорим про общеизвестные вещи и вспомним азы.
Итак, первое, что не дает покоя профессионалам, — то, что безопасность всегда (или практически всегда, если быть совершенно точным) часть сугубо расходная. Напрямую она не дает бизнесу ничего. Здесь, в отличие от ИТ, невозможно сказать, что внедрение конкретной системы позволит оптимизировать бизнес-процессы настолько-то, и подсчитать эффективность внедрения. Положа руку на сердце, это и в ИТ сделать не всегда просто, а уж в ИБ и подавно. Вот и мы, безопасники, крутимся как можем, придумывая различные доводы, почему мы нужны, при этом зачастую выдвигая и совершенно бредовые аргументы, но эффективные в данной конкретной ситуации, а значит, работающие в одном случае и совершенно не работающие в другом. И главный парадокс тут в том, что даже в одной и той же компании, с одними и теми же лицами, «принимающими решение», одни и те же аргументы в разные моменты времени могут приводить к различным результатам. Я абсолютно убежден, и весь наш опыт это точно подтверждает, что здесь не бывает «серебрянной пули» и в каждом конкретном случае и даже в каждый конкретный момент времени аргументы могут быть свои. Даже, казалось бы, абсолютно железные аргументы в виде демонстрации видеозаписи реальной атаки на банк с переводом денег со счетов всех пользователей через найденные в процессе аудита уязвимости работают далеко не всегда.
Паутина страха
Одно совершенно точно, и не стоит строить иллюзий, стыдливо пряча глаза: любая индустрия любой безопасности всегда основана на страхе. Это аксиома. Нет врага, нет угроз, нет уязвимостей, нет рисков — нет продаж безопасности. Третьего тут не дано.
Какими же традиционными методами безопасность пытается убедить бизнес выделить для себя бюджет? Здесь мы не будем говорить о случаях, когда необходим формальный, навязанный сверху комплаенс — вопрос обоснования бюджета в данном случае не стоит. Не будем вдаваться в подробности, а просто легкими штрихами наметим проблему, кратко выделив основное и ни в коем случае не претендуя на полноту или, не дай бог, глубину.
Инциденты
Самый любимый и, как ни странно, самый сложно реализуемый на практике метод. Я постоянно слышу от коллег жалобы, что, дескать, ну не хватает у нас реальных инцидентов, не хватает. И это правда. Уязвимостей масса, а инцидентов мало. Парадокс? Отнюдь. Во-первых, огласке придаются сотые доли процентов реальных инцидентов — лишь тогда, когда масштаб произошедшего никак не позволяет его скрыть. Во-вторых, латентность преступлений в области ИБ такова, что вы можете годами не подозревать, что у вас в системе орудует целая преступная группа — и подобных историй масса. Поэтому в данном случае наличие или отсутствие реальных инцидентов не дает нам практически ничего и попытка обосновывать необходимость выделения бюджета, базируясь на этом параметре, далеко не всегда адекватна. Хотя, бывает, и срабатывает.
Анализ рисков
Возможно, я для кого-то сейчас открою Самую Страшную Тайну всех безопасников: анализ рисков — это одно из главных шаманств в ИБ. Впрочем, на данную тему надо писать отдельную большую статью. Если кратко, то статистические методы, на которых великолепно работает анализ рисков, например, в автостраховании, совершенно неприменимы для ИБ. Мало того, что инцидентов нет или число их чересчур незначительно, так еще и ущерб толком подсчитать не может никто. И что, раз так, то вообще не заниматься безопасностью и оставить дверь открытой? Но бывает, финансисты, привыкшие к классическому риск-менеджменту, требуют выкладок с данными, и бедным безопасникам приходится брать в руки шаманский бубен и на основе экспертных оценок придумывать страшные цифры рисков. Но и это иногда работает...
Процент от бюджета
Самый простой способ, который очень легко укладывается в чьей угодно голове, — сколько процентов от стоимости того, что ты хочешь защитить, логично потратить на обеспечение безопасности. В жизни мы с вами постоянно используем данный способ, страхуя машины, устанавливая сигнализации и т. д. Правда, применяем еще и анализ рисков (но без всякого шаманства), основываясь на простой житейской логике, и это нормально — ведь для максимального эффекта лучше применить комбинацию традиционных методов. Понимание того, что как ни крути, а безопасностью надо заниматься, плюс годы сопоставления бюджетов на ИТ и ИБ показывают, что на безопасность тратится от 1 до 10% бюджета ИТ. Поэтому данный порог иногда бывает полезен при грубой верхней оценке стоимости проекта по ИБ.
Гениальные сейлы
Наивная вера в суперсейла и евангелиста в одном флаконе, который способен продать что угодно и кому угодно, резко, одним ловким ударом переломив любую негативную ситуацию и обосновав при этом любую сумму, как ни странно до сих пор существует даже в профессиональной среде. Надежда, что придет кто-то и разными хитрыми пассами, манипуляциями вперемешку с аргументами, НЛП и баней немедленно убедит руководство потратить деньги (в данном случае) на безопасность, очень прочно сидит в умах даже достаточно зрелых менеджеров. Наивная вера в супермена не дает человеку почувствовать себя стариком, и хорошо — верить нужно. Тем более что, правда, иногда и срабатывает, подкрепляя ореол веры. Особенно если не видеть случаев, когда это не сработало.
Под другим углом
Хватит уже основ — давайте посмотрим на проблему обоснования бюджета под обещанным иным углом зрения, хотя кому-то и это может и должно показаться базовыми банальностями.
Безопасность по умолчанию
Зададимся вопросом: какие продукты по ИБ покупают прежде всего и почему? Для начала обратимся к статистике и посмотрим, какие специализированные ИБ компании котируются на бирже, оставаясь при этом независимыми. Скажу сразу: их всего 13 (да, так мало!). Из них всего две имеют капитализацию более $10 млрд: Symantec ($15,3 млрд) и Check Point ($12 млрд). Еще восемь с капитализацией свыше $1 млрд, из них одна антивирусная Trend Micro ($4,7 млрд) и пять компаний, специализирующихся, как и Check Point, на сетевой безопасности. Какой вывод? А вывод прост: самые богатые ИБ-компании те, которые продают антивирусы и сетевую безопасность, — это неоспоримый факт. Почему? А потому что на самом деле сегодня безопасность воспринимается бизнесом прежде всего как некий базовый санитарный фактор. Как чистка зубов перед сном: ты не задумываешься, надо или нет, — ты просто чистишь. Так и эти два направления в безопасности стали базовыми — они почти не требуют обоснования, они нужны по умолчанию. Отсюда и термин, описывающий целый класс продуктов, — «безопасность по умолчанию». И если ты делаешь продукты или продаешь услуги, то чем ты ближе в понимании масс находишься к зоне by default — тем проще обосновывать на них бюджет.
«Дайте мне точку опоры, и я переверну весь мир»
В продолжение тезиса о суперсейле, который может убедить кого угодно в чем угодно. Не может. Или может, но далеко не всегда. Ведь если по каким-то причинам человек не хочет чего-либо, он никогда это не купит, даже при наличии железных аргументов. Давайте рассмотрим гораздо более сложный и близкий лично мне случай вывода на рынок совершенного нового нишевого продукта или услуги. Здесь бесполезно пытаться продавать наскоком: вначале тебе предстоит долгий и тернистый путь преодоления, а затем и формирования общественного мнения и нового рынка. Зачастую нужно потратить годы, чтобы убедить рынок в актуальности продукта или услуги. Если взять за основу стандартные стадии примирения с неизбежным и попытаться спроецировать их на процесс вывода на рынок нового продукта/услуги, то мы получим такие этапы в прямой временной последовательности:
• Отрицание
• Раздражение
• Колебание
• Принятие
Каждая из этих стадий занимает определенное время, и пока они все не будут пройдены подавляющим большинством заказчиков — результата не будет даже у гениального сейла-супермена, которые бывают обычно, как это и присуще настоящим суперменам, только в комиксах.
***
В заключение я бы хотел еще раз подчеркнуть, что процесс обоснования бюджета на продукты или услуги по безопасности всегда является делом крайне непростым. Поэтому практика показывает, что наибольшего успеха достигают люди творческие, способные, с одной стороны, тонко чувствовать и постоянно адаптироваться под наш быстро меняющийся мир, а с другой — не боящиеся пытаться «выгибать» этот мир под себя. Не правда ли, в этом заключается один из главных человеческих парадоксов, который описывает многих успешных личностей: конформизм, замешанный на бунтарстве, довольно взрывоопасная смесь.
Опубликовано 24.02.2014
Похожие статьи