Внутренний маркетинг службы ИБ

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Внутренний маркетинг ИБ Алексей Лукацкий Бизнес-консультант по безопасности 6 November 2014


Когда с безопасностью все хорошо §  Когда с безопасностью все хорошо, то часто можно слышать такие вопросы со стороны руководства или других подразделений

«Что вы сделали для меня в последнее время?» «У нас давно не было атак. Зачем вы нам нужны?»

§ Отсутствие видимых проблем – это тоже проблема!

§ Наградой за эффективную и высококачественную, но незаметную работу будет отрицательная оценка


Хорошее входит в привычку § Часто ли вы

Звоните оператору связи и благодарите его за отличную связь? Звоните в ЖЭК и говорите «спасибо» за то, что у вас в квартире есть тепло и свет?

§  Как часто вас благодарят за то, что вы снизили издержки или даже помогли достичь ключевого требования бизнеса? Кроме однократной, если повезет, выдачи премии

§  Клиенты привыкают к хорошо оказываемым услугам Они не понимают всех сложностей и усилий Это приводит к некорректным или нежелательным последствиям


Вам нужен маркетинг! Внутренний маркетинг!

§  Когда все плохо он вам тоже нужен!


О чем мы не будем говорить сегодня?! § Об измерении эффективности ИБ

Посмотрите запись вебинара про измерение эффективности ИБ на сайте RISC

§ О компетенции сотрудников служб ИБ

§ Об обосновании выделения денег на ИБ

§ О том, 90 тысяч рублей для CISO, это много или мало

Это все имеет очень опосредованное отношение к маркетингу, хотя и важно само по себе как часть

процесса обеспечения ИБ на предприятии


6 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.

Маркетинг — вид человеческой деятельности, направленной на удовлетворение нужд и потребностей посредством обмена Филипп Котлер, «Основы маркетинга»


Маркетинг и ИБ прочно связаны: восприятие инноваций

§ В маркетинге есть модель, называемая кривой Роджерса или кривой восприятия инноваций

§ Любая инновация воспринимается не сразу, а постепенно

§ Сначала ее начинают применять новаторы, потом ранние последователи, а уже за ними раннее и позднее большинство


Пример применения кривой Роджерса в ИБ

§ Посмотрите на кривую Роджерса с точки зрения внедрения в организации BYOD и BYOT Облачных вычислений Совмещения личного и рабочего пространств (приложений, устройств, задач…) Новые поставщики услуг – Google.Docs, Dropbox, Apple iCloud, Facebook

§ Маркетинг подсказывает, что с этими инновациями придется считаться; рано или поздно

§ Вы готовы к их защите или рискам ИБ от них?


Все это маркетинг ИБ


Кстати, это тоже маркетинг ИБ! Но не внутренний!



Мы будем говорить о внутреннем маркетинге ИБ! Но сначала определимся с терминами!


Что такое информационная безопасность? § Очень многое в деятельности служб/специалистов ИБ зависит от определения этого термина

§ ИБ – это не универсальное, не стандартное понятие

§ Оно персонифицировано в каждой конкретной ситуации, для каждой конкретной организации, для каждого конкретного CISO В одной и той же компании, разные CISO могут по-разному заниматься ИБ В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных направлениях

§ ИБ – это понятие, зависящее от множества факторов/элементов


Термин «безопасность» § Безопасность – отсутствие опасности

В.Даль

§ Безопасность – состояние, при котором не угрожает опасность С.Ожегов

§ Безопасность – состояние защищенности жизненно важных интересов личности, общества и государства от внутренних и внешних угроз ФЗ «О безопасности»


Термин «безопасность» § Безопасность информации - деятельность, направленная на предотвращение или существенное затруднение несанкционированного доступа к информации (или воздействия на информацию) ФСТЭК

§ ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность А как же борьбы со спамом? Или шантаж DDoS?

§ Безопасность - состояние защищенности объекта от внешних и внутренних угроз


Термин «безопасность» § Безопасность – системное свойство, позволяющее развиваться и процветать в условиях конфликтов, неопределенности и рисков на основе самоорганизации и управления

§ Безопасность – деятельность людей, общества, государства по выявлению, предупреждению, ослаблению, устранению и отражению опасностей и угроз, способных погубить их, лишить ценностей, нанести неприемлемый ущерб, закрыть путь для выживания и развития

§ Информационная безопасность - динамическое состояние сохранения жизненно важных параметров предприятия в информационной сфере


Как я понимаю ИБ?! § Информационная безопасность - состояние защищенности интересов стейкхолдеров предприятия в информационной сфере, определяющихся совокупностью сбалансированных интересов личности, общества, государства и бизнеса

§ Очень емкое и многоуровневое определение

§ Может без изменения применяться в ЛЮБОЙ организации Меняться будет только наполнение ее ключевых элементов – стейкхолдеры (заинтересованные лица), информационная сфера, интересы


Стейкхолдеры или в чьих интересах мы занимаемся ИБ •  ИТ •  ИБ • Юристы •  Служба внутреннего контроля •  HR •  Бизнес-подразделения •  Руководство •  Пользователи

Внутри предприятия

•  Акционеры •  Клиенты •  Партнеры •  Аудиторы

Снаружи предприятия

• ФСТЭК • ФСБ • Роскомнадзор • СВР • МО • Банк России

Регуляторы


Информационная сфера § Информационная сфера - это совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение и использование информации, а также системы регулирования возникающих при этом отношений

§ В данном определении информационная инфраструктура включает в себя также и технологии обработки информации


Интересы стейкхолдеров § Универсального списка интересов не существует – у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны

ИБ

•  Конфиденциальность •  Целостность •  Доступность

Юристы

•  Соответствие •  Защита от преследования •  Новые законы


•  Соответствие

Пользователи

•  Тайна переписки •  Бесперебойный Интернет •  Комфорт работы

Акционеры

•  Рост стоимости акций •  Контроль топ-менеджмента •  Прозрачность

ИТ

•  Доступность сервисов •  Интеграция •  Снижение CapEx


Интересы бизнеса § Рост (доли рынка, маржинальности, доходности…)

§ Экспансия (новые рынки, новые целевые аудитории)

§ Рост продуктивности сотрудников

§ Соответствие требованиям

§ Инновации и новые бизнес-практики

§ Реинжиниринг бизнес-процессов § Взаимоотношения с клиентами (лояльность)

§ …



Из чего состоит маркетинг?


Ключевые понятия маркетинга § Нужда

§ Потребность § Спрос § Товар (продукт)

§ Обмен

§ Рынок § Сегмент рынка

§ Поставщики

§ Потребители

§ Посредники

§  Конкуренты

§ Ассортимент § Бренд

§  Конкурентные преимущества

В области ИБ каждое понятие имеет свой аналог!



Я точно знаю, что половина моего рекламного бюджета тратится впустую, но не знаю какая Генри Форд


Серебряной пули нет § Не существует единого и общепризнанного метода / алгоритма обеспечения внутреннего маркетинга ИБ

§ Многие службы / специалисты ИБ до сих пор относятся к маркетингу пренебрежительно и не используют его в своей деятельности Мы не любим тех, кто нам «впаривает» что-то

§ Негативное или «никакое» отношение к ИБ только усиливается Независимо от качества обеспечения ИБ на предприятии

§ Необходимо использовать разные подходы и методики


Внутренний маркетинг ИБ § Информационная безопасность – одна из важных задач любого предприятия

И при этом одна их малопонятных, «нерыночных» и нерекламируемых

§ Маркетинг ИБ нужен не только производителям или поставщикам – он нужен и внутри компании Действуйте как сервисная организация – рекламируйте себя Хороший маркетинг и коммуникации могут компенсировать отсутствие синхронизации ИБ с бизнесом

§ Много хороших вещей остается в тени из-за того, что недостаточно отражены в сознании клиента Распространенная практика «незаметной» работы ИБ, а также игнорирование клиентов («чтобы не мешали спокойно работать») обезличивает службу безопасности

§ Предоставляемые услуги могут быть качественными и технически совершенными, но если маркетинг считается непозволительной роскошью, то последствия такого подхода будут негативными


Что же такое внутренний маркетинг ИБ?! § Внутренний маркетинг ИБ необходим

Несмотря на недостаток финансирования и сложности общения с руководством Необходимо демонстрировать ценность ИБ Не надо бояться рекламировать себя

§ Внутренний маркетинг ИБ – это искусство добиваться такого восприятия ИБ клиентом, при котором у него формируются приемлемые ожидания к деятельности поставщика услуг ИБ и отношения клиента и ИБ были взаимовыгодными Служба ИБ – это поставщик услуг, но внутренний Бизнес-подразделения или топ-менеджмент – это клиенты (потребители) ИБ, но внутренние


От чего зависит успех внутреннего маркетинга ИБ? § Регулярность информирования

Хорошее и… плохое

§ Правильные коммуникации Каждая целевая аудитория имеет свои особенности и свой ключ

§ Доверие к ИБ со стороны потребителей В службе ИБ должен быть менеджер по взаимоотношениям с клиентами (Business Relationship Manager, BRM)

§ Заимствование методов традиционного маркетинга

§ Наличие плана. Маркетингового плана


Маркетинговый план § Что продвигаем?

Описание услуг ИБ и достигаемых бизнес-целей

§ Анализ текущей ситуации Анализ ситуации с ИБ в компании, краткий анализ службы ИБ, перечисление задач, при решении которых ИБ может обеспечить конкретные выгоды

§ Анализ потребителей

§  Конкурентный анализ Оценка ключевых и неключевых видов деятельности Подведение к мысли об аутсорсинге неключевых процессов


Маркетинговый план § Партнеры

Те, кто остро нуждаются и поддерживают ИБ

§ Сегментация «рынка»

§ Альтернативные стратегии Отказ от некоторых услуг, переориентирование других

§ Выбранная стратегия

§ Результат и последствия Эффект от стратегии, долгосрочные результаты, действия для их достижения (доходы, расходы…)

§ Выводы


На внутренний маркетинг ИБ не всегда нужно много денег



Какие у нас потребности ИБ?


Потребности человека

§ В 1943-м году философ Абрахам Маслоу опубликовал модель потребностей человека Основные физиологические потребности (еда, сон, тепло, секс) Безопасность (жилье, постоянная работа, здоровье, защищенность от опасностей) Отношения (друзья, партнеры, любовь) Признание (статус, власть, деньги) Самореализация


Применение пирамиды Маслоу в ИБ

§ Не достигнув нижнего уровня потребностей, человек не переходит на следующий Зачем мне безопасность, если я голоден?

§ Знание потребностей позволяет понять и использовать мотивацию человека Зачем мне думать об информационной безопасности, если я под страхом увольнения? Если ты нарушишь политику ИБ, мы расскажем об этом всем коллегам и вывесим на «доску почета»… Помоги нам с проектом по ИБ и тебя наградят


‘Я не могу представить свою жизнь без…’ Мобильника

97%

Интернет

84%

Автомобиля

64%

Партнера

43%

§ С течением времени важной будет не только традиционная безопасность (здоровье, стабильность, жилье…), но и информационная


Интересы стейкхолдеров = потребности § Универсального списка интересов не существует – у каждого предприятия на каждом этапе его развития в различном окружении при различных руководителях интересы различны

ИБ

•  Конфиденциальность •  Целостность •  Доступность

Юристы

•  Соответствие •  Защита от преследования •  Новые законы


•  Соответствие

Пользователи

•  Тайна переписки •  Бесперебойный Интернет •  Комфорт работы

Акционеры

•  Рост стоимости акций •  Контроль топ-менеджмента •  Прозрачность

ИТ

•  Доступность сервисов •  Интеграция •  Снижение CapEx



Кто потребители ИБ?


ИБ интересна каждому в организации

?

SALARIES


…но у каждого свой взгляд на ИБ § Учитывайте потребности каждой целевой аудитории

§ Знайте свою целевую аудиторию Руководство компании ИТ-персонал и ИБ-персонал Внутренние клиенты и внешние заказчики Аудиторы и проверяющие



Какой продукт мы «продаем»?


Одни только приказы и запреты не работают!


Что мы предлагаем потребителям? § Защита личных данных пользователей

§ Защищенный доступ в Интернет

§ Сохранность денежных средств в Интернет-банках

§ Тайна переписки

§ Защита от наказания / преследования

§ Новые знания


Что мы хотим получить взамен? § Доверие и уважение к нам!

§ Доверие к нашим советам!



Кто конкуренты и партнеры?


Конкуренты ИБ


Кто ваши конкуренты в ИБ? § Другие бизнес-подразделения?

§ Служба ИТ?

§ Аутсорсинговые компании?


Кто ваши партнеры в ИБ? § Другие бизнес-подразделения?

Юристы HR Внутренний аудит / контроль …

§ Служба ИТ?

§ Аудиторы и проверяющие?

§ Регуляторы?

§ Рядовые пользователи?



Коммуникации в компании


Проблема коммуникаций § Основная проблема – коммуникативный разрыв между службой ИБ и всем остальным миром

§ Большое количество стереотипов про ИБ Они являются помехой на пути к успеху Говорят на птичьем языке Они живут в изолированном мире Они сосредоточены на деталях и не могут окинуть бизнес общим взглядом У них слишком развито чувство превосходства Они не заинтересованы в масштабных проектах


Что думает ИБ о себе? § Специалисты по ИБ также часто находятся в плену стереотипов в отношении себя Непонятые гении Люди второго сорта Жертвы обстоятельств Перегружены работой, их не ценят, им недоплачивают Их нельзя винить в сбое «железа» и софта или потому что сеть «медленно работает»


Почему проблема существует? § Большинство людей измеряет ИБ «своим аршином» и «с высоты своей колокольни»

§ ИБ сильно отличается от того, к чему привык бизнес Сосредоточенность на деталях Скорость изменения технологий не всегда оставляет времени, чтобы остановиться и посмотреть на картину в целом ИБ находится в стадии становления Многие стандартные практики не получили должного развития


Что надо делать? § Необходимо ломать сложившиеся стереотипы

§ Без этого проблемы и недоверие с обоих сторон будут только накапливаться

§ Надо внедрять в компании коммуникативную практику в отношении ИБ Это тоже продукт! Ее тоже надо внедрять повсеместно!


Как сломать стереотипы § Лидерство на основе личного примера

Начните с себя

§ Знайте свою аудиторию Руководство компании ИТ-персонал и ИБ-персонал Внутренние клиенты и внешние заказчики

§ Научите подчиненных коммуникативной практике С потребителями общаетесь не только вы, но и ваши подчиненные Одно недоброе слово может поставить под удар все ваши усилия

§ Мыслите как поставщик услуг Как хороший поставщик услуг! Вспомните какие-нибудь позитивные примеры из своей жизни

§ Прекратите взаимные обвинения


Как потребители узнают, что мы достигли успеха? § Информирование о ключевых показателях деятельности ИБ

Через комитет по ИБ Через регулярные встречи с руководством Через опросы клиентов Через включение соответствующих пунктов в личные планы На портале ИБ Массовые внутренние рассылки Годовой/квартальный отчет!

§ На понятном целевой аудитории языке


Коммуникации на уровне CxO § Проводятся на высоком уровне

§ Требуется «знание языка»

§ Акцент на влиянии ИБ на бизнес Вспомните мастер-класс по оценке эффективности ИБ

§ Должны проводиться оперативно

§ Субординация В зависимости от корпоративной культуры


Какие коммуникации нужны? § Основные бизнес-показатели

Необходимо понимание бизнеса своего работодателя

§ Отчет о степени удовлетворенности клиентов Просто спросите их по пятибалльной шкале

§ План бюджета и приема сотрудников на работу Руководство интересует строка в бюджете, а не детальные выкладки

§ Предложения по новым проектам Не только информируйте или жалуйтесь, но и предлагайте изменения и улучшения


А у вас есть годовой отчет? § Послание высшего руководства по ИБ

§ Успехи работы с клиентами

§ Состояние основных проектов

§  Как проекты согласуются с планом?

§ Соответствие финансовой сметы прогнозам

§ Что происходит «за занавесом» Быть прозрачнее и ближе «к народу»

§ Цели на следующий год

§ Список важнейших инициатив на следующий год и источников финансирования


Коммуникации на уровне ИБ и ИТ § Должны быть детальными

§ Объяснение технических параметров и архитектуры

§ Озвучивание запросов и обоснование результатов

§ Четкие инструкции

§ Ясные условия удовлетворения запросов


Какие коммуникации нужны? § Сводные таблицы по планированию

§ Основные бизнес-показатели

§ Отчеты об атаках

§ Статус внесения исправлений

§ Бюджетный обзор

§  Контроль изменений

§ Архитектура ИБ

§ Опрос о степени удовлетворенности клиентов

§ Ежеквартальные общие совещания


Коммуникации для внутренних клиентов § Ясные, краткие и простые

§ Быстрые и точные

§ Объяснение когда, где, почему и почему нет

§ Предоставить самостоятельный доступ к информации для собственной оценки Портал службы ИБ

§ Повторение из раза в раз!!!

§ Терпение, терпение и еще раз терпение!!!


Какие коммуникации нужны? § Опросы о степени удовлетворенности клиентов

§ Портал ИБ

§ Программа повышения осведомленности в области ИБ


Коммуникации для внешних заказчиков § Политкорректность § Учитывать влияние на доходы компании

§ Учитывать последствия нарушения контрактов

§ Использовать методики отделов маркетинга и продаж


Какие коммуникации нужны? § Сотрудничество с маркетингом по вопросам коммуникаций с внешними клиентами


Будьте провайдером услуг § Самое важное – как воспринимают вас «клиенты»

§ Действуйте как сервисная организация Изучение клиента, обратная связь Внедрите service desk Посмотрите, как действует служба поддержки клиентов



Примеры


Плакаты


Плакаты


Плакаты (для разработчиков)


Повседневные предметы


Флеш-ролики, флеш-игры и флеш-тренинги


Буклеты и памятки


Календари карманные и настольные


Предупреждения и напоминания


Секдоку и хокку


Купоны, привлекающие внимание


Печенья с пожеланиями


Использование email


ИБ отдельно, а бизнес отдельно Раньше

ИБ как неотъемлемая часть бизнеса В будущем

Учет интересов обеих сторон Сейчас

Внутренний маркетинг ИБ – необходимость, а не блажь


Благодарю за внимание

Education

Внутренний маркетинг службы ИБ