Jak žádat o navýšení rozpočtu na kybernetickou bezpečnost
Můžete argumentovat dosažením obchodních cílů, mandatorními požadavky anebo odstrašujícími případy.
Co to znamená a jaká jsou úskalí této argumentace, o tom si přečtete v tomto článku.
Ideální je získat podporu ze strany alespoň jednoho člena vrcholového managementu. Ovšem přesvědčit jej může být těžké, obzvlášť když většina organizací stále žije v bludu, a jejich čelní představitelé absolutně netuší, co se odehrává v kyberprostoru.
Argumentace dosažením obchodních cílů
Argumentace dosažením obchodních cílů je doporučována mezinárodní organizací ISACA a znamená, že přednesete, jak je dané bezpečnostní řešení nedílnou součástí unikátního hodnototvorného řetězce vaší společnosti a tedy představuje nezanedbatelnou konkurenční výhodu, a jeho zavedením dosáhnete vyššího zisku a rovněž i mise a vize společnosti. (V tomto případě nepotřebujte téměř žádné informace z vnějšku, ale přesto to bývá těžké.)
A pak musíte jen doufat, že to vyjde. Pokud se firmě bude dařit, musíte tvrdit, že je to i vaše zásluha, pokud ne, tak je samozřejmě problém někde jinde, mělo se třeba investovat mnohem více.
Argumentace mandatorním požadavkem
Argumentace mandatorním požadavkem znamená, že budete vysvětlovat, že když dané bezpečnostní opatření nezavedete, tak že můžete dostat pokutu od dohledového orgánu apod. a jako příklad uvést již platná rozhodnutí a výši těchto pokut včetně poškození reputace v souvislosti s tímto případem apod. (Musíte být schopni dohledat příslušné paragrafy a výši sankcí, což by neměl být problém.)
Když k ničemu nedojde, tak za rok nejspíš uslyšíte, že vaše obava byla zbytečná, že se nakonec stejně nic nestalo a žádnou pokuta vaší organizaci nebyla udělena. Odpověď je, že tomu tak je právě proto, že jsme dané opatření zavedli. A pokud jste ho nezavedli, tak musíte vyjádřit naději, že snad budete mít dál štěstí a dohledový orgán na vás nepřijde a nikdo vás neudá.
Argumentace odstrašujícím případem
Argumentace odstrašujícím případem znamená, že uvedete jako příklad společnost, která dané bezpečnostní řešení nezavedla, stala se obětí kybernetického útoku a následně utrpěla značnou ztrátu. Čím vyšší a děsivější scénář končící krachem, vyhazovem anebo dokonce odsouzením managementu, tím lépe. (Musíte být schopni dohledat podobné případy, což bývá těžké, obzvlášť pokud management na zahraniční případy neslyší.)
Když k ničemu nedojde, tak za rok nejspíš uslyšíte, že se nakonec stejně nic nestalo a nikdo vás nehacknul, takže ta investice ani nebyla potřeba. Odpověď by měla být, že tomu je právě proto, že jsme dané opatření zavedli. A pokud jste ho nezavedli, tak že musíte doufat ve štěstí, a že hacker, který je už nejspíš ve vnitřní síti, nezpůsobí tak velkou škodu.
K prosazení svých požadavků můžete argumentovat v obrazech, odvolávat se na uznávané autority, uvádět konkrétní případy a ve své argumentaci můžete použít i kombinaci všech tří výše uvedených způsobů, např. když nasadíme X, tak dosáhneme naší vize a zároveň nebudeme platit žádnou pokutu a stejně tak minimalizujeme i riziko napadení.
Ve všech případech se samozřejmě předpokládá, že proběhla nějaká analýza rizik a navýšení rozpočtu je opodstatněné. Ostatně s analýzou rizik vám může pomoci externí konzultant, takže i když jste ji třeba zatím nikdy nedělali, nejste v tom rozhodně sami.
A jak to máte vy, jak argumentujete, když chcete navýšit rozpočet na bezpečnost? Nebo jen čekáte, až dojde k nějakému závažnému bezpečnostnímu incidentu, protože pak se najednou nějaké peníze vždycky najdou.
Štítky: kybernetická bezpečnost
K článku “Jak žádat o navýšení rozpočtu na kybernetickou bezpečnost” se zde nenachází žádný komentář - buďte první.
Diskuse na tomto webu je moderována. Pod článkem budou zobrazovány jen takové komentáře, které nebudou sloužit k propagaci konkrétní firmy, produktu nebo služby. V případě, že chcete, aby z těchto stránek vedl odkaz na váš web, kontaktujte nás, známe efektivnější způsoby propagace.