Dziewięć sekretów skutecznego działania w wielkiej firmie

Bezpieczeństwo może być ważnym tematem dla menedżerów biznesowych, ale w czasach narastającej niepewności ekonomicznej, wsparcie dla inicjatyw związanych z minimalizacją zagrożeń nie zawsze jest łatwe do pozyskania.

Cokolwiek stoi na przeszkodzie - polityka, kalendarze, nieelastyczne budżety czy adwersarze w firmie - profesjonaliści ds. bezpieczeństwa zawsze muszą ciężko pracować aby zdobyć budżet na zakupy i zrealizować programy, w które wierzą.

"Nie ma czegoś takiego jak carte blanche dla bezpieczeństwa" - mówi Roland Cloutier, CSO w ADP, dużej firmie oferującej outsourcing rozwiązań biznesowych. "Trzeba priorytetyzować wydatki, razem z priorytetami biznesowymi i promować nasze wymagania, aby zdobyć dodatkowe pieniądze na zapewnienie bezpieczeństwa w naszej firmie" - dodaje.

Zobacz również:



Dave Cullinane, CISO w eBay zgadza się z tymi spostrzeżeniami. "To, na co wydajemy, jakie jest ryzyko i jakie są odpowiednie kwoty - te wszystkie czynniki podnoszą poprzeczkę przy pozyskiwaniu zgody na wydatki" - mówi.

Kilku dyrektorów ds. bezpieczeństwa zdradza swoje metody pozwalające osiągnąć sukces. Przedstawiamy 9 taktyk, które pozwalają na wprowadzenie inicjatyw związanych z bezpieczeństwem, mimo licznych przeszkód.

1. Zajmij się matematyką

Przy coraz bardziej restrykcyjnych budżetach, kluczowe jest zaprezentowanie twardych danych uzasadniających, czemu twój projekt czy inicjatywa są ważne. "Jeśli tylko w niewielkim stopniu podnoszą poziom bezpieczeństwa, prawdopodobnie jest to niewystarczające. Musi być widoczny zwrot z inwestycji" - mówi Richard Gunthner, CSO w Mastercard Worldwide.

Trzeba skalkulować ryzyko i pokazać ROI z potencjalnych działań zapobiegawczych. Można pokazać, że 6 mln USD inwestycji może zaowocować redukcją ryzyka na poziomie 300 mln USD i dla CFO będzie to trafiony argument. Jednak trzeba udowodnić, że inicjatywa spowoduje taką redukcję, a obliczenie tego jest trudne.

Później trzeba pokazać te rezultaty. Pokazać menedżerom: w tym punkcie zaczęliśmy, a tutaj doszliśmy w krótkim czasie. Gdy uda się zbudować wiarygodność, pieniądze będą napływały łatwiej.

Można pokazać, że inwestycja pozwoli na wypełnienie luki w organizacji, która spowodowała problem z bezpieczeństwem związany ze strata finansową. Jeśli nie można odnieść tego do wewnętrznego zdarzenia, można odwołać się do przykładu z innej firmy, najlepiej z tej samej branży.

2. Pokaż związek z biznesem

"Nawet jeśli nie możesz zyskać twardych danych, upewnij się, że występujesz o fundusze jedynie na inicjatywy, które wpisują się w aktualne priorytety biznesowe" - mówi Cloutier.

Na przykład, aktualnym zagadnieniem biznesowym jest maksymalizacja przychodów, w jaki sposób możesz pomóc w przyspieszeniu tego procesu? Jeśli problemem jest redukcja wydatków, pomyśl, co można zrobić w obszarze bezpieczeństwa, aby zredukować oszustwa i straty?

"Jeśli możesz to wyartykułować i pokazać bezpośredni związek, a nie tylko wygłosić przemówienie, w którym coś podkreślisz, ale rzeczywiście pokażesz związek - to sprawi, że liderzy biznesowi będą popierali twoje wysiłki, które mają pomóc im w osiągnięciu celów" - twierdzi Cloutier.

3. Uwaga na język

Nie posuniesz się daleko w swoich prośbach o finanse, jeśli nie dostroisz swojej informacji do odbiorców, nieważne czy prezentujesz swoją sprawę zarządowi, działowi IT czy innym pracownikom firmy.

"Powinieneś ciągle zmieniać biegi aby rozmawiać z różnymi potencjalnymi klientami" - mówi Jason Clark, dyrektor bezpieczeństwa i strategii w Websense, dostawcy rozwiązań związanych z bezpieczeństwem. "IT troszczy się o szczegóły operacyjne, jednak nie jest to taki sam rodzaj rozmowy, jaką prowadzisz z zarządem".

Alan Nutes, dyrektor ds bezpieczeństwa w Newell Rubbermaid, potwierdza tę tezę. "Jeśli rozmawiasz z zarządem używaj słów "C-level". Specjalista ds. bezpieczeństwa mógłby powiedzieć "zapobieganie stratom", podczas gdy członek zarządu zrozumie "zarządzanie aktywami".

Można użyć np. takiej metafory: "Potrzeba hamulców w samochodzie, nie po to, żeby się zatrzymywać, ale aby bezpiecznie móc jechać szybciej". Jeśli zarząd chce w firmie mieć iPady, szef bezpieczeństwa nie powinien powiedzieć: "żadnych iPadów", tylko "owszem, iPady, ale konieczne jest dodatkowe oprogramowanie aby je zabezpieczyć".

4. Personalizacja zagadnień

Jeśli chcesz pozyskać czyjąś uwagę, pokaż im zagadnienie na ich własnym poletku. Poszczególni liderzy biznesowi "posiadają" różne ryzyka i warto do nich dostosować rozmowę.

Większość menedżerów biznesowych zaczyna troszczyć się o bezpieczeństwo, gdy jasne jest, w jaki sposób taka ekspozycja wpłynie na wyniki finansowe, a rolą CSO jest wykazać ten związek.

"To jest skuteczne - ludzie nie chcą być postrzegani jako odpowiedzialni za ryzyko, więc zaczynają wspierać inicjatywy mające zminimalizować ryzyko" - uważa Cloutier. "Nie chodzi o strach i niepewność, ale o poczucie odpowiedzialności za problem w ich obszarze i podjęcie decyzji, że pomogą w rozwiązaniu go. Ta technika zachęca do partnerskiego podejścia.

Clark również wierzy w moc przypisania ryzyka do poszczególnych menedżerów. Używa narzędzia, które nazwał " Dobry, zły i brzydki". Wykres pokazuje, w którym miejscu poszczególne oddziały znajdują się na linii swojego postępu w aktualnych inicjatywach związanych z bezpieczeństwem. Pokazywanie tego zarządowi i menedżerom przynosi bardzo dobre rezultaty, wszyscy zaczynają się interesować tym, co powinni zrobić, aby znaleźć się bliżej poziomu "dobry" na wykresie.

W dużych firmach warto uświadomić ludziom, że niezależnie od tego, co chronią, są częścią całego ryzyka korporacyjnego. Jesteś tak dobry, jak twoje najsłabsze ogniwo. Clark tego typu rozmowy prowadził wiele razy w firmach, ponieważ różne obszary nie chciały wydawać pieniędzy na bezpieczeństwo.

5. Sprawdź swoje plany

Zwykle ma się tylko jedną okazję na poproszenie o finanse, dlatego warto dobrze się do tego przygotować. Gunthner twierdzi, że zawsze sprawdza trzy rzeczy: czy jest to sensowne z punktu widzenia finansowego, jaka jest wartość biznesowa i czy wspiera to strategię biznesową. Zanim zaprezentuje swoje plany oficjalnie, prezentuje je nieformalnie różnym kluczowym interesariuszom, tak aby później element zaskoczenia był jak najmniejszy.

6. Bądź politykiem

Dobrze jest otoczyć się ludźmi, którzy mają władzę w organizacji. "Jeśli ich pozyskasz, wszyscy inni powiedzą "jeśli jest to wystarczająco dobre dla nich, jest to wystarczająco dobre dla nas" - mówi Clark. Czy brzmi to cynicznie? Zdaniem Clarka, na tym polega biznes.

Podczas przekazywania informacji firmie na temat działań związanych z bezpieczeństwem, dobrze jest umieścić informacje w newsletterze czy w intranecie, można poprosić o przekazanie tej informacji top menedżerom.

7. Czytaj w ich umysłach

Nie trzeba nadnaturalnych zdolności, aby przewidzieć obawy i pytania niektórych interesariuszy, wystarczy szybkie studium ludzkiego zachowania. "Niektórzy mają swoje tematy, które chcą zgłębiać" - twierdzi Gunthner. Na przykład HR może być szczególnie wrażliwy na niektóre elementy relacji pracowniczych, a dział księgowy - interesować się źle ulokowanym aktywami . "Znajomość tych obszarów zainteresowań i reagowanie na ich potrzeby z wyprzedzeniem daje o wiele lepszą możliwość przeforsowania własnych koncepcji" - uważa Gunthner.

8. Chwytaj chwilę

Nie zawsze udaje się panować nad czasem, ale ważne, żeby powtarzać sobie, że czas jest bardzo ważny. Nawet wielkie projekty, które w oczywisty sposób wspierają strategię biznesową i obiecują duże zwroty z inwestycji, mogą upaść, jeśli osoba podejmująca decyzję, z jakichkolwiek powodów, ma zły dzień. "Masz tylko jedną szansę na usłyszenie ‘tak’, więc czas jest kluczowy. Jeśli możesz wybrać odpowiedni moment, aby zaprezentować projekt, zrób to. To zwiększy twoje szanse na uzyskanie pozytywnej odpowiedzi" - mówi Gunthner.

9. Pokazuj, nie opowiadaj

Gdy przedstawiasz projekt zarządowi, wizualizacje mogą wyrazić twoje pomysły bardziej klarownie i szybciej niż słowa. Gdy Clark chciał przekazać u swojego poprzedniego pracodawcy informację o potencjalnym ryzyku zarządowi, stworzył animację przedstawiającą obracający się globus i narzędzia bezpieczeństwa IT w firmie. Pokazał chmurę przemieszczającą się nad poszczególnymi miastami, aby wskazać miejsca, gdzie ryzyko było największe. Prezes spytał, czy jest w stanie zagwarantować, że są odporni na ataki hakerów. "Czy można powstrzymać deszcz? Nie, ale można przygotować się na burzę aby zredukować ryzyko" - odpowiedział Clark.

W eBay’u Cullinane stworzył dynamiczną "krzywą ryzyka", która ilustruje relacje między wydatkami a poziomami ryzyka. "Krzywa rośnie, gdy pojawiają się zagrożenia i opada, gdy podejmujemy działania aby zredukować ryzyko" - mówi.

Clark wierzy także w moc opowiadania historii jako dobrą drogę do uświadomienia zagrożeń i sukcesów w zapobieganiu im. Zatrudnił nawet analityka marketingu bezpieczeństwa, który 30% swojego czasu poświęcał przygotowywaniu sprawozdań dotyczących funduszy na bezpieczeństwo czy zwrotu z inwestycji. Ma talent przekazywania informacji i opowiada zarządowi, o tym, co dostaje za swoje pieniądze, ponad standardowy ROI.

"Aby stać się agentem zmiany, trzeba być kreatywnym i przekazywać informacje w interesujący sposób, zaskakujący. Ludzie często mają swoje uprzedzenia, więc trzeba zawsze być dwa kroki z przodu i pokazać to co chcemy z zupełnie innej strony" - mówi Clark.

Na podstawie: CIO.us