Todos los directores de ciberseguridad deben enfrentarse a la necesidad de justificar los presupuestos, lo que no siempre sale bien. Es entonces cuando surgen las preguntas: cómo superar la resistencia y cómo aumentar la prioridad de los gastos en ciberseguridad, especialmente para cumplir con el Decreto N.º 250, la Ley Federal N.º 187-FZ y los requisitos de FSTEC, FSB y los reguladores de la industria. Afortunadamente, existen metodologías especializadas que se pueden aprender y aplicar en la práctica diaria de un director de ciberseguridad.
Compartiremos algunas de ellas en una reunión en línea. Para todos los responsables de la función de ciberseguridad a quienes les resulte importante acordar un presupuesto, proteger un proyecto o aumentar la importancia de la ciberseguridad en la empresa y no solo para ellos, la Academia InfoWatch lanza el simulador organizativo y de gestión «Batalla por el presupuesto».
Hoy, en la reunión en línea, puede obtener algunas herramientas prácticas, listas para usar, de los autores de la capacitación. Los participantes de la reunión en línea tendrán acceso a un esquema estructural de «Tipos principales de resistencia a la implementación de la ciberseguridad», un algoritmo para negociar con «un aficionado a la ciberseguridad» sobre la presupuestación, así como la posibilidad de inscribirse en el evento más cercano. ¿Qué preguntas surgen en las tareas de presupuestación de la ciberseguridad y cómo se resuelven en el simulador? Resumen de la técnica de justificación del presupuesto: desde el análisis hasta la conclusión de una «alianza presupuestaria». Descripción detallada de uno de los algoritmos de negociación estudiados en el simulador para una batalla exitosa por el presupuesto.
Alexei Petukhov, jefe del departamento de desarrollo comercial de InfoWatch ARMA, inició el evento de hoy. Hoy vamos a discutir un tema interesante: la batalla por el presupuesto de ciberseguridad. Suena emocionante, especialmente en vísperas del final del año y la elaboración del presupuesto para el próximo. Y ahora estamos hablando de competencias de gestión, no técnicas ni de productos, como cabría esperar, ni metodológicas. Y el segundo orador de hoy es Alexei Shirokopoyas, experto en el campo de la gestión del desarrollo de sistemas de la empresa, profesional y entrenador. Hoy tenemos una reunión difícil. Es una reunión de invitación a un juego de negocios que llevarán a cabo Alexei Petukhov y Alexei Shirokopoyas. Y ahora les propongo sumergirse en el mundo de las competencias de gestión, las competencias organizativas, para destacar algunos trucos para ustedes.
Estamos acostumbrados a tener que entrenar lo que hacemos. Es decir, todo el mundo ya conoce bien los ejercicios cibernéticos, los diferentes tipos de simulacros que deben existir tanto para la parte normativa como para las habilidades reales en el campo de la seguridad de la información. Pero Alexei y yo, dentro de la Academia Infowatch, estamos realizando un gran trabajo sobre el hecho de que para que la ciberseguridad funcione, y la ciberseguridad se trata en gran medida de medidas organizativas, se trata de negociaciones dentro de la empresa, bastante complejas, con otras funciones, con su superior, con el superior de toda la organización. También es necesario llevar a cabo simulacros, porque al igual que todo el mundo entiende cómo dispara un arma, que en principio para disparar solo hay que apretar el gatillo, pero de hecho no siempre resulta ser tan sencillo. Lo mismo ocurre con los procesos organizativos, con su construcción, con las negociaciones, parece que siempre está claro lo que hay que hacer, pero no siempre resulta ser tan sencillo y también hay que entrenar para ello. Hoy queremos contarles cómo implementar estos enfoques, cómo hacer para que cada uno pueda encontrar algo nuevo para sí mismo, ya sea a través de la capacitación o a través del entrenamiento, para comprobar, destacar algo nuevo para sí mismo, precisamente en cuestiones de gestión organizativa. Dentro de la Academia InfoWatch hemos creado un simulador que permite a las personas recorrer este camino desde la idea de que es necesario implementar una serie de proyectos, es necesario implementar una estrategia, es necesario implementar las Leyes Federales 187, 182 y otras tareas. Y para ello, por supuesto, se necesita dinero.
En consecuencia, ¿cómo vemos las preguntas que pueden surgir a las personas que son responsables de atraer recursos, de buscar un presupuesto? ¿Cómo superar la resistencia de los altos directivos? Es decir, ¿cómo acordar que hay que gastar dinero en ciberseguridad? Y además, estamos hablando de todo, tanto de la compra de medios técnicos como de la contratación de personas, porque la cuestión más dolorosa, me parece, es quién va a explotar todo, dónde buscar personas, los especialistas ahora son caros y esto requiere atención, nosotros también lo tenemos en cuenta. También se incluye en estas tareas cómo resolver cuestiones de personal, cómo redistribuir las tareas para que algunas cuestiones que asfixian al servicio de ciberseguridad en términos de escasez de recursos humanos, a menudo también se puedan intentar resolver mediante la unificación general de las empresas para llevar a cabo la ciberseguridad.
Todos entendemos que la seguridad de la información es en gran medida parte de la cultura corporativa y la distribución de una serie de trabajos, cuando la empresa está correctamente configurada para el trabajo, es posible hacerlo. Precisamente hoy hablaremos y contaremos cómo hacerlo y qué proponemos dentro del simulador para ayudar a sistematizar este trabajo y obtener, posiblemente, algunos algoritmos nuevos para ustedes de conocimiento sistemático para resolver estas tareas.
¿Qué es el simulador en sí? Lo llamamos simulador organizativo y de gestión «Batalla por el presupuesto», que permite, en un sentido práctico, recorrer el camino de la formación del presupuesto de forma simplificada, elaborar planes y algoritmos de acción sobre cómo alcanzar el objetivo establecido y, en consecuencia, recorrer este camino con la práctica de la temática, con el trabajo con otros participantes, con la elaboración de algoritmos. Cada capacitación es más eficaz cuando hay personas que son capaces no solo de percibir información y aprender, sino también de compartir experiencias. Parte de las prácticas, el intercambio de experiencias y la comunicación entre personas que realizan las mismas funciones, también es una parte importante del simulador. Por lo tanto, lo llevamos a cabo para personas relacionadas con el ámbito de la gestión de la seguridad de la información, que se encuentran en puestos de alta dirección, dirección media, que constantemente resuelven la tarea de obtener recursos para garantizar la seguridad de la información.
Esto es muy importante, porque tenemos muchas cosas aplicadas relacionadas con el hecho de que tenemos requisitos que podemos utilizar como herramientas, pero que también son una cierta representación para nuestros clientes y otras especificidades relacionadas con el ámbito de la seguridad de la información. Y también para las personas que van a convertirse en directores. De hecho, incluso será útil para aquellos que, dentro de los integradores, los proveedores, desarrollan o ayudan a formar soluciones, también para resolver de forma más sistemática las necesidades de los clientes.
Luego, Alexei Shirokopoyas tomó la palabra y comenzó a contar con más detalle de qué tratará este simulador, cómo funciona y qué algoritmos hay dentro de él.
¿Qué va a pasar? Nos espera la siguiente metáfora durante nuestro simulador de gestión. Su pequeño equipo jugará como uno de los personajes de nuestro simulador. Es el director de ciberseguridad de alguna empresa. En nuestro juego, todos los personajes están descritos de forma bastante realista.
¿Saben cómo se hacen los simuladores, por ejemplo, para la formación de pilotos? Simplemente cortan la mitad de la cabina del avión y allí sientan a los pilotos, y allí imitan su actividad. Es necesario garantizar la máxima realismo para que la formación sea realmente eficaz. En realidad, nosotros hacemos exactamente lo mismo. ¿Por qué llamamos al juego simulador? Porque el grado de realismo es muy alto. Hemos descrito allí roles concretos, qué cómo ocurre, todo esto está tomado de la vida real, de lo que se enfrentan cada día, reconocerán muy rápidamente su situación real en nuestro simulador, y más eficazmente se desarrollará su formación en nuestro evento de su propio personaje, el director de ciberseguridad de la empresa. Por supuesto, el director de ciberseguridad de la empresa intenta cumplir los requisitos de la pila IPSB. Es un proceso completamente natural, y cada uno de ustedes sabe que esto es lo principal que hay que hacer. Por supuesto, el director general, a algunos de ustedes les ha tocado la suerte, firma fácilmente el presupuesto, pero la mayoría, probablemente, se encuentra en una situación en la que el director general no tiene muchas ganas de hacerlo. Esto es normal.
Hemos estudiado a fondo este tema y sabemos que esta reacción inicial es normal. Solo el problema es que ninguna persuasión ni intimidación con las consecuencias, por terribles que sean, suelen tener efecto en los directores generales. Simplemente no les escuchan, no les entienden, y a veces piensan que están exagerando demasiado. Y se topan sinceramente con un muro de incomprensión. Pero nuestro personaje en nuestro simulador ha recibido una formación especial en la Academia InfoWatch, donde le han enseñado a superar este tipo de muros. Si no saltarlos ni romperlos, sí rodearlos.
Así pues, empieza, como le han enseñado, a actuar en la organización según nuestra metodología. Realiza un trabajo analítico y luego empieza a buscar aliados dentro de la empresa. Al final, según nuestra metodología, encuentra aliados. En el proceso de unas negociaciones muy complejas y de varias etapas, que gana una tras otra y consigue la conclusión de la Unión Presupuestaria.
Y con esfuerzos conjuntos, consigue, seamos honestos, presionar al director general. El presupuesto, como resultado, al final de nuestro juego, en el final de nuestra interacción con el simulador, se firma. Esta es una situación muy realista. Es decir, en esencia, estamos simulando la misma situación que cuando se sienta a un piloto en la cabina de un simulador aeronáutico, de verdad. Les colocamos en un mundo de juego completamente realista, donde entrenan «con» otros participantes, este es un momento muy importante.
El formato en línea es bueno para aprender habilidades de ingeniería y técnicas, se justifica, es bastante eficaz. Cuando hablamos de aprender habilidades comunicativas y organizativas superiores, es necesaria la interacción con personas vivas. Estar físicamente en la misma habitación, físicamente, a un metro de sus compañeros con los que están entrenando. Esta es una cosa fundamentalmente importante, y esto garantiza la eficacia.
El segundo aspecto es el aprendizaje en la actividad. Es decir, resuelven tareas reales, se dan golpes, los entrenadores que están cerca de ustedes les ayudan a superar estas dificultades, lo hacen con éxito, de este modo se hacen con la mano. Estamos absolutamente seguros del efecto de aprendizaje de nuestro evento.
Tenemos un gran bagaje de cuestionarios de retroalimentación, muy positivos, y cartas de recomendación, donde los participantes nos agradecen que realmente hayan aprendido en nuestros eventos.
Aquí tienen fotos de nuestros eventos. Ahora me gustaría contarles sobre la profundidad de la inmersión en las dificultades que les esperan en nuestro simulador. Les esperan conocimientos muy interesantes y la profundidad de la elaboración la demostraremos ahora en uno de los módulos. Nuestro simulador consta de 7-8 rondas, 3-4 de ellas analíticas. ¿Por qué digo 3-4 y 7-8? Depende de la duración y de la complejidad que le pongamos. Así pues, uno de los temas, en una de las rondas, se llama tipos principales de resistencia.
Cuando van al director general a firmar el presupuesto, no lo firma, no porque no le guste. Hay otras razones, son mucho más profundas. Es más, no solo el director general se resiste a la firma de este presupuesto. Toda la empresa, todo el personal de la empresa tiene una cierta predisposición.
Y quiero mostrarles el contenido de uno de los bloques, que estará en nuestro simulador, que vamos a dominar muy profundamente con los participantes. Así pues, hemos descubierto que la no firma del presupuesto por parte del director general y la mala interacción con el TOC es resistencia. La resistencia es diferente. A nivel de personas, a nivel de personalidad, a nivel de roles, a nivel de funciones, a nivel de organización, a nivel de sistema. Hay muchos. Consideremos uno de los esquemas primarios. Este esquema, no es el final, es más extendido, existe dentro del simulador, esta es una versión de demostración.
Así pues, los tipos principales de resistencia se dividen en dos grandes grupos. Se trata de la resistencia consciente y la resistencia inconsciente. La resistencia consciente es cuando una persona, si se le lleva a una conversación en condiciones especiales, les contará honestamente lo que está pasando, por qué se resiste. Es consciente de ello, puede trabajar con ello, puede razonar sobre ello. Está claro que no le contará a cualquier persona que se cruce por qué se comporta así, pero si se trabaja correctamente con él y se realiza una entrevista en profundidad, lo verán. Así pues, la resistencia consciente, por lo general, es de un alto directivo. Por lo general, aquí hay dos razones. Se trata de la competencia por los recursos. Y aquí se presenta en forma de recursos competitivos. Y la lucha por el poder. Los directivos pueden discutir estas cosas, pueden explicarlas. Con un cierto nivel de relación, esto ocurre. Así pues, la resistencia consciente, es la resistencia que una persona puede explicar con palabras. Piensa en ello.
Pero hay otra sección bastante grande y muy compleja de resistencias. Se trata de la resistencia inconsciente. Y la resistencia inconsciente tiene varios pisos y, en realidad, varias causas originales. Aquí se dan cuatro. En realidad, puede haber más. Y en nuestra versión grande pueden ver más. En primer lugar, la resistencia inconsciente puede estar relacionada con un conflicto interfuncional. Es decir, una persona que realiza constantemente su función, también se centra automáticamente en ella. No es consciente de ello. No sabe que le está pasando esto. Pero le está pasando esto. Si prestan atención, pueden ver que las personas se relacionan con diferentes profesiones con diferentes grados de afecto. Después de todo, los profesionales de un mismo campo se favorecen más entre sí. Esta es la manifestación más sencilla. Lo peor es cuando surge una resistencia inconsciente a un evento organizativo. Lo que aquí presentamos como sistema de órganos de resistencia. Estamos hablando de resistencia organizativa sistémica. ¿Qué está pasando? Toda organización de este sistema está configurada para protegerse de todo tipo de cambios. Porque los cambios pueden llevar al colapso del sistema, por lo tanto, cualquier sistema de larga duración, no importa lo que sea, cualquier estructura organizativa, empresa, estado, alguna sociedad se protegerá principalmente de cualquier cambio y, por lo tanto, cualquier interferencia será rechazada.
Existe una tercera parte de la resistencia. Esto ocurre cuando hay cierta actitud hacia la SI, como que no sirven de mucho, pero constantemente estorban. Seguramente se han topado con esto, cuando los empleados de la empresa no son muy aficionados a los eventos de SI, ni a las acciones en materia de seguridad de la información, y precisamente porque, como dicen, nada depende de ustedes, para qué vamos a complicar las cosas. Y el efecto del diletante, y este es un efecto muy interesante, es una parte muy interesante de la resistencia inconsciente.
Quiero hablar de esto "más a fondo" y mostrarles cuán profundo, a partir de los ladrillos que se presentan aquí, vamos a desenterrar las peculiaridades en nuestro entrenador. Entonces, el efecto del diletante. Es una distorsión cognitiva en la que una persona con un bajo nivel de competencia comienza a percibirse a sí misma como un gran profesional en este campo. Aunque solo haya oído hablar del término ayer. Este es un fenómeno muy interesante. Está bastante estudiado. Se ha estudiado durante unos 30 años. Y se presenta ahora en forma de un gráfico que ven a la izquierda.
En el eje vertical se representa la característica cuantitativa de la autopercepción de una persona como experta en algún campo. Cuanto más subimos en el eje vertical, más siente la persona concreta que estamos investigando que es un experto muy bueno en una teoría concreta. Y en el eje horizontal, el tiempo que ha pasado en el tema mencionado.
Por lo general, cualquier persona que nunca se haya cruzado con un tema determinado, tan pronto como se cruza con él, tiene la plena sensación de que lo entiende bien. Y ven en la curva este pico rojo. Plena sensación de comprensión de lo que está pasando. Cuanto más tiempo pasa una persona en este tema, dentro de él, más disminuye su propia sensación de experiencia. Y en algún momento a mitad de su carrera, se da cuenta de que ya no entiende nada de esto. El círculo definido de lo conocido en este campo aumenta, y la frontera de intersección con lo desconocido aumenta constantemente. Cuanto más sabe una persona, más se da cuenta de que no conoce alguna parte del mundo. Y aquí ocurre exactamente la misma historia. Hacia la mitad surge esta inseguridad. Un estado normal para los profesionales, seguramente muchos de ustedes lo han experimentado. Y esto demuestra que en realidad son profesionales. Esta es una de las señales de profesionalidad. Y luego empezamos a avanzar hacia la maestría. Y fíjense que el punto más alto del arco nunca se elevará tan alto como el pico en el que se encontraba el diletante que acababa de conocer el tema. Un maestro nunca afirmará con tanta confianza como un diletante. Por lo tanto, muy a menudo los diletantes se ven victoriosos, y los maestros son algo modestos. Y este efecto del diletante genera una resistencia bastante seria durante diferentes tipos de acciones organizativas de la empresa. Incluyendo y, sobre todo, en el ámbito de las actividades organizativas en el ámbito de la SI. Este tipo de diletantes tienen una alta resistencia. Y muy a menudo estorban. Y durante las negociaciones con ellos, con entusiasmo, en general, con confianza, rechazan cualquier propuesta, insistiendo en su propia experiencia. ¿Qué hacer en la práctica durante las negociaciones? Nos detuvimos en cuatro enfoques que permiten superar el efecto del diletante.
Bueno, primero, es necesario pedir un consejo experto al interlocutor. Un truco bastante fuerte que te ayuda a hacer lo siguiente. Si una persona realmente te da un consejo experto, entonces, por el nivel de este consejo experto, podrás determinar cuánto sabe realmente del tema. Si ves que su respuesta te da, como experto, la oportunidad de evaluar la alta calidad de tus propuestas, puedes encontrar un aliado. Este es el primer resultado de este tipo de truco.
El segundo resultado de este truco. La persona no te dirá nada, pero su fervor ciertamente disminuirá, porque luego puedes simplemente repetir este truco una y otra vez. Y tiene sentido repetirlo. Tan pronto como haces una propuesta, la persona comienza a resistirse, vuelves a preguntar, ¿y cómo lo harías tú, veo que entiendes de esto, y qué aconsejarías en este caso concreto? Este es un truco que funciona bien y es bastante constructivo.
Lo siguiente. Es pedir que expresen su punto de vista sobre las posibles soluciones a los problemas que se están discutiendo. Muy similar en significado a lo que ya hemos considerado. No voy a profundizar en él. Funciona aproximadamente igual que el anterior. Simplemente, en un caso pedimos consejo, decimos directamente, aconséjame qué debo hacer. ¿Sí? Esta es una estrategia de negociación. Y otra historia, cuando dices, ¿y qué piensas, qué caminos ves? Es decir, inmediatamente le propones al interlocutor que exponga de la manera más amplia posible todas las opciones posibles.
Otra cosa, este es otro truco bastante fuerte, es apoyarse en la factología. Es decir, literalmente preguntar, ¿qué hechos confirman tu punto de vista? Él dice, esto está mal, mal, mal. Tú dices, ¿y qué hechos confirman que esto está mal? Si se aportan hechos, entonces, probablemente, a ti, como profesional, te será útil tenerlos en cuenta y mejorar tu propuesta. Si no es así, entonces, probablemente, ya entenderás que esta persona tiene una resistencia diletante. Y lo más importante, él mismo entenderá que no puede defender este punto de vista antiguo. Y es importante presionar sobre estos mismos hechos.
Y el cuarto, en este caso concreto, el último truco, es de estatus. Es brusco, funciona muy bien cuando estamos tratando con la sociedad, en alguna reunión o en algún lugar más. Si de repente te encuentras con una resistencia muy seria de algún colega, especialmente si lo hace de forma muy carismática, enérgica y lo hace en público, tiene sentido preguntar cuánto tiempo lleva trabajando en este problema, cúantos años lleva trabajando en este problema y cuándo defendió su tesis sobre este tema. Si esto se hace públicamente, es bastante brusco, por lo que tiene sentido tener cuidado con este truco. Pero, por otro lado, a veces esto también es necesario. Estos son, en realidad, los trucos concretos que nos permiten trabajar con el efecto del diletante.
Les recuerdo, colegas, que empezamos con el hecho de que en nuestro entrenador se consideran varios temas con bastante profundidad. Por ejemplo, hemos considerado el tema "Principales tipos de resistencia", donde se presentaron 6 tipos de resistencia. Y luego profundizamos en uno de los tipos de resistencia llamado "Efecto del diletante". Hemos considerado cómo funciona, en el gráfico. Y lo más importante, hemos llegado a trucos prácticos para superar esta resistencia. Tal es la profundidad del trabajo de nuestros temas.
Bueno, y, en realidad, más adelante, como resultado de completar nuestro entrenador, lo que aprenderán a hacer. Entonces, definitivamente aprenderán a superar la resistencia de los altos directivos al desarrollo de la SI. En el ejemplo del efecto del diletante, hemos mostrado a dónde los llevamos, qué trucos les daremos. Habrá una gran cantidad de estos trucos, y todos los practicarán. En segundo lugar, aprenderán a fortalecerlos con sus propias propuestas. Y esto les permitirá entablar relaciones muy buenas y confiables entre los directivos. Lo siguiente. Llevar a cabo negociaciones exitosas con los altos directivos en interés de la SI. Sí, tendremos esta práctica, como ya hemos demostrado, hay trucos prácticos que aprenderán. Aprenderán a presentar de forma convincente los requisitos de la legislación. Esta es la historia que muy a menudo y muy difícilmente se puede transmitir a las personas que no entienden nada de la "normativa" sobre lo que está escrito en las leyes. No escuchan, no entienden, y tiene sentido hacerlo en el lenguaje de los negocios. Más adelante. Aprenderán a aumentar la prioridad de los gastos en SI, es decir, acciones organizativas concretas, negociaciones concretas, llevadas a cabo con sistematicidad, con algunas personas que influyen en la prioridad de los gastos en la empresa. Esta es una lucha corporativa interna interesante. Y aprenderán a encontrar un lenguaje común, es decir, a hacer que las unidades de la empresa sean más complacientes.
Estas actividades organizativas requerirán voluntad de gestión y dinero. Esto es lo que se llama la firma del presupuesto. Y, en realidad, cómo superar la resistencia a la firma del presupuesto, esto es lo que enseñamos en este entrenador. Entonces, saquen sus propias conclusiones. Les enseñaremos trucos que les facilitarán mucho la firma del presupuesto, que implica la voluntad de gestión o el dinero para llevar a cabo actividades organizativas en el ámbito de la SI, si todo se diseñara correctamente en el ámbito de la SI, la seguridad de la empresa aumentaría.
Las ilustraciones son proporcionadas por el servicio de prensa de InfoWatch
Ahora en la página principal
