«Как, вы хотите потратить 15 тыс. долларов на антивирусные программы?!» С этих слов несколько лет назад начался мой разговор с финансовым директором одной компании среднего масштабa, в которой я работал консультантом. Речь шла о предложенном мной внеплановом выделении средств на реализацию программы противодействия атакам вирусов. В то время компания страдала от нашествия вирусов, в частности макровирусов Microsoft Office, таких как W97M/Class.B, действие которых ограничивалось доставкой пользователям сообщений хулиганского содержания, но не наносило системам реального вреда.
«Нельзя ли просто удалить вирусы?» — этим вопросом финансовый директор открыл сражение и сделал пробный выстрел. Такая реакция была вполне логичной и предсказуемой. Компании тратят средства на безопасность не потому, что им это очень нравится. Деньги приходится вкладывать, чтобы предотвратить ущерб, который злоумышленники могут нанести компании. Поскольку вирусы, наводнившие нашу организацию, доставляли больше хлопот, чем вреда, мой собеседник не был готов к крупным затратам капитала. Это был добросовестный финансовый директор, безусловно заслуживающий уважения, однако я был тверд в своем намерении начать антивирусную кампанию. Предстоящие несколько минут нашей дискуссии должны были не только установить победителя, но также определить форму вечного противостояния между отделом финансов и отделом ИТ.
Я хорошо подготовился к схватке. Прежде чем назначить встречу, я воспользовался журналом регистрации службы поддержки для получения информации об инцидентах, связанных с атаками вирусов, с которыми бились системные администраторы на протяжении последних 12 месяцев. К сожалению, в то время в компании не отслеживались данные о времени, затрачиваемом администраторами на выполнение этой работы, а также о продолжительности бездействия компьютеров пользователей, поэтому мне пришлось выполнить простые расчеты. Из беседы с системными администраторами и пользователями, чьи компьютеры подвергались атаке вирусов, следовало, что каждый инцидент отнимал примерно 30 минут времени администраторов и столько же рабочего времени пользователей. Так как бездействие компьютера не означает полной потери полезного времени пользователя, поскольку в это время можно выполнять другую работу, я уменьшил размер потерь рабочего времени вдвое. Организация была связана со службой ИТ контрактом, поэтому была известна точная стоимость услуг администратора — 50 долл. в час. Оценить потери рабочего времени пользователей оказалось несколько труднее. Здесь мне пришлось положиться на оценку финансового директора — 24 долл. в час. Теперь можно было подсчитать стоимость антивирусной стратегии, действующей в данной компании, т.е. стоимость удаления вирусов, по следующей формуле:
Стоимость удаления вирусов = (число инцидентов х 5 часов х 50 долл.) + (число инцидентов х 25 часов х 24 долл.)
Таким образом, каждый вирусный инцидент обошелся компании примерно в 31 долл. За истекшие 12 месяцев было зарегистрировано около 300 инцидентов, т. е. на борьбу с вирусами компания затратила около 9300 долл.
«За истекшие 12 месяцев мы потратили около 10 тыс. долл. на удаление вирусов» — с этими словами я подал финансовому директору папку с данными, в том числе графики, наглядно иллюстрирующие затраты на антивирусные мероприятия по месяцам. Реакция собеседника была немедленной: «Зачем же тратить 15 тыс. долл., плюс затраты на установку программного обеспечения, на проблему, решение которой сегодня обходится только в 10 тыс. долл.?»
Те, кто считает, что этот аргумент поставил меня в затруднительное положение, ошибаются. Срок действия антивирусного программного обеспечения не ограничивается одним годом. Обновление антивирусных программ понадобится компании не ранее чем через три года. Таким образом, фактическая стоимость программного обеспечения составит 5 тыс. долл. ежегодно, плюс затраты на установку и обслуживание. Удаление вирусов на протяжении того же периода обойдется компании примерно в 27 900 долл. Финансовый директор, ознакомившись с представленными цифрами, согласился на внесение поправок в бюджет при условии проведения повторной встречи спустя год для анализа затрат и результатов от внедрения программного обеспечения. Я не только выиграл сражение, но, что более важно, завоевал уважение своего собеседника.
Мне удалось добиться изменения бюджета, прежде всего благодаря обсуждению вопросов ИТ на языке, привычном для специалиста по финансам. Финансового директора прежде всего интересовала итоговая строка учета прибылей и убытков в годовом отчете компании, а не антивирусные программы или последствия атак вирусов. Я понимал, какая информация важна для моего оппонента, поэтому, не касаясь технологического аспекта, говорил лишь о финансовых издержках, связанных с атаками вирусов, и об экономически выгодном решении. Вот некоторые рекомендации, которые могут пригодиться тем, кто оказался в подобной ситуации:
- Сосредоточьте внимание на решениях, а не на проблемах. У руководства достаточно проблем, требующих решения ежедневно. Ваша позиция будет воспринята лучше, если вы сделаете упор на решении. В разговоре с финансовым директором я старался не упоминать о проблеме вирусов, а лишь предлагал экономически выгодное решение.
- Узнайте своего собеседника. Изучите его приоритеты и язык, на котором следует обсуждать проблему. В беседе с руководящими работниками сосредоточьтесь на реализации инициатив компании, совершенствовании продуктов и услуг, достижении позитивного эффекта для итоговой статистики прибылей и убытков. Типичной ошибкой многих специалистов по ИТ является предположение, что технологии существуют ради технологий. Это не так. Технологии следует рассматривать лишь как средство для решения задач бизнеса. Беседуя с высшим руководством, обсуждайте средства достижения целей бизнеса, а не технологии.
- Сделайте домашние заготовки. Никогда не следует идти на важную встречу неподготовленным, так как шанс может оказаться последним. Прием, который часто используют представители руководства в разговоре, — глубинное зондирование. Это означает прямые и глубокие вопросы, которые задаются не для того, чтобы получить ответ, а для того, чтобы услышать, как собеседник отвечает. Уверенность и полнота аргументации является убедительным доказательством глубины проведенных исследований. Например, вопрос «нельзя ли просто удалить вирусы?» мой оппонент задал не для того, чтобы узнать о возможности удаления, а для того, чтобы понять, насколько тщательно я изучил различные варианты решения проблемы.
- Измеряйте вашу работу. Количественная оценка деятельности в сфере ИТ чрезвычайно важна для оценки эффективности. Мне никогда не удалось бы так удачно построить свою аргументацию, если бы в компании не отслеживалась работа администраторов.
Точная оценка затрат компании на борьбу с вирусами за истекший год позволила мне подсчитать экономию средств за счет внедрения антивирусного программного обеспечения. Если ваши оценки экономии средств будут так же точны, это станет веским аргументом в пользу прибавки к вашей зарплате.
Бен Смит (bensmi@microsoft.com) — специалист по безопасности в компании Microsoft