Презентація перед правлінням — це перспективна можливість. ІТ-директорам (CIO) та директорам з інформаційної безпеки (CISO) було б корисно знати свою аудиторію, передбачити питання, що не стосуються порядку денного та уникати тактики залякування.
Геть не рідкість, коли CIO, CISO, а іноді й їхніх підлеглих, запрошують на засідання ради директорів або представити ІТ-стратегії та плани. Якщо ви нечасто берете участь у засіданнях правління, підготовка має першочергове значення: вивчення досвіду директорів, перегляду протоколів попередніх засідань. Тож якщо ви виступаєте, краще порадитися з колегами про те, як директори дискутують, обговорюють й ухвалюють ключові рішення.
Існує багато корисних порад, як підготуватись до презентації для членів правління. Однак помилки трапляються. Тож розглянемо 4 поширені помилки, яких припускаються ІТ-експерти під час засідань ради директорів.
Вони припускають, що раді бракує технічних знань
У 2019 році Массачусетський технологічний інститут повідомив, що лише 24% рад директорів компаній у США з доходом понад 1 мільярд доларів зналися на цифрових технологіях. У нещодавньому дослідженні вказано, що лише 51% компаній зі списку Fortune 100 і 9% організацій зі списку Fortune 200–500 мають директора з відповідним досвідом у сфері кібербезпеки.
Хоча ці цифри свідчать про значні технічні прогалини та прогалини в безпеці серед членів правління великих компаній, було б помилкою з боку CIO або CISO вважати, що правлінню бракує цифрових технологій, даних, безпеки чи інших технічних знань.
«Структура правління змінилася протягом останніх кількох років, до багатьох із них увійшли спеціалісти з технологій, у тому числі в багатьох випадках колишні ІТ-директори», — каже Манодж Тіварі, ІТ-директор Subaru Canada. «Тож оберіть серед членів правління свого прихильника. Налагодіть з ним взаємодію за межами правління, щоб забезпечити узгодження та прийняття вашої технологічної стратегії».
Говорять складною технічною мовою та надають заплутані відповіді
«ІТ-директорам не можна надавати навмисно або ненавмисно заплутані відповіді на запитання про ключові чи поточні ІТ-проблеми», — каже Джо Пуглісі, колишній ІТ-директор, а зараз інвестор, радник і член правління. «Ніщо так не спантеличить правління, як складний набір технічних термінів.
Важливо уникати технічного жаргону, але іноді вас просять визначити технічний термін або пояснити технологію. Один із підходів — це відповідати на технічні запитання аналогіями з вашої галузі. Наприклад: ми обидва працювали в будівельній галузі, тож, ми могли б допомогти іншим керівникам зрозуміти Scrum у розробці програмного забезпечення, порівнюючи його з проектуванням/будівництвом за гнучкою методологією.
Вони вдаються до тактики залякування або кіберризиків
Ми всі знаємо вислів «Ніколи не пропускайте кризу» як інструмент привернути увагу до великих інвестицій, які ніхто не хоче робити.
Іноді вам потрібна іскра, щоб створити відчуття нагальності, але не заходьте з цим підходом занадто далеко. Один CISO якось сказав: «Якщо ви не можете переконати правління, тоді налякайте їх», що може призвести до того, що CISO схвалить інвестицію, але з часом втратить довіру.
Якщо презентація не є вашою сильною стороною або у вас є лише кілька хвилин для неї, адже розповідь може заплутати директорів, каже Тоні П’єтрокола, президент і співзасновник AgileBlue: «Проблема з правлінням, яке справді розуміє, чи захищено підприємство від кіберзагроз, полягає в тому, що вони, як правило, не технарі, тому CIO або CISO можуть відповісти на запитання заплутаною розповіддю».
Джей Ферро, виконавчий віце-президент і директор з інформації, технологій і продуктів у Clario, а також член правління Allata, ділиться прикладами того, як не треба відповідати на запитання правління про кіберризики. «Не кажіть: «Ми докладаємо всіх зусиль і сподіваємося, що будемо захищені», — каже він. «Ніхто не може гарантувати повну безпеку, чи не так? Отже, важко сказати, чи ми захищені від усіх загроз. Також не перебільшуйте свою готовність, кажучи: «Наша система безпеки надійна, а вжиті нами контрзаходи повністю захищають нашу організацію від будь-яких загроз».
Отже, що повинні зробити CISO, щоб переконатися, що правління розуміє кіберризики, не розповідаючи історій і не використовуючи тактику залякування?
П’єтрокола рекомендує використовувати основні показники, щоб допомогти директорам зрозуміти ризики. Ферро, в свою чергу, рекомендує обговорити вплив зон високого ризику на бізнес і переглянути плани мінімізації ризиків.
Вони відповідають нечітко або їм бракує прогнозування
ІТ-директори та CISO повинні розуміти, яку інформацію важливо поширювати на рівні правління. Презентація з великою кількістю слайдів є проблемою, оскільки директори втратять інтерес. Однак під час підведення підсумків із занадто малою кількістю слайдів можна пропустити ключові питання для вирішення певної проблеми, можливості зростання, ринкові тенденції та інші деталі, які пов’язують потреби бізнесу та клієнтів із технологічною стратегією.
«Останнє, що ми повинні зробити, — це представити окремо розроблену технологічну стратегію на засіданні правління, яка не відповідає бізнес-цілям або не відповідає очікуванням директорів», — каже Тіварі.
Ось інші приклади коли директори ставлять питання щодо ініціатив з цифрової трансформації, і те, як жахливо звучить відповідь.
- Директор запитує про графік ініціативи, яка щойно розпочалася, а ІТ-директор відповідає: «Ну, ми тільки почали, тому нема чим ділитися. Ми все ще намагаємося це все налагодити, тому поки що не маємо якогось значного прогресу чи перших результатів». ІТ-директори завжди повинні спочатку відповісти на запитання, а потім надавати додаткову інформацію.
Гарна відповідь така: «У нас ще немає графіка, але ми проводимо дослідження клієнтів і перевіряємо концепцію технології. Через 30 днів ми отримаємо висновки, а незабаром після цього буде проект графіка».
- Інший директор запитує, що ІТ робить з генеративним ШІ, а ІТ-директор відповідає: «ШІ та всі ці модні слова звучать захоплююче, але, чесно кажучи, я не впевнений, що це робить погоду. Це все ще досить нове, тому ми наразі спостерігаємо». Проблема з цією відповіддю полягає в тому, що правління очікує від ІТ-директорів більш суттєвих рекомендацій щодо нових технологій, бізнес-можливостей і ризиків, навіть якщо виконавчий комітет не надає пріоритету роботі з технологіями.
Головне для CIO і CISO — бути надзвичайно поінформованими про активні ініціативи, бізнес-можливості та нові технології, що впливають на їхній бізнес і галузь. Навіть якщо якась тема не стоїть на порядку денному, цілком нормально для директора про це запитати.
Джерело: cio.com