Совет подобен касторке: его довольно легко давать, но чертовски неприятно принимать.
Бернард Шоу
Разговор с потенциальным заказчиком происходил на одном статусном мероприятии по информационной безопасности. Для меня это прозвучало неожиданно и громко, как будто рояль уронили, и я, конечно, возразил:
— Что же, прямо совсем никакой пользы от консультанта? А если не хватает своих сил, знаний?
— В таком случае надо менять своего спеца или брать новых! А вы, ребят, только отчеты строчите, реальной пользы никакой, выброшенные деньги, – упало, лязгнув, броневое забрало собеседника.
Меня поразила тогда абсолютная уверенность в том, что консалтинг – пустое занятие. Но надо признать, что такое отношение, увы, не исключение из правил. Результат работы консультанта нельзя «пощупать», на него не распространяются условия гарантии и возврата, критерии оценки качества не формализованы и т.д. Кроме того, про консалтинг в последнее время написано немало справедливых критических статей – благодаря всему этому он приобрел устойчивую негативную окраску. К консультантам частенько относятся как к «нормальным ребятам», если «только не слушать их советы», а обращаются к ним, когда нужно списать затраты «на какой-нибудь консалтинг» или при решении конфликтов, чтобы переложить ответственность.
Как же так получилось? Ведь, казалось бы, нет ничего дороже знаний и опыта, только они не подвержены девальвации и старению… Почти 15 лет я занимаюсь информационной безопасностью, побывал и по ту, и по эту сторону фронта, около 10 лет работал в различных отраслях – телеком, страхование, RnD, производство, остальные – в консалтинге. И у меня нет готового ответа на этот вопрос. Вернее, ответов более одного, и я никак не могу выбрать верный.
Консалтинг сегодня – своего рода потемкинская деревня в сфере оказания интеллектуальных услуг, чуть ли не самый бездарный способ купить то, что вообще не нужно, за два сундука денег. А консалтинг ИБ от интегратора вообще честным не бывает в принципе – жадность, вчерашние студенты на проектах, аффилированность и т.д. формируют отношение к нему исключительно как к откатоемкому производству. Причем ситуация эта, к сожалению, довольно характерна для России.
Предметом нашего интереса в этой статье являются сами отношения профессионального консультанта ИБ и клиента, поэтому традиционные профессиональные темы ИБ – построение СУИБ, аудиты, приведение в соответствие и прочие, мы здесь затрагивать не будем. Кроме того, мы не являемся сторонниками суждений категоричных и окончательных, так что в статье нет ангелов и нет злодеев, она не содержит рекомендаций о том, покупать или не покупать, это не попытка глубокого анализа ситуации на рынке консалтинга. Только пара-тройка примеров из опыта и немного рассуждений об отношениях с клиентами, о ценности результатов труда консультанта, об этике и доверии.
Деловые люди
Идеальный клиент испытывает постоянную потребность в консультанте и «вмещает» бесконечное количество его советов, но в природе почти не встречается. У реального клиента отсутствует генетическая потребность в консалтинге, зато существует мощная стена сопротивления нашему брату. Объясняется это тем, что, нанимая консультанта, ему придется:
- посвятить в свои глубоко внутренние дела совершенно постороннего человека;
- признать, что у него нет собственных возможностей (знаний, людей, времени) для решения проблемы;
- заплатить за постороннюю помощь немаленькую сумму, притом что 100%-ное достижение конечной цели (за редким исключением, например, как в случае проектного консалтинга) ни один вменяемый консультант никогда не гарантирует, поскольку работает в условиях неопределенности и зависимости от внешних факторов.
И здесь мы сталкиваемся с первой проблемой – клиент и консультант «с разных планет».
Пример из практики. Научно-производственная компания искала подрядчика на проведение аудита ИБ и устроила ряд предварительных встреч с консультантами различных компаний. Гипотетический Иванов подробно рассказал о ходе работ: обследование ИТ-инфраструктуры, процессов обеспечения и управления ИБ. Рассказал о пентестах, упомянул о соответствии ФЗ-152, о СУИБ и сослался на лучшие мировые практики. В целом оставил очень благоприятное впечатление, показал владение терминологией, широту познаний и приверженность комплексному подходу в ИБ.
Петров разбирался в ИБ не хуже, но предложил проверить безопасность процессов обработки патентных заявок и использования производственных регламентов, а также оценить системы поддержки продаж, складского учета и бухгалтерии с точки зрения способности противостоять попыткам мошенничества и кражи информации. Отдельной проблемой он признал необходимость обмена информацией с отраслевым регулятором и обещал подумать над ее решением.
Отношения клиента и консультанта, как и всякие другие, начинаются с презентации. Петров потратил время на изучение специфики отрасли и ключевых особенностей конкретного клиента и поэтому победил. Он не пытался выдать себя за знатока бизнеса компании, но представил ему свои знания и экспертизу под нужным углом восприятия, показал клиенту его же страхи. Он понимал, что рекламировать нужно не ИБ-продукт и услугу, а преимущества, которые они дадут.
Странно было бы не признать, что ИБ-консультант никогда не будет разбираться в бизнесе клиента так же хорошо, как сам клиент. Но это вовсе не означает, что мы не сможем донести до него хотя бы часть его проблем, лежащих в нашей области, области ИБ. Причем здесь стоит учитывать, что выбор всегда будет сделан в пользу узкого специалиста, а не профи с широкими познаниями. Кстати, а в какой сервис вы повезете свой автомобиль – в узкоспециализированный или мультибрендовый?
Все сказанное выше может относиться к любому виду консалтинга. Вы хорошо разбираетесь в ИБ? Замечательно! Лучше всех вяжете крючком? Отлично! Консультант рождается на стыке своих уникальных знаний и опыта и реальных потребностей клиента, никак иначе. Чем эта область шире, тем плотнее будет график в ежедневнике консультанта. Поэтому ему крайне полезно придерживаться трех простых правил:
- всегда стараться как можно глубже понять основные проблемы и тренды отрасли клиента;
- изучить, насколько это возможно, уникальные особенности конкретного клиента;
- не быть равнодушным, сочувствовать клиенту, пытаться встать на его место.
Эти правила должны начать работать еще на самом раннем этапе, до первой встречи с клиентом, ведь консультанту не представится второй шанс произвести первое впечатление.
Вторым важным фактором является доверие к консультанту. В отношениях клиент–консультант клиент всегда является наименее защищенной стороной: он не может профессионально оценить результат работ, договор же обычно включает формальные признаки завершения проекта (два экземпляра отчета по 50 страниц, комплект нормативных документов), а не критерии реальной пользы, достижение которых эти результаты должны обеспечить.
Заключая договор с консультантом, клиент оказывает ему доверие как бы в кредит, авансом, при этом на начальном этапе компания-интегратор никак не может гарантировать, что доверие выказано верно. Именно поэтому мы считаем полезным для любого консультанта заранее позаботиться о собственном кодексе этики, аналоги которого есть у многих профессиональных сообществ (например, кодекс адвокатской этики), в том числе в ИБ (ISACA, (ISC)2). Это не знаменитая «окончательная и фактическая бумажка» профессора Преображенского и не иммунитет от непорядочных консультантов (в отличие от того же кодекса адвокатской этики, нарушение которого может иметь для виновника весьма печальные последствия), но декларация приверженности консультанта профессиональному поведению и его стремления не растратить кредит доверия клиента.
Еще один способ поддержания доверия – страхование профессиональной ответственности консультанта, страховым случаем здесь признается причинение вреда имущественным интересам клиента в результате непреднамеренных ошибок, неосторожности или упущений в профессиональной деятельности консультанта. Есть обязательные (например, пассажирские перевозки) и добровольные формы подобного страхования (среди юристов,0ценщиков, переводчиков), на Западе полис страхования от ошибок и упущений (E&O) – расхожая практика. Проблема в том, что такая возможность (а иногда и обязанность, как, например, при проведении аудитов PCI DSS) предоставлена консультанту, но не клиенту: страховые компании просто не предлагают заключение таких договоров. То есть проблема – в отсутствии правоприменительной практики, да и сам страховой бизнес в России развит недостаточно.
Незащищенность клиента и сложность оспаривания качества работы (за исключением случаев приведения в соответствие) – основные причины вольного поведения консультанта и его безответственных советов. Еще один способ обеспечения достоверности результата – согласование методики проведения будущих работ. Следует только помнить, что консультант вовсе не обязан раскрывать все свои внутренние методики, часто являющиеся его ноу-хау.
Третий фактор, о котором нужно упомянуть, часто связан с доверием, являясь его следствием, а иногда и заменой. Речь идет об авторитете консультанта – важнейшем элементе этики. Дефицит авторитета является основной причиной ситуации, когда консультант становится на проекте мальчиком для битья, а сам проект – имитацией бурной деятельности и инструментом осваивания средств.
Сама природа уважения такова, что имеют значение и психология клиента, и «раскрутка» консультанта. Много раз приходилось слышать: «мы вполне доверяем профессионализму ребят из Х, но все-таки решено обратиться к Big4, пусть они и намного дороже». Причин недостаточного авторитета консультанта множество. Это и систематический неудачный собственный опыт, и недостаточная узнаваемость, и сами клиенты, для которых никакой консультант не указ, ибо собственный авторитет заведомо выше любого другого. Вспоминается один проект в федеральном ведомстве, когда консультант в качестве одной из рекомендаций предложил разработать стратегию ИБ, а клиент объявил, что никакая стратегия не нужна, потому что его регламент противодействия утечкам информации прекрасно покрывает все текущие и будущие потребности в ИБ.
Консультант, не обладающий авторитетом, часто берется исключительно «на подпевки», что совершенно недопустимо. Принцип «клиент всегда прав» в нормальном консалтинге не работает. Консультанта пригласили на возмездной основе, для того чтобы выслушать его мнение, а раз так, его рекомендации носят окончательный и объективный характер, учитывающий, но не подчиняющийся желаниям клиента («давай вот тут напишем, что все хорошо») или производителя средств защиты («напиши в отчете, что нужно внедрить мою систему»).
В идеале консультант должен исполнять роль фильтра между заказчиком проекта – ИБ-подразделением – и всеми прочими: руководством (своим и клиента), производителем, поставщиком. Но, как водится, гладко было на бумаге, да забыли про овраги – в жизни есть и «ключевые заказчики», и «ключевые поставщики», и планы продаж. Давление, которое иногда оказывается на консультанта, бывает достаточно ощутимым, не позволяя ему сформировать честный результат. Эта особенность национального консалтинга вредит авторитету консультанта сильнее прочих, ибо его начинают воспринимать как человека, способного выразить якобы от своего лица любое оплаченное мнение. Благодаря угодливым, уступчивым и аффиллированным консультантам авторитет консалтинга претерпевает решительную инфляцию.
О бумаге и оврагах
В формате одной небольшой статьи невозможно рассказать обо всем, что «накипело»: о клиентах, не понимающих разницы между степенями знаний и покупающих консалтинг так же, как столы и стулья, о «пиратстве» в консалтинге, когда небольшие компании, только собирающиеся богатеть, ради контракта способны в многомиллионных конкурсах «упасть» до сотен тысяч с соответствующими последствиями для качества. Или о случаях, когда клиент вводит консультанта в заблуждение: из-за лени или нежелания разобраться он сообщает ложные или неполные сведения. Сегодня мы постарались обозначить лишь принципиальные проблемы.
Мы входим в период кризиса, а это время не только испытаний, но и возможностей. Да, в кризис деньги дешевеют, но отношения-то, наоборот, дорожают! Консалтинг – это не только бизнес, но и отношения между клиентом и консультантом. Джек Ма, создатель Alibaba Group, говорил, что именно отношение к вашему делу определяет то, как далеко вы пойдете: оно важнее способностей. А консультант пытается продать самый сложный из продуктов – свой опыт и знания. В то же время именно знания составляют интеллектуальный потенциал любого проекта в ИБ, будь то построение СУИБ или внедрение антивируса.
Мы предвидим скепсис читателей, дескать, не стоит витать в облаках и строить воздушные замки: в интеграторе консалтинг таким никогда не будет, а напряг в экономике и сокращение бюджетов на консалтинг эту тенденцию только усугубят, заставляя консультанта все больше ориентироваться на маржу проекта, а не на удовлетворенность клиента. Перед консультантом в этой ситуации стоит крайне непростая задача – противостоять любому давлению как извне (со стороны поставщиков и производителей), так и изнутри (со стороны собственных продающих подразделений), оставаясь лицом незаинтересованным и следуя в первую очередь интересам клиента, повинуясь только лишь профессиональной деформации и во всем находя сюжеты для ИБ.
Естественный отбор
Мы уверены, что у консалтинга ИБ неплохое будущее. Компаниям, оказывающим эти услуги, следует, на наш взгляд, как можно серьезнее подходить к собственному маркетингу и рынку и помнить, что консалтинг – сам по себе бизнес, с производственным процессом и сроками. Нужно избегать противостояния между производственной и творческой частями процесса, искать баланс, с одной стороны, не допуская «золотой сервировки» на проектах, а с другой, не забывая об удовлетворенности клиента как основной цели всей работы.
Клиентам хотелось бы посоветовать подходить к выбору консультанта так же, как к выбору юриста – не гнаться за громким именем компании и не считать ее сертификаты, а изучать живые отзывы о результатах деятельности, например, в тех же социальных сетях. Если вы не знаете того самого Петрова, которого хотите заполучить на проект, имеет смысл обратить внимание на кадровую политику консалтинговой компании, случается, что и в именитых компаниях на проектах работают сплошь вчерашние студенты. Ну и не стоит гнаться за чрезмерно дешевым предложением, это всегда повод заподозрить неладное, ведь настоящий опыт и знания – товар уникальный, по бросовым ценам они не продаются. Проекты в ИБ с течением времени только усложняются, и непрофессиональный или безответственный подход здесь может обойтись очень дорого.
Все консультанты разные. Но не так важно, какой у консультанта опыт и уровень экспертизы. Не имеет значения, какой стратегии он придерживается: творец ли он и инноватор, не признающий консалтинг без риска и своими руками создающий спрос на новую услугу, или же он предпочитает больше следовать течению рынка и развивать те области, которые уже востребованы и ценность которых очевидна. Всегда и везде он должен предлагать не сферических коней и чужие лучшие практики, а исключительно собственный опыт, экспертизу и здравый смысл, услуги, обещающие реальные и измеряемые выгоды: предотвращение краж, мошенничеств и утечек коммерческой тайны, повышение отдачи от использования средств защиты и внедренных процессов. Опыт любого консультанта по-настоящему привлекателен, только если он ведет к повышению рентабельности и росту реальных показателей бизнеса, и об этом консультанту стоит заботиться прежде всего.