Specjaliści zajmujący się bezpieczeństwem przekonują, że wprawdzie strach może być skutecznym narzędziem służącym przekonywaniu zarządu do podejmowania inwestycji, to jednak korzyści płynące z jego stosowania są krótkotrwałe.

W większości przedsiębiorstw wciąż postrzega się obszar bezpieczeństwa IT wyłącznie jako źródło dużych kosztów. Dlatego w dyskusji o finansowaniu tej strefy działania firmy o wiele łatwiej postraszyć w stylu "albo inwestujemy, albo katastrofa..." niż przedstawić szczegółowo związki zachodzące pomiędzy wydatkami na bezpieczeństwo a wynikami finansowymi.

Termin FUD (Fear, Uncertainty, Doubt) został ukuty w latach 70. ubiegłego wieku w odniesieniu do techniki marketingowej stosowanej przez IBM polegającej na wprowadzaniu do obiegu przerażających plotek o wadach produktów konkurencji. Miało to zniechęcać potencjalnych użytkowników do podejmowania ryzyka ich zakupu. Technika FUD to granie na emocjach. Nie ma nic wspólnego z rozsądkiem. "Dyskusja o inwestycjach w obszarze bezpieczeństwa, w której rozmówcy koncentrują się raczej na tym, co przydarzyło się komuś innemu, niż na tym, co to oznacza dla ich przedsiębiorstwa, jest dyskusją, w której mówi się zawsze: oni zamiast my - z dużym prawdopodobieństwem można powiedzieć, że mamy do czynienia z FUD" - mówi Ken Tyminski, wiceprezes odpowiedzialny za bezpieczeństwo w Prudential Financial.

Właściwie wszyscy są co do tego zgodni: FUD jest taktyką skuteczną na krótką metę, ponieważ w dłuższej perspektywie podkopuje zaufanie do specjalistów zajmujących się bezpieczeństwem. Świadomość obosieczności stosowania FUD skłania do wypracowywania bardziej realistycznych technik lobbowania za inwestycjami w bezpieczeństwo.

Przedstawianie wizji kradzieży danych klientów, negatywnego obrazu firmy w prasie i spadających dramatycznie akcji firmy może odnieść natychmiastowy skutek, ale odwoływanie się do sytuacji kryzysowych za każdym razem, kiedy są potrzebne fundusze na kolejną inwestycję z zakresu bezpieczeństwa, nie jest optymalną strategią - zarząd szybko przestanie poważnie traktować takie argumenty. "To może udać się raz, może dwa razy w rzeczywistych sytuacjach kryzysowych, kiedy źli faceci znajdą się naprawdę blisko" - uważa Jim Mecsics, wiceprezes ds. bezpieczeństwa w firmie Equifax. - "Regularne korzystanie ze strategii strachu to pułapka. Ktoś w końcu powie: gdzie jest prawdziwe zagrożenie. Można się pożegnać z opinią osoby wiarygodnej" - dodaje.

Jim Mecsics zna wiele historii potwierdzających jego teorię. Tuż po wydarzeniach z 11 września, współpracował z jedną z amerykańskich organizacji rządowych. Jej kierownictwo postanowiło znacznie zwiększyć liczbę pracowników, by lepiej radzić sobie z zagrożeniami ze strony terrorystów. Pośpiesznie zebrano opinie agentów pracujących w terenie i przekazano je kierownictwu. Podstawą wielu argumentów przytaczanych przez agentów było przerażenie spowodowane zamachami na Nowy Jork i Waszyngton. Zabrakło zastanowienia i rzetelnej analizy. J. Mecsics wspomina, że kierownictwo zaczęło stawiać pytania i dostrzegło w prezentowanych przez pracowników obrazach jedynie chęć wykorzystania tych wydarzeń do wzmocnienia własnej pozycji. Skutek był taki, że komórka ds. bezpieczeństwa straciła wiarygodność. W innej organizacji kierownictwo było tak przerażone, że jego członkowie wpadli w obsesję na punkcie strat, jakie mogą ponieść. W efekcie przestali patrzeć na problemy racjonalnie, co sparaliżowało pracę firmy i doprowadziło do zachwiania jej pozycji na rynku.

FUD często oznacza stratę pieniędzy. Jeśli zakupów dokonuje się pod wpływem strachu, trudno racjonalnie oceniać przydatność nabywanych technologii. "Skutek może być taki, że pieniądze zostaną wydane na rozwiązanie, które nie przedstawia żadnej wartości" - mówi K. Tyminski.

Jednak największe szkody związane z stosowaniem FUD dotyczą komunikacji między osobą odpowiedzialną za bezpieczeństwo a zarządem - niszczy bowiem zaufanie i wprowadza podejrzliwość. Stosowanie taktyki FUD sprawia, iż każdy prezentowany argument już na wstępie wzbudza wątpliwości - czy chodzi o pomysły i projekty, które tworzą przewagę konkurencyjną czy też jest to tylko snucie przerażających wizji dla zdobycia funduszy?

Zmiana podejścia

Epatowanie przerażającymi scenariuszami w dyskusji poświęconej bezpieczeństwu rzadko jest niezbędne. "Rozmawiając o bezpieczeństwie, nie należy koloryzować, rzeczywistość jest wystarczająco straszna" - uważa Pat Schuler, konsultant, który współpracował z wieloma firmami z listy Fortune 500. Zarząd żąda racjonalnego przedstawienia sytuacji wraz z rekomendowanymi rozwiązaniami. Prezentacja może uwzględniać najczarniejszy scenariusz i ryzyko płynące z braku podjęcia jakichkolwiek działań, jednak należy unikać przesadnego dramatyzmu. Zdaniem P. Schulera idealnym sposobem na powstrzymanie się przed stosowaniem FUD jest przedstawienie w punktach wszystkich racji. Dodatkowym plusem jest to, że taka metoda sprzyja szybkiemu zrozumieniu sedna problemu. "Dostarczenie niezbędnych informacji i propozycji rozwiązania problemu to wszystko, czego trzeba kierownictwu firmy. Należy się wówczas wycofać i poczekać na decyzję" - twierdzi P. Schuler. "Któż lubi być postawiony przed ścianą? W takich sytuacjach FUD nie zadziała" - dodaje.