W stosunku do kierownictwa, osoba odpowiedzialna za bezpieczeństwo stanowi swoisty filtr, który zatrzymuje szczegółowe informacje o wirusach czy hakerach, a dostarcza przejrzystej informacji o konsekwencjach, jakie z danego wydarzenia płyną dla firmy. "Tylko fakty. To mój sposób działania - tylko fakty i zero emocji" - mówi J. Mecsics. - "Trzeba się nauczyć pomijać złe i nieistotne informacje".

Jeśli każda przekazywana wiadomość to zła wiadomość, szybko można się do tego przyzwyczaić. Jim Mecsics był świadkiem sytuacji, kiedy osoba zajmująca się bezpieczeństwem firmy straciła swoją pozycję, ponieważ za każdym razem, gdy wchodziła do pokoju szefa, miała do zakomunikowania złą wiadomość. Nagle okazało się, że szef przestał mieć czas na spotkania z nią. Informacje były przekazywane i filtrowane przez jego zastępcę.

Lew Wagner, dyrektor ds. bezpieczeństwa w M.D. Andersen Cancer Center przy Uniwersytecie Teksaskim, sugeruje koncentrowanie się na przekazywaniu pozytywnych informacji.

Gdy w ubiegłym roku zaatakował wirus Bugbear, Wagner zakomunikował swoim przełożonym, że choć dwie organizacje padły jego ofiarą, ich systemy są bezpieczne. Kolejnym przedsięwzięciem było stworzenie strony intranetowej dla użytkowników, na której zamieszczono porady dotyczące identyfikowania zagrożeń i wskazówki, jak bezpiecznie korzystać z Internetu.

Budowanie związków

Dyskusja na temat bezpieczeństwa jest wyjątkowo trudna, jeśli tylko jedna ze stron wykazuje zainteresowanie tematem. FUD to ostatnia deska ratunku dla tych, którym nie udało się nawiązać partnerskiego kontaktu z przedstawicielami zarządu i podjąć inicjatyw edukacyjnych mających na celu rozszerzenie odpowiedzialności za bezpieczeństwo firmy.

Kim Van Nostern, dyrektor ds. bezpieczeństwa w Allstate, udało się stworzyć zespół osób na kierowniczych stanowiskach odpowiedzialnych za zarządzanie procesem ochrony informacji. "Pięćdziesiąt osób jest odpowiedzialnych za edukację pracowników w zakresie bezpieczeństwa w całej firmie" - mówi Kim Van Nostern. - "Bezpieczeństwo to nie jest zadanie dla pojedynczej osoby, spoczywa na barkach wielu osób". Praktyka polegająca na rozpraszaniu odpowiedzialności jest jednak rzadka. Dyrektor ds. bezpieczeństwa jest zwykle jedynym źródłem informacji związanych z bezpieczeństwem w firmie. Często zamiast przekazywać swoją wiedzę innym, zatrzymuje ją dla siebie, bo wydaje mu się, że jeśli pozostanie jedyną osobą, która ją posiada, trudniej będzie go zwolnić.

Tymczasem zdolność tworzenia konsensusu i propagowania wiedzy odgrywa kluczową rolę w opieraniu się pokusie FUD i nawiązaniu efektywnej komunikacji. Jim Mecsics określa takie podejście jako "bycie adwokatem" w przeciwieństwie do skupiania wszystkiego na sobie.

W przypadku braku formalnej, rozproszonej grupy osób odpowiedzialnych za bezpieczeństwo pozostaje nawiązywanie nieformalnych kontaktów z czołowymi postaciami w firmie, które w krytycznych sytuacjach będą wspierać niezbędne inicjatywy. Nie chodzi tylko o to, by pokazywać, jakie korzyści odniesie firma, ale także o to, by bezpieczeństwo zaczęło być postrzegane jako pomoc, a nie przeszkoda. Dyrektorzy ds. bezpieczeństwa często są postrzegani przez pozostałych pracowników jako główny czynnik utrudniający prowadzenie projektów. Dlatego zdarza się często, że pomija się stosowne procedury.

Adam Hansen, odpowiedzialny za program mający na celu podniesienie bezpieczeństwa w kancelarii prawnej Sonnenschein, twierdzi, że optymalne podejście to koncentrowanie się na co najwyżej kilku przedstawicielach władz organizacji. "Kiedy kilka osób zrozumie o co chodzi, pociągnie za sobą całą resztę" - mówi Adam Hansen. Szczególną wagę warto przyłożyć do kontaktów z osobami zajmującymi się audytem, ponieważ dyrektor wykonawczy i finansowy zwykle niechętnie odnoszą się do inwestycji z zakresu bezpieczeństwa. Pracownikom działu audytu łatwiej jest do nich dotrzeć.

Edukacja i rzeczywistość

Poświęcenie czasu na edukowanie zarządu ułatwia prowadzenie racjonalnej dyskusji i minimalizuje konieczność odwoływania się do FUD. Jednym z najistotniejszych elementów edukacyjnych jest upewnienie się, iż oczekiwania w stosunku do działu odpowiedzialnego za bezpieczeństwo są realistyczne. "Wydaje mi się, że nadal nie wszyscy rozumieją, na czym polega zabezpieczanie systemów IT i co można dzięki temu osiągnąć" - uważa Marc Rogers, pracownik naukowy w Internet Innovation Center przy Uniwersytecie w Manitobie oraz dyrektor ds. usług z zakresu bezpieczeństwa w Manageworx Infosystems. "Zachodzi tyle zależności, że zabezpieczenie jednej dziury w tamie nie pomoże w przypadku dziesięciu innych przecieków" - dodaje. Trzeba przekonywać, że kupno kosztownej zapory ogniowej nie rozwiąże wszystkich problemów związanych z bezpieczeństwem firmy. Równie potrzebne są system wykrywani włamań, oprogramowanie antywirusowe i system ochrony haseł.

Konieczne jest rzetelne przekazywanie informacji, które z poprzednich inwestycji okazały się trafione, a które nie, które przynoszą wymierne korzyści, a które nie. Dyskusje na temat niefortunnych inwestycji mogą być nieprzyjemne, niemniej są konieczne do prezentowania realnych możliwości i ograniczeń różnych rozwiązań. Wczesne komunikowanie takich informacji wzbudza zaufanie.