Многие классические методы анализа внешней и внутренней среды предприятия, как и показатели эффективности, применимы к службе ИБ.
Начнем с бизнес-анализа...
Самыми популярными считаются инструменты: SWOT-анализ, PEST-анализ и Анализ пяти сил Портера.
По своей сути все эти методы очень просты, но профессиональные консультанты зарабатывают на них большие деньги ;-) . Например, в SWOT-анализе мы формулируем наши сильные и слабые стороны (относящиеся непосредственно к нам), а также возможности и угрозы (которые относятся к внешней среде). Строим взаимосвязи вроде: Какие сильные стороны помогают компенсировать угрозы? Как возможности могут повлиять на наши слабые стороны? И т.д.
Далее описываем результаты анализа и делаем вывод.
Удивительно наблюдать за людьми, которые делают эту штуку в первый раз. У них на лице появляется прозрение ;-) . Серьезно! Даже предварительный анализ, который можно сделать за 15 минут, может помочь в решении, казалось бы, нерешаемой задачи!
С показателями эффективности несколько сложнее. Коллеги уже обсуждали, такой показатель, как ROI. В одном ряду с ним стоят такие показатели, как NPV, PI и другие. Основная проблема с ними заключается в их происхождении. Они были созданы, для поиска наиболее привлекательного инвестиционного проекта. Другими словами, у вас есть 100 рублей, вы хотите их во что-то проинвестировать, чтобы заработать денег. У вас есть несколько вариантов: сделать вклад в банк, вложить в ПИФ или какую-то компанию. Возникает вопрос, как сравнить такие разные способы вложения денег? На помощь приходят ROI, NPV, PI и другие показатели. С безопасностью несколько иначе. Компания, вкладывает деньги в свою ИБ и не планирует заработать на этих инвестициях. Компания рассчитывает не потерять больше денег, чем она вкладывает в ИБ.
Поэтому использовать такие показатели для ИБ сложно. Чтобы оценить эффективность вложения в ИБ вы должны анализировать и считать показатели не на службу ИБ, а на весь процесс информационной безопасности, включая поступление денег в компанию и потери от инцидентов ИБ. Как показывает практика, сделать это очень сложно.
Поэтому мой вывод заключается в неприменимости классических показателей эффективности для оценки эффективности вложений в ИБ. Просто природа этих вложений разная.
Итак, для службы ИБ можно применять все известные методы анализа внешней и внутренней среды, а вот показатели эффективности необходимо использовать очень осторожно, т.к. инвестиции в безопасность носят защитный характер, а не коммерческий.
Как обещал, посвящаю пост бизнес-менеджеру Алексею Волкову ;-)
Спасибо, конечно :) Но я тебя покритикую чуть. Точнее, поправлю. Любая компания должна дорасти до ИБ, но прежде — до ИТ. И когда у доросшей до ИТ компании вдруг отбирают это самое ИТ, а еще хуже — отбирают информацию, которая крутится в ИТ, или с ее помощью мошенничают с более реальными активами — вот тогда она начинает задумываться. И тут нужен специалист, который знает как сделать так, чтобы инструмент для ведения бизнеса работал как часы. Наличие такого специалиста становится требованием бизнеса. А вот что он предложит — это уже рекомендации, и от того, насколько грамотно он их обоснует, зависит результат — будут они приняты бизнесом или нет. И вот здесь те самые 20%.
Согласен. Тут нужно различать 2 ситуации: 1-й это когда компания растет и возникает потребность в ИБ, 2-й это когда уже есть ИБ, но причины ее существования не очевидны.
А вот здесь как нельзя кстати подойдет твой предыдущий пост, поскольку с точки зрения бизнеса любое подразделение, существование которого не очевидно — лишнее подразделение. И для того, чтобы доказать очевидность, ИБ-шнику можно использовать массу вариантов. К сожалению, все идут по пути наименьшего сопротивления — генерят палки. Бизнес-менеджеров очень мало. Но об этом я уже у себя писал-исписался.
Да, и заметь, что при частой смене руководства возникает ситуация, когда подразделение с доказанной необходимостью становится вновь не очевидным, и ИБ-шнику приходится начинать все заново. Мне известны случаи, когда приходилось за 6 лет 3 раза необходимость доказывать, и весьма успешно ;)
Текучка большая. Хотя позиция Директора по ИБ должна быть более постоянной, чем сотрудника коммерческих департаментов, в реальности не все так просто. Есть такие компании и такие позиции, где люди просто не могут долго работать. Причина не только в работодателях, но и в дефиците кадров.