Курс на повышение эффективности бизнеса
За последние месяцы от нескольких добрых знакомых слышал фразу: «Чтобы бюджет по информационной безопасности урезать, его надо сначала найти». Фраза отражает реалии 2015 года, который даже прожженные оптимисты называют кризисным.
По отношению деловых людей к кризису их можно разделить на две большие группы: «деморализованные» и «мобилизованные». Первые в большей степени подвержены негативному настрою и придерживаются тактики тотального сокращения издержек. Вторые ориентированы на повышение эффективности бизнеса, и оптимизацию затрат рассматривают только как один из инструментов достижения этой цели.
Пожелаем удачи первым, и поговорим о вторых. Тех, кто сегодня работает над повышением эффективности бизнеса. Я не оговорился, именно бизнеса, а не информационной безопасности. Владельцы бизнеса в современных условиях больше не готовы тратить на «состояние защищенности» и тем более инвестировать в «процесс повышения уровня защищенности». По этому таким показателями в области ИБ сейчас просто не время и не место.
Как же можно, занимаясь информационной безопасностью, повышать эффективность бизнеса? Тем более, что ИБ традиционно считается дотационным направлением? Предлагаем пойти в решении этого вопроса по такому алгоритму:
Определение влияния ИБ на бизнес-процессы предполагает выявление тех критических мест в бизнес-процессах, где «без ИБ никак». Например, без защиты от DDoS будет «лежать» интернет-сервис, через который бизнес получает деньги. Недоступность этого сервиса критична для бизнеса. Выявленное влияние ИБ на бизнес позволяет включить в издержки по сопровождению сервиса стоимость DDoS-решения.
На этом же примере пройдем второй шаг – определение требуемого уровня сервисов ИБ. И тут предлагается рассматривать ИБ, не просто как статью затрат, а как источник прибыли. На нашем примере берем текущий уровень доступности интернет-сервиса равной 98%. Т.е. есть 2% времени простоя, который оборачивается упущенной прибылью в 5 млн. рублей. Определяем требования к ИБ в конкретной метрике – повышении уровня доступности интернет-сервиса до 99.9%. Вычисляем остаточный объем упущенной прибыли – 200 тыс. рублей. Отнимаем от ранее зафиксированной упущенной прибыли (5 млн. руб.) остаточный объем (200 тыс. руб.) и стоимость сервиса ИБ (600 тыс. руб.) и получаем 4.2 млн. рублей. Эти деньги, которые можно записать в прибыль, полученную за счет сервиса ИБ. Расчет упрощен и приведен исключительно для иллюстрации подхода. Но смысл во всех бизнес-процессах один и тот же: определение метрик сервисов ИБ, которые позволят бизнесу заработать или не потерять деньги.
Добрались до реализации сервисов ИБ. Это более привычная и менее дискуссионная часть пути. Если бизнес согласился с тем, что сервисы ИБ нужны, подписался под конкретные метрики, и чего-то ждет, это «что-то» ему надо дать. И тут уж начитают в полный рост расцветать всякого рода решения – организационные и технические. С одним НО. Когда приходит время подвести итог по отчетному периоду (чаще всего году), то проще всего показать именно затраты – т.е. бюджет, потраченный на покупку оборудования, контракты на внедрение и внутренние издержки по ИБ-проектам. А с отчетом по выполнению требований бизнеса к сервисам ИБ все оказывается не так просто. Тем более, если в течение года мониторинг и контроль этих сервисов не велся.
И если на первых двух этапах важна методика и тесная связь с бизнесом, то по контролю и мониторингу созданного набора сервисов ИБ может пригодиться инструмент автоматизации. В настоящий момент мы такой инструментарий разработали и готовы поделиться – Smart Monitor. Первоначально это решение создавалось, как комплексное средство мониторинга ИТ и ИБ инфраструктуры с возможностью расследования инцидентов. Но постепенно мы пришли к пониманию, что из этого продукта можно сделать инструмент контроля качества предоставляемых ИТ или ИБ услуг (оказываемых этими подразделениями сервисов). В основе подобного рода мониторинга лежит подход по построению системы иерархических многоуровневых индикаторов «здоровья», отражающих корректность работы ИТ и ИБ сервисов.
В начале этой скупой на графику публикации была батарейка – это индикатор «здоровья» ИБ. Идея, которая сейчас реализована в Smart Monitor – руководитель всегда должен иметь возможность видеть текущий уровень реализуемых ИБ сервисов с привязкой к тем бизнес-задачам, которые он перед ИБ ставит. И я надеюсь, коллеги, что у всех вас данный индикатор будет в «зеленой зоне»!