РЕШЕНИЯ И УСЛУГИ

Как посчитать эффективность мероприятий по безопасности

03/02/2015
Александр Шабалин

Зачем нужно считать эффективность мероприятий по безопасности? Основная цель этого упражнения – оценка эффективности работы службы информационной безопасности в компании. И нужно это упражнение, в первую очередь, руководителю этой самой службы ИБ, чтобы обосновать бизнесу требуемые для его успешной работы ресурсы, как людские, так и финансовые. Задача эта не простая, так как информационная безопасность напрямую не участвует в бизнесе, а значит, не приносит прибыль. Хорошо, если руководство компании понимает значимость мероприятий по информационной безопасности, проводимых в компании. Но зачастую это не так, и руководителю ИБ приходится обосновывать свою эффективность и значимость для компании.

Итак, как посчитать эффективность мероприятий по безопасности?

В первую очередь, нужно понимать, что обосновывать вложения в информационную безопасность требует бизнес. Бизнес не говорит на языке ИБ, он говорит на языке бизнеса, на котором приходится говорить и руководителю ИБ. Во-вторых, как было упомянуто выше, ИБ не участвует в бизнесе напрямую, а скорее помогает снижать издержки. Поэтому, главный вопрос, на который мы должны получить ответ – не что мы хотим получить по результатам того или иного мероприятия по ИБ, а зачем мы хотим это получить. При этом, не обязательно при оценке эффективности проекта быть математически точным, тем более, что финансово оценить ИБ сложно. Главное – показать реальную ситуацию.

Например, идею «нам нужно разработать планы аварийного восстановления» лучше сформулировать как «нам нужно уменьшить время восстановления бизнес-процесса после сбоя на 20%, а также оценить и минимизировать риски возникновения непредвиденных ситуаций, что позволит на 1/3 снизить вероятность их возникновения». В свою очередь, бизнес сможет прикинуть в какую сумму могут обойтись компании эти «20%» и «1/3».

На западе существует целый ряд методик оценки эффективности ИТ и ИБ. Несмотря на то, что эти методики по ряду причин не прижились у нас в России, можно подчерпнуть из них идеи подходов к расчетам. Тем более, что в большинстве своём они сформулированы как раз на языке бизнеса и финансов.

            Другим подходом к оценке эффективности мероприятий по безопасности может быть разделение большой задачи ИБ на более мелкие таким образом, чтобы можно было привязать их к конкретным бизнес-целям компании. Например, есть бизнес-цель открыть в новом году 5 новых офисов продаж и запустить новый интернет-магазин. Со стороны информационной безопасности задачами, поддерживающими эти бизнес-цели, могут быть, например, реализация плана защиты инфраструктуры веб-сайта от DDoS атак и модернизация сетевого оборудования для организации защищенных каналов связи до новых офисов.

            При оценке эффективности информационной безопасности не стоит забывать про требования регуляторов. Во-первых, в 2015 году обещают существенное увеличение штрафов за нарушения в области обработки персональных данных. Максимальный штраф по результатам проверки может составить более 400 тысяч рублей, что может оказаться значительной суммой, особенно для небольших компаний. Во-вторых, регуляторы имеют право приостановить деятельность компании до устранения нарушений, что гораздо страшнее штрафов, и для некоторых компаний может означать закрытие бизнеса. Выполнение требований регуляторов – один из немногих вариантов оценки, когда можно выразить эффективность в денежном эквиваленте. Указать сумму штрафов в случае проверки, или оценить вероятность приостановления деятельности и посчитать сколько будет стоить компании, например, двухнедельный простой, или блокировка веб-сайта.

            Другим примером, когда можно выразить эффективность ИБ в финансовом эквиваленте – оценить стоимость защищаемой информации или посчитать ущерб от инцидентов. Этот подход особенно актуален в банковском секторе, где снижение общего количества инцидентов ИБ, связанных с кражей денег у клиентов – вполне осязаемая величина.

            Также, можно показывать эффективность проводимых мероприятий по безопасности демонстрируя уже имеющийся прогресс. Эффективность в данном случае может измеряться не в деньгах. Можно, например, показать, что внедренное решение по автоматизации процессов информационной безопасности позволило уменьшить количество сотрудников, или снизить время, которое они тратят на выполнение рутинных задач, тем самым высвободив ресурсы для решения других задач, или позволяя сократить штат. В больших компаниях автоматизация процессов информационной безопасности выгоднее и нагляднее, че в маленьких.

            Резюмируя вышесказанное, хотелось бы сказать, что нет универсального решения для оценки эффективности мероприятий по безопасности для всех компаний. Каждый должен искать подход и методы, наиболее подходящие для его конкретной компании. И эффективность далеко не всегда должна измеряться в денежном эквиваленте или даже в точных цифрах. Основная причина – ИБ не участвует в бизнес процессах напрямую. Для некоторых бизнес-руководителей достаточно будет интерпретации «хорошо-плохо» или «полезно-вредно». В любом случае, показывать эффективность мероприятий по ИБ необходимо в привязке к бизнес-целям компании и оперируя терминами бизнеса, а не ИБ.

Администрация
сайта

Тема: Как посчитать эффективность мероприятий по безопасности

Задайте мне Ваш вопрос