Контакты
Подписка
МЕНЮ
Контакты
Подписка

"Пока гром не грянет – мужик не перекрестится"

"Пока гром не грянет – мужик не перекрестится"

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций

"Пока гром не грянет – мужик не перекрестится"

Тема обоснования затрат на информационную безопасность в организации в России не нова. Из года в год она поднимается как в СМИ, так и на тематических форумах и конференциях по информационной безопасности. Эксперты переходят из компании в компанию и сталкиваются с похожими проблемами: как объяснить представителям бизнес-подразделений важность и нужность обеспечения защиты информации, как обосновать выделение бюджета на проведение организационно-технических мероприятий по минимизации угроз для информационной безопасности активов и клиентов в организации?
Алексей Плешков
Независимый эксперт по информационной безопасности

Владельцы компаний чаще всего оперируют экономически понятным им термином "возврат инвестиций", сравнивая в денежном эквиваленте бюджет, выделенный на реализацию мер по обеспечению информационной безопасности, с прямым экономическим эффектом от внедрения данных мер в отчетный период. Здесь приходит на ум мудрая старорусская поговорка: "пока гром не грянет – мужик не перекрестится". К сожалению, в краткосрочной перспективе достичь желаемого финансового равновесия бывает крайне сложно.

И в такой неоднозначной ситуации (обоснование затрат) с точки зрения бизнеса во внимание как в плюс, так и в минус могут быть приняты самые разные дополнительные аргументы и интерпретации этой самой ситуации. Правильно сформулировать свою позицию, объяснить лицу, принимающему решение с точки зрения риск-ориентированного подхода и статистики по инцидентам информационной безопасности в отрасли, почему именно такие меры были предприняты, в чем выражается и когда следует ожидать экономический эффект, – эти факторы составляют более 80% успешного общения офицера по информационной безопасности и представителей бизнес-подразделений компании. Однако если в процессе постконтроля или планового внешнего аудита независимыми экспертами выясняется, что затраты на информационную безопасность изначально необоснованно завышены, предложенные меры реализованы частично, а модели угроз и нарушителя из политики информационной безопасности взяты не из вашей отрасли бизнеса, а из наиболее рискованной, к примеру финансовой, степень доверия к такому специалисту со стороны бизнеса резко падает и рассчитывать на длительное понимание и поддержку руководства организации специалисту по защите информации уже не получится. Приходится искать другую работу…

Правильные аргументы

На практике наиболее понятными и правильно воспринимаемыми бизнес-подразделениями аргументами в пользу развития информационной безопасности являются:

Правильно сформулировать свою позицию, объяснить лицу, принимающему решение с точки зрения риск-ориентированного подхода и статистики по инцидентам информационной безопасности в отрасли, почему именно такие меры были предприняты, в чем выражается и когда следует ожидать экономический эффект, – эти факторы составляют более 80% успешного общения офицера по информационной безопасности и представителей бизнес-подразделений компании.
  • сохранение и наращивание клиентской базы (проявление заботы о безопасности клиентской информации, предложение удобных инструментов, повышающих уровень конфиденциальности документооборота и т.д.);
  • увеличение привлекательности основного продукта путем снижения рисков реализации известных угроз информационной безопасности (внедрение прозрачных для клиентов элементов защиты, снижающих риски компрометации или перехвата клиентских данных);
  • устранение замечаний и предписаний внешних аудиторов (по результатам ранее проведенных проверок или в рамках подготовки к плановым аудитам);
  • выявление нелояльных сотрудников (плотная работа с персоналом компании, проведение регулярных инструктажей, консультирование по вопросам личной и корпоративной информационной безопасности, а также выявление в процессе внутренних нарушителей);
  • снижение внутренних расходов на содержание персонала (внедрение превентивных ограничений и процедур контроля, позволяющих снизить накладные расходы на эксплуатацию технических средств и программного обеспечения в организации);
  • защита от действий недобросовестных конкурентов (выявление инцидентов информационной безопасности, направленных на несанкционированное получение внешним нарушителем информации о внутренней структуре и бизнес-процессе в организации);
  • недопущение масштабных утечек информации по "внутренней кухне" организации (непрерывный мониторинг действий сотрудников на рабочих местах автоматизированными средствами, установка программных и аппаратных средств контроля, ретроспективный анализ, формирование совместно с экспертами от бизнес-подразделений признаков утечки);
  • выполнение обязательных требований регуляторов (для отдельных отраслей бизнеса требования по защите информации являются обязательными для исполнения, проверяются на плановой и внеплановой основе представителями внешней/головной организации, а выявленные нарушения оказывают серьезное влияние как на бюджетно-экономические, так и на административно-кадровые вопросы).

Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2017
Посещений: 8228

Приобрести этот номер или подписаться
  Автор

Алексей Плешков

Алексей Плешков

Независимый эксперт по информационной безопасности

Всего статей:  21

В рубрику "Управление" | К списку рубрик  |  К списку авторов  |  К списку публикаций