Коэффициент окупаемости инвестиций и безопасность

На протяжении последних нескольких лет многие компании пересмотрели свои ИТ-бюджеты, чтобы уменьшить их, как спускают проколотые шины. Однако, затраты на безопасность остались по-прежнему высокими — главным образом из-за хакеров, вирусов или похитителей данных, которые могут разорить компанию и, буквально в считанные минуты, потопить ее. Но сейчас, когда возрастает необходимость выбора стратегии и создания конкретных результатов, становится все более важной заботой начать управлять затратами на безопасность и возвратом вложенных инвестиций.

Хотя многие лидеры бизнеса настаивают на том, что финансы не ставятся во главу угла, когда дело касается безопасности, правда прямо противоположна их утверждениям.

Организации, которые применяют структурный подход к решению проблемы, включая использование систем измерений и промежуточных контрольных точек, выходят из лабиринта информационной безопасности и справляются с этим довольно легко.

Вот те пять вопросов, которые каждый менеджер по безопасности должен задать для того, чтобы затронуть все аспекты:

1. Понимаем ли мы риски, и разработали ли мы жизнеспособную стратегию?

Очевидно, что банк мало чем похож на зоомагазин. Важной отправной точкой является проведение моделирования и анализа рисков с использованием как отраслевых стандартов, так и требований организации. (Наиболее часто используемые стандарты, способствующие установке в организациях звуковых программ безопасности, являются в ИТ контрольными объектами, которые опубликованы Ассоциацией аудита и контроля информационных систем и зафиксированы в стандарте ISO 17799 — в международных правилах по управлению информационной безопасностью.) Цель моделирования и анализа — оценить разрушительное воздействие и возможный вред для бизнеса и то, как это может отразиться на организации — от сокращения продаж и снижения производительности до штрафов или ущерба для репутации.

Уорстелл говорит, что важно также использовать технологию анализа тенденций, чтобы сделать схему рисков и угроз и заранее понять, как они могут повлиять на компанию в течение недель, месяцев и лет.

В результате эти предприятия больше не нацелены на эффективные инструменты и стратегии безопасности.

2. Все ли моменты мы уравновесили, чтобы разработать жизнеспособное решение?

Разработка эффективной стратегии безопасности требует точного баланса между рисками и издержками.

В конце концов, даже в пределах одной компании потребности в безопасности будут различаться: «Меню в закусочной не требует такой защиты, как медицинские записи». Разработка детальной матрицы, использование актуальных цифр и сметы поможет получить сценарий.

Хотя можно подсчитать, как события будут развиваться в худшем случае, в целом неблагоразумно вкладывать неограниченные ресурсы в системы, которые защищают компанию от маловероятного инцидента. Среди факторов, которые должна принять во внимание организация, следующие: рост ее производства и вероятность стать целью; ценность специфических данных и систем; способность разработать гибкую и масштабируемую стратегию; окупаемость отдельного решения; и наконец, как решение для обеспечения безопасности влияет на технологический процесс и производительность.

3. Все ли части организации делают достаточный вклад?

В конечном счете, все сводится к пониманию бизнес-процессов. Подразделения бизнеса играют огромную роль в оценке рисков, задач и обязанностей и в определении, что нужно защитить. Они также должны помогать устанавливать правила и порядок действий, особенно для таких основанных на реакции процессов, как вход в систему и управление документооборотом. Этот процесс не единичный. Лидеры бизнеса должны обеспечивать вклад в действующие принципы.

4. Есть ли у нас сильный лидер и кто-то, кто будет отвечать за проект?

Продуманные инструменты безопасности и хорошо разработанные бизнес-процессы являются лишь частью формулы.

По сути дела, руководство может выступать с предложением о целесообразности такого назначения. Хотя генеральный директор должен быть занят в любой инициативе по безопасности, организации требуется отдельная позиция, на которой человек занимался бы исключительно вопросами безопасности. Палмер говорит, что эта личность, обычно это директор по безопасности, должна заниматься физической и ИТ-безопасностью, чтобы уследить за всем и за всеми.

Помимо наблюдения за финансовыми решениями и проведения отчислений на безопасность, директор по безопасности должен помогать организации развивать «надежную гетерогенную платформу», которая позволит ей быстро и эффективно адаптироваться — и максимизировать выгодность предыдущих инвестиций, говорит Палмер.

5. Расставили ли мы приоритеты и разработали ли систему мер для оценки успеха?

Кемпбелл из Nucleus Research верит, что если компания избегает системы мер, ей просто нет оправдания. Хотя некоторые организации заявляют, что невозможно измерить в железных долларах инвестиции на безопасность, он говорит, что такие организации всего лишь обсчитывают самих себя. Когда организация осознает возможные затраты и риски, ответы на вопрос, какие продукты и системы покупать, легко запускают процесс, замечает он.

Не менее важно сохранять таблицы систем безопасности и действующие принципы. Кемпбелл говорит, что такие обзоры нужно делать, по крайней мере, раз в бюджетный год, а в зависимости от размера компании, даже раз в квартал. Как только компания начинает держать руку на пульсе вопросов безопасности, она может развиваться из реакционной в проактивную.

Сэмюэль Грингард освещает бизнес и технологии для многих изданий и является бывшим президентов Американского общества журналистов и авторов.

«	Небольшие компании разрабатывают стратегию и рассматривают возврат инвестиций как нечто, связанное с любой реализацией по безопасности.	»
«	Уэс Палмер директор по решениям безопасности Avanade Inc., мирового технологического интегратора, специализирующегося на корпоративной платформе Microsoft

«	Финансовые вопросы — это ключевые вопросы. Все крутится возле понимания и соизмерения рисков и соответствующих затрат.	»
«	Айан Кемпбелл генеральный директор Nucleus Research Inc., консалтинговой компании из Массачусетса

«	Каждая компания своеобразна, и не имеет смысла одной организации перенимать ту же модель, что использует другая.	»
«	Карен Уорстелл директор по информационной безопасности Microsoft

«	Слишком много компаний не оценивают возможный вред или что бы то ни было вообще.	»
«	Карен Уорстелл директор по информационной безопасности Microsoft

«	Во многих случаях все дело состоит в осторожной и методичной игре. Ни одна компания не может себе позволить купить каждое доступное решение и плотно закрыть каждую систему.	»
«	Айан Кемпбелл генеральный директор Nucleus Research Inc., консалтинговой компании из Массачусетса

«	Слишком часто безопасность рассматривают как поле для деятельности группы умных ребят в задней комнатке. На самом же деле, за безопасность отвечает вся организация.	»
«	Мистер Риган управляющий по безопасности и учетным данным компании BearingPoint Inc. из города МакЛин, штат Виржиния, занимающейся управленческим консалтингом и системной интеграцией

«	Кто-то должен следить за безопасностью и иметь общую картину.	»
«	Уэс Палмер директор по решениям безопасности Avanade Inc., мирового технологического интегратора, специализирующегося на корпоративной платформе Microsoft

«	Безопасность может стать пугающей задачей, если нет кого-то, кто бы за нее отвечал и координировал технологии и процессы по всему предприятию. Серьезный лидер нужен, чтобы извлечь максимум из стратегии безопасности.	»
«	Карен Уорстелл директор по информационной безопасности Microsoft