Простая мысль о том, что бизнес хочет от ИБ

Простая мысль о том, что бизнес хочет от ИБ
Уже не мало копий сломано на предмет того, что бизнес хочет от информационной безопасности. Уже не раз звучали умные и правильные слова: "снижение рисков", "покажите деньги", "считайте сэкономленные расходы"... Но зачем придумывать, если есть уже готовый ответ?! Это я опять про свой любимый COBIT5.

Первый базовый принцип COBIT5 "Соответствие потребностям заинтересованных сторон" озвучивает простейшую идею:
Предприятия существуют для того, чтобы создавать ценностьдля заинтересованных сторон, путем поддержания баланса между получением выгоды и оптимизацией рисков и ресурсов.
Мысль простая, но но очень емкая. Говоря с бизнесом про финансирование проектов по информационной безопасности, покажите то, как данное решение поможет:
  1. Получить выгоды (финансовые и не финансовые)
  2. Оптимизировать риски (обычно снизить)
  3. Оптимизировать ресурсы (обычно тоже снизить)
Для информационной безопасности говорить придется скорее о "2" и "3". С "реализаций выгод" сложнее, но примеры тоже могут быть. Например, сертификация по ISO 27001 может дать некоторые маркетинговые преимущества или повысить стоимость компании при продаже.


Придерживайтесь именно этих трех направлений при аргументации идей для вашего  руководства, и, возможно, к вашим словам начнут прислушиваться чаще.

Кстати, в COBIT5 вопрос связи этих глобальных целей с целями бизнес подразделений и ИТ прописано довольно хорошо в "каскаде целей", есть удобные таблицы. Но вы их можете посмотреть самостоятельно .




P.S.  Еще можно посмотреть:
Alt text

Тени в интернете всегда следят за вами

Станьте невидимкой – подключайтесь к нашему каналу.

Andrey Prozorov

Информационная безопасность в России и мире