Зачем безопаснику нужно знание бизнес-моделей?

Почти все умные стандарты по кибербезопасности говорят о том, что для успеха ИБ нужна поддержка топ-менеджмента. Но никто не говорит, как эту поддержку получить. А в других умных книжках говорится, что с бизнесом надо говорить на его языке. Но опять же мало где учат этому языку. Можно пойти, конечно, на курсы MBA или EMBA, но это долго и дорого. Да и не всегда полезно с точки зрения получения знаний (нетворкинг, да, штука полезная). Иногда хочется быстро, в режиме блиц, получить знания, которые помогут, если не говорить с бизнесом на равных, то хотя бы понять его чаяния, его боли, его задачи, и приблизить к ним кибербезопасность.

И вот тут, как мне кажется, очень хорошо может зайти такое понятие, как бизнес-модель. Я много лет назад наткнулся на книжку, в которой, конечно же в картинках, описывался процесс построения бизнес-модели любого предприятия — как частного, так и государственного. Как и любая модель, этот процесс был достаточно упрощен, чтобы не глубоко погружаться во все детали, и достаточно конкретен, чтобы не грести всех под одну гребенку. А самое главное, что с помощью этого подхода можно гораздо лучше разобраться в том, чем живет ваш бизнес, и понять, как ИБ может ему помочь, а не мешать.

Идея этой книги проста — любой бизнес строится на основе 9-ти блоков:

1. Потребительский сегмент или клиенты. Это те, для кого работает ваша компания и кто приносит вам деньги (если вы компания частная). Вы можете работать на массовый рынок или только для VIP-клиентов, ваша целевая аудитория — это только юридические лица или физическим у вас тоже есть что предложить. Если вы работаете на «физиков» и средний чек составляет для вас 1000 рублей, то вряд ли вы готовы будете тратить больше этой суммы на безопасность, что ограничивает вас в выборе защитных средств и мер. С другой стороны, фокусируясь на VIP-клиентах, каждый из которых вам приносит десятки миллионов рублей в год, вы можете раскошелиться и на более серьезные меры противодействия угрозам.
2. Ценностное предложение. Это то, почему клиенты понесут вам деньги и почему вы в их глазах предпочтительнее конкурентов. И это то, на что могут быть нацелены противоправные действия хакеров, нанятых вашими конкурентами. Допустим, ваша ценность в конфиденциальности ваших услуг (вы помогаете выводить денежные средства за рубеж или вы интим-шоп). Очевидно, что раскрытие данных по вашим клиентам (утечка информации) нанесет крупный удар по вам и вашему бизнесу и вам надо этому противопоставлять какие-то защитные меры.
3. Каналы сбыта. Это то, как вы продаете свои продукты и услуги клиентам. Банальный пример — если вы Интернет-магазин и все клиенты к вам приходят через Интернет, то вам в первую очередь нужно думать о доступности сайта и его защите от DDoS-атак, чем задумываться об установке PAM-решений.
4. Взаимоотношения с клиентами. Как вы общаетесь с клиентами? Это персональное обслуживание или автоматизированное? Это самообслуживание или работа через сообщества? Как можно нарушить эти взаимоотношения? Удалить личный кабинет клиента или замедлить работу онлайн-кассы? А как тогда их защищать?
5. Потоки поступления доходов. За что клиенты платят и как? Продажа активов или интеллектуальной собственности? А может вы продаете подписки или лицензии? Сдаете вы свои продукты в аренду/лизинг или отдаете в бессрочное пользование? Что будет, если кто-то украдет генератор лицензий на ваш флагманский продукт или взломает систему приема платежей, подменив скрипт на сайте (реальный кейс)? Допустим, вы продаете подписку на музыку на вашей платформе, но кто-то ее взломал и выкачал весь ваш аудиоархив, выложив его в открытый доступ. Вы не сможете больше продавать доступ к нему, но будете обязаны выплачивать заранее оговоренные роялти авторам и композиторам. Вы готовы к защите каналов поступления денег или будете тратить всю энергию на выполнение ФЗ-152?
6. Ключевые ресурсы. Что позволяет вам создавать ваши продукты и услуги? Люди? Материальные и интеллектуальные ресурсы? Финансы? Что если злоумышленник выведет из строя цифровую подстанцию, что приведет к останову вашего производства? А если он прервет цепочку поставок и вы не сможете вовремя поставить произведенный товар покупателю, попав не только на штрафные санкции, но и на снижение лояльность клиентов?
7. Ключевые виды деятельности. Это те действия, без которых невозможно функционирование бизнес модели. Разработка ПО, управление отношения с поставщиками, логистика, разрешение проблем, функционирование платформы… Примеров таких видов достаточно много и на каждый из них можно повлиять в информационном пространстве, что потребует вашего пристального внимания.
8. Ключевые партнеры. Кто ваши поставщики и кто партнеры? Благодаря кому вы снижаете риски, получаете ресурсы или оптимизируете свои бизнес-модели? Например, вы разрабатываете ПО и вам точно нет смысла еще и самостоятельно разрабатывать ПО для сборки, компиляции, тестирования исходников. Вы, скорее всего, возьмете какой-нибудь MS Visual Studio. А что если он вам стал недоступен по причине блокирования доступа к облаку Microsoft? А если вы не хотите хранить все ваши данные у себя в ЦОДе (потому что у вас его нет) и заключаете договор с облачным провайдером, которого взломают?
9. Структура издержек. Это расходы, связанные с функционированием вашего бизнеса. Все, что описано выше, требует расходов, которые надо снижать. Допустим вы лоукостер и ваше преимущество в том, что ваши пассажиры долго не ждут в аэропорту, не тратят время на регистрацию багажа и нахождение в залах ожидания, сразу проходя в самолет и улетая в точку назначения. Это позволяет экономить на издержках, не платить аэропортам и т.п. Но что если хакеры вывели из строя систему регистрации пассажиров? У вас сразу увеличивается время ожидания, издержки растут и вы начинаете нести убытки, которые снижают вашу прибыль.

Да, этому не учат в институте и тем более не описано в документах наших (да и любых) регуляторов. Но это именно то, что стоит изучать в первую очередь, приходя на новое место работы или желая заручиться поддержкой бизнеса и поднять свой статус в его глазах. Тогда вам придется изучать не 378-й приказ ФСБ, ГОСТ 57580.1 или Указ Президента №250, а то, как функционирует ваш бизнес, на чем он зарабатывает, и, самое главное, что ему может помешать в информационном пространстве, за устойчивость функционирования которого вы и отвечаете как ИБшник.

А самое интересное, что ровно по той же модели работает и киберпреступность, о чем мы поговорим в следующих заметках. Да и сама служба ИБ подчиняется этой же схеме — у нее есть свои потребители (клиенты и сотрудники) и свои ключевые партнеры (например, ИТ и юристы), свои ключевые виды деятельности (например, защита от DDoS и повышение осведомленности) и свои ценностные предложения (удобство или конфиденциальность), своя структура издержек (бюджет-то вы считаете) и свои потоки поступления доходов (вот тут с оговорками и зависит от используемой модели функционирования ИБ) и т.п. Иными словами, изучение бизнес-моделей — вещь полезная и, самое главное, незанимающее много времени.

Так что берите нижеприведенный шаблон и попробуйте его заполнить применительно и к своему работодателю и к своей службе ИБ — вас ждет увлекательнейшее занятие и гораздо лучшее понимание вашего бизнеса и места ИБ в нем.

Заметка Зачем безопаснику нужно знание бизнес-моделей? была впервые опубликована на Бизнес без опасности .