На Infosecurity Russia (да, я в курсе, что уже почти месяц прошел, но что-то руки никак не доходили) посетил секцию "Экономическая эффективность ИБ". Один из докладчиков - Павел Головнев - в своем докладе "Диалог с бизнесом в терминах рисков и эффективности ИБ" представил замечательную формулу для оценки бюджета, который руководство компании готово тратить на ИБ:
Интерпритируется она, с точностью до смысла, следующим образом:
Бюджет на информационную безопасность есть функция от меры доверия руководства компании к службе ИБ, величины русского авось и общей энтропии инертности принятия решений в организации.
Большой бюджет - это хорошо, это минимум костылей и максимум удобства для пользователей (ну, если служба ИБ более ли менее работает на интересы бизнеса). Осталось как-то факторизовать обозначенные выше параметры для понимания того, на какие факторы мы можем повлиять.
Первый параметр - уровень доверия к службе информационной безопасности. Т.е. человеческие отношения. А что делают, чтобы кому-то понравиться? Если говорить языком бизнеса, то за это отвечают маркетинг и клиентоориентированность.
Т.е. "служба" должна, помимо возложенных на нее функций по защите информации (если с этим не справляется, то доверие явно будет подорвано), еще и улыбаться, рекламировать свои услуги внутренним клиентам и просто помогать людям... (что, правда, совсем не просто, с учетом вмешательства во все бизнес-процессы компании).
Под номером 2 идет параметр "Величина русского авось". Хотя его мы можем регулировать в меньшей степени. Можем строить карты рисков - но принятие решения об их смягчении все равно будет зависеть главным образом от доверия к службе ИБ. Хороший, на мой взгляд, вариант предложил в своем блоге Vlad Styran. Конечно, еще есть методы запугивания страшными угрозами, но на них грамотные топ-менеджеры "ведутся" редко :)С третьим параметром - инертностью принятия решений, наверное, сложнее всего иметь дело. Мы, как правило, приходим в некоторую устоявшуюся систему, в которой, по мнению большинства "мутим воду" (опять к вопросу о доверии). Один способ я, правда, слышал на DLP-Russia от одного из участников. В их компании бюджет на ИБ был получен в рамках выполнения 152-ФЗ. Сначала просили формально подписать кучу бумажек (для регуляторов), а затем с этой кучей бумажек пошли к руководству требовать деньги на приобретение требуемых СЗИ.
Но это крайне опасный путь, поражающий конфликт и недоверие в тех организациях, где не нужно максимально потратить бюджет, а где необходимо обеспечить безопасность интересов бизнеса. (Если же говорить об организациях "первого типа"... один мой коллега в гос.учреждении немного завысил класс ИСПДн (когда они еще были), чтобы приобрести себе более дорогие игрушки. И в данном случае даже одобряю.) По крайней мере, есть конкретные примеры, где такой способ получения бюджета значительно подрывал доверие к службе информационной безопасности, а значит... этот параметр в формуле получения бюджета значительно снижался.
P.S. Кстати, в этой же секции был очень интересный и полезный доклад у Константина Коротнева про внедрение PKI ИБ в "Эльдорадо".
