Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
«Может ли отдел ИБ приносить прибыль своей организации?»
 
Идея автора весьма хороша сама по себе и, наверное, рано или поздно приходит в голову каждому
менеджеру ИБ, особенно в момент защиты бюджета. :)
Однако пример не очень удачен, т.к. взят вообще не из области ИБ а из Revenue Assurance что не есть
то же что Инфобезопасность.
Всяческие ROI калькуляторы тоже не дают сколь-либо убедительного ответа на вопрос о финансовой эффективности
деятельности ИБ.
По моему опыту и прикидкам - тут есть два способа. Один не финансовый, но тем не менее интересный
ТОПам: результаты внешних аудитов. При наличии оных в компании. Выглядеть по заключению аудитора хорошо -
достаточно яркая медалька на грудь как финансового, так и генерального. Надо только их к этому мягко подвести.

Второй, более эффективный критерий оценки - не конкретно по деньгам, а по времени. Как и, собственно,
вообще все ИТ (считать-то и на счетах можно, и дешевле сильно :)).
Разработать и внедрять системы ИБ под эгидой экономии времени (что на управление доступами,
что на расследование инцидентов/выдачу информации органам, что на внедрение через сокращение времени
последующих "доводок" и "поправок", BCP же вообще одна сплошная экономия времени.
В принципе - под этот параметр можно подогнать вообще 90% контролей и мер ИБ, причем проявляется
данный "пирожок" зачастую в самых неожиданных местах.

Для примера - возьмите любой раздел 17799 и попробуйте описать "как это будет экономить время".
Уверяю Вас - получится!
 
Цитата
Тимофей Третьяк пишет:
Выглядеть по заключению аудитора хорошо - достаточно яркая медалька на грудь как финансового, так и генерального.
То, что мы обсуждаем, это в чистом виде классическая тема выбора security objectives, которую каждый решает по-своему. В частности, допустимы оба варианта решения дилеммы "шашечки или ехать". Хозяин-барин.
Цитата
Тимофей Третьяк пишет:
более эффективный критерий оценки - не конкретно по деньгам, а по времени.
Для примера - возьмите любой раздел 17799 и попробуйте описать "как это будет экономить время".
Если у Вас такая неожиданная цель (обычно более характерная для кадровиков), то можно и время. Хоть электроэнергию.

Но на многих controls (например, return of assets, disposal of media, physical perimeter и т.п.) с экономией времени будет тяжко - все равно незаметно свалитесь в типичную прикидку ущерба, только не в удобных деньгах, а в мало о чем говорящих часах. Ну и смысл?

Кроме того, необходимо, чтобы выигрыш времени перевесил затраты на реализацию, а они будут преимущественно в деньгах (хотя бы даже банальная стоимость программных и технических средств).

Еще не все. Возможны вещи, увеличивающие трудозатраты (в т.ч. штат и фонд оплаты труда), скажем, на 2%, а доходы на все 12% - не оперируя деньгами, Вы их никогда не предпримете.

И уж не говоря о том, что потеря имиджа (и клиентов) время-то... высвобождает.

Так что не выход. Хотя если владелец бизнеса мыслит не категориями денег (??!), то почему бы нет. Но обман.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
R пишет:
И с усовершенствием ИТ систем и с ростом зрелости компании роль ИБ еще больше уменьшится

Речь немного о другом. Речь не об ИБ в качестве отдельного подразделения, а о роли ИБ. И не важно под кем она будет; под CIO, под CRO...
Luka
 
Цитата
Ригель пишет:
Можно говорить, что гигиена позволяет получать дополнительные деньги. А можно, что позволяет не терять.

Не спорю - стакан наполовину пуст или полон ;-)  Вопрос только в другом. Как только ты приводишь первый аргумент, то тебя просят посчитать эти деньги. В этом и сложность.
Luka
 
Цитата
Тимофей Третьяк пишет:
Однако пример не очень удачен, т.к. взят вообще не из области ИБ а из Revenue Assurance что не есть то же что Инфобезопасность.

Сегодня был у одного оператора связи. Они RA планируют в департамент ИБ завести. Да и многих других RA и фрод там же находтся.

Цитата
Ригель пишет:
все равно незаметно свалитесь в типичную прикидку ущерба, только не в удобных деньгах, а в мало о чем говорящих часах.

А время умножается на часовую оплату труда или на прибыль за единицу времени и получаем деньги.
Luka
 
Цитата
Алексей Лукацкий пишет:
Не спорю - стакан наполовину пуст или полон  Вопрос только в другом. Как только ты приводишь первый аргумент, то тебя просят посчитать эти деньги. В этом и сложность.
Тогда и я не спорю.
По идее, иногда срабатывает вычитание: на сколько может пасть спрос на продукт/услугу (и  доходы от реализации) если из нее напрочь убрать ИБ - это и есть вклад в нее ИБ-составляющей. Опять не очень честно и не всегда применимо, но тоже какой-никакой метод.
Цитата
Алексей Лукацкий пишет:
А время умножается на часовую оплату труда или на прибыль за единицу времени и получаем деньги.
А не факт.
Эти лишние человекочасы работодателю могут ничего не стоить (например, фиксированные оклады), и если на выпуске/продаже/имидже не сказалось - ущерба не было.
Вот радио есть, а счастья нет. (с) Ильф
 
Поиск возможности получения дохода хорош лишь при кристальной честности людей,   работающих в отделе ИБ. Как бы это все не превратилось в очередную уязвимость ( подставы впрочем также не исключены).
 
Это мы про условный доход - пользу, выражаемую в каких-то традиционных единицах.
Вот радио есть, а счастья нет. (с) Ильф
 
Господа, товарищи! О чем вы говорите?
Пожалуйста, уважаемые оценщики рисков, вероятных ущербов иже с ними. Договоритесь сначала между собой, что же вы считаете и зачем это нужно и только потом выкладывайте свои рассуждения на всеобщее обозрение!
На бедное подразделение ИБ оттягивают кучу не свойственных ему функций, лишь бы сделать работу его как можно более непонятной среднему пользователю, отхватить как можно более крупный кусок бюджета и тп. (помните, шаманы действовали по тому же принципу)
Если бы в приведенном в статье примере подразделение ИБ РАБОТАЛО, а не просило денег и не конючило о том, что ему не хватает рублей, если бы его начальник не соревновался в скорости достижения кабинета директора с другими директорами, то не возникло бы ситуации когда у предприятия возникают дикие потери. Безопасники этого предприятия просто прощелкали ситуацию и допустили потери "о которых так долго говорили коммунисты".
Вы говорите об оценке рисков? Отлично! Пожалуйста, в качестве конкурсной статьи  или просто для того, чтобы доказать темным людям вроде меня, что то, о чем вы говорите имеет смысл, выложите на секлабе или еще где-нибудь пример того, как Вы здорово посчитали риски в конторе в которой больше 3-х серверов и 10 пользователей. Измените адреса, пароли, явки и, наконец, явите это чудо народу! Пожалуйста! Хотя бы для сети из 50 серверов и 1000 пользователей. Даю честное пионерское, что прочитаю Ваш труд от корки до корки и задам вопросы, если что-то будет непонятно. И, если Вам будет не очень трудно, выложите пожалуйста результаты ПОВТОРНОЙ оценки, после введения рекомендованных вами мер и средств.... (интересно, скроетесь за словами ноу-хау или еще чего придумаете?)
Позабавил пример с посудомойкой. А вы когда-нибудь слышали, чтобы посудомойка считала риски?
Генералам не нужно доказывать, что красивый офис или приятная секретарша это здорово ибо это действительно здорово. Бедные же "рассчитыватели того чего не было и возможно не случится" из кожи вон лезут, лишь бы доказать свою необходимость.
 
Цитата
ig0r пишет:
Вы говорите об оценке рисков?
Нет.

Но Вы почти угадали: к конфигурированию ПО эта тема отношения не имеет.
Вот радио есть, а счастья нет. (с) Ильф
 
Ах, как локонично и опять ни о чем.
Я упоминал о конфигурировании?
 
Цитата
в конторе в которой больше 3-х серверов и 10 пользователей.

А бывает так, что компов либо вообще нет, либо очень мало. А защищать информацию необходимо. Причем здесь количество серверов - не понятно.
 
Да, конечно, бывает по разному. Но я прошу пример, отметив нижнюю границу, чтобы можно было оценить состоятельность того, что Вы обсуждали.
 
Цитата
ig0r пишет:
Ах, как локонично и опять ни о чем.
Я упоминал о конфигурировании?
Это ирония.
Но анализ рисков это действительно другая тема, и ее сюда приплетать просто ЖАЛКО.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
ig0r пишет:
Если бы в приведенном в статье примере подразделение ИБ РАБОТАЛО, а не просило денег и не конючило о том, что ему не хватает рублей, если бы его начальник не соревновался в скорости достижения кабинета директора с другими директорами, то не возникло бы ситуации когда у предприятия возникают дикие потери. Безопасники этого предприятия просто прощелкали ситуацию и допустили потери "о которых так долго говорили коммунисты".

Интересно, а по чему вы решили, что подразделение ИБ не работало и просило при этом денег. Об этом в статье нет ни слова. Как раз там подразделение ИБ работало и к слову сказать являлось лучшим среди аналогичных подразделений ИБ всего холдинга. Безопасники денег не просили (им хватало имеющегося бюджета), а ситуацию тоже по вашему выражению не прощелкали. Поясню, в задачи подразделения ИБ на то время вовсе не входило следить за работой ПО, которое эксплуатируют технические специалисты. И которые, кстати говоря отвечали тогда за его корректную работу. Не надо огульно обвинять в данном примере работников ИБ, не их была задача выявить и тем более  устранить некорректность работы ПО. В первую голову об этом должны были подумать совершенно другие люди, возможно также должен был вмешаться отдел экономической безопасности, но повторюсь в то время НИКОМУ ДО ЭТОГО НЕ БЫЛО ДЕЛА.
 
Цитата
ig0r пишет:
если бы его начальник не соревновался в скорости достижения кабинета директора с другими директорами

Директор по безопасности, которому подчинялся отдел ИБ в приведенном примере не соревновался вообще, для этого у не было минимально необходимого набора знаний в области ИТ-технологий (что конечно очень печально для его подчиненных), но это впрочем частный случай, который вероятно  к другим организациям,  не имеет совершенно никакого отношения.
 
Приносить прибыль? :|  Главное не допустить ущерба (в финансовом плане) и предотвратить риски (от потери данных, до развала фирмы в результате действий инсайдеров и конкурентов). :)
 
Цитата
NC пишет:
Главное не допустить ущерба (в финансовом плане) и предотвратить риски (от потери данных, до развала фирмы в результате действий инсайдеров и конкурентов).

И очень хорошо если это будет являться явной заслугой отдела ИБ
 
Цитата
То, что мы обсуждаем, это в чистом виде классическая тема выбора security objectives, которую каждый решает по-своему. В частности, допустимы оба варианта решения дилеммы "шашечки или ехать". Хозяин-барин.

Однако подтекстом статьи, да и обсуждения, по большому счету есть вопрос "можно ли ехать без шашечек"
или "какие шашечки можно прицепить к ехать". Упор на финансовые. Прямые. А таких нет. Хотя...
Сертификация у "них" поднимает стоимость акций практически напрямую. У "нас" - ...

Цитата

Если у Вас такая неожиданная цель (обычно более характерная для кадровиков), то можно и время. Хоть электроэнергию.

Но на многих controls (например, return of assets, disposal of media, physical perimeter и т.п.) с экономией времени будет тяжко - все равно незаметно свалитесь в типичную прикидку ущерба, только не в удобных деньгах, а в мало о чем говорящих часах. Ну и смысл?

Но ведь ВООБЩЕ ВСЕ инфраструктурное ИТ никакого дохода не приносит! А только экономит время.
Которое перекладывается на деньги (доп. люди, скорость процессов и т.п.) не напрямую, а через
допущения (риски тут - частный случай). Тем не менее необходимость автоматизации уже давно ни у кого
никаких сомнений не вызывает.
Прикидка же ущерба - очень расплывчатый и невнятный параметр при презентации его менеджменту.
Менеджмент хочет бенефиты, а не потенциальные пугалки.
Т.е. - всякую инициативу в ИБ надо пытаться представлять как УЛУЧШЕНИЕ (бизнес-процессов, качества,
условий труда наконец), а не как материальные затраты потенциальных затрат же. Мысль в этом.

Попробую привести более-менее наглядный пример: возьмем Identity. Вещь при определенном развитии
компании необходимая, однако весьма затратная и практически необьяснимая (с точки зрения выгод)
менеджменту. Снижение нагрузки на группы управления пользователями и внутренний аудит менеджменту
глубоко до лампочки, а вот полмиллиона (условно) денег - очень даже нет!
А теперь добавим к ней, скажем, SSO и двухфактрную аутентификацию. Невзирая на общее удорожание -
теперь ее можно объяснить наглядно и даже прикинуть понятные ТОПам выгоды!
ИБ при этом из вечно-потенциального ретрограда превращается в двигателя прогресса. :)
 
Цитата
NC пишет:
Главное не допустить ущерба
Ойё, опять.
В самом начале это уже было: время от времени надо как-то показывать, что отсутствующие ущербы - это заслуга ИБ, а не признак того, что опасности вымышлены, и у ИБ нет работы.
Вот радио есть, а счастья нет. (с) Ильф
Страницы: Пред. 1 2 3 След.
Читают тему