Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3 След.
RSS
Бизнес и информационная безопасность – новые тенденции.
 
Мда. Это называется законы Мерфи в действии.

С чего все начиналось. В статье Ильи говорилось о том, что на уровне бизнеса сейчас задаются требования к безопасности и это будет стимулировать рынок. Мой вывод – это, мягко скажем, преувеличение. Те бизнес-документы, которые есть, выдвигают самые общие требования, а более детальные документы имеют только рекомендательный характер. Если рынок и будет простимулирован, то только для top four.

[Пока этот вывод никто не опроверг. Его не заметили? :-)]

Чем закончилось. Вижу уже несколько постов насчет “гигиенического характера” ИБ по отношению к бизнесу. Понимаю, что термин обижает, но хотя бы попытайтесь понять, а не опровергайте того, что никто не говорил.

Повторюсь еще раз, более детально.

Есть бизнес, есть его информационная безопасность. Есть ли связь между ними? Безусловно есть. Вопрос в том – какая?

Любой бизнес подвержен различным рискам, за которыми иногда следует ущерб. Цель принимаемых мер по ИБ есть минимизация этих рисков и потенциального ущерба . Для реализации мер по ИБ необходимы затраты. То есть формула проста “затраты в обмен на возможное снижение ущерба”. Я вижу эту формулу естественной и логичной.

Другой вопрос – насколько она стимулирует заказчиков платить за безопасность?  Да ни на сколько. В ней есть два пугающих слова “затраты” и “потенциальный ущерб”. Затраты надо нести сейчас, а потенциальный ущерб – он потому и потенциальный, что может будет, а может и нет.

Любой top-менеджер в таком случае проведет нехитрую комбинацию: попросит показать расчет ущерба и сославшись на некорректную оценку возможности проявления риска убрать существенные риски из рассмотрения. После такой операции сумма затрат будет неприлично больше потенциального ущерба, в результате будет сделан вывод “мальшык, сам не знаешь че хочшь”. IMHO, это типовая ситуация.

Этот подход как раз и является “гигиеническим”. То есть ИБ важна, ИБ нужна, но всего лишь как фактор, позволяющий оградить бизнес от ненужных рисков, мешающих ему, и придать бизнесу устойчивость. Фактор, безусловно, нужный и важный, но не решающий, и в этом и есть его “гигиеничность”.

Теперь в дело вступает креативный маркетинг. Слово “затраты” меняется на “инвестиции” и дальше в действие вступает фантазия. Раз это “инвестиции”, то должна быть от них отдача, то есть компания должна получить дополнительную прибыль и окупить эти инвестиции в течение некоторого промежутка времени. Формула становится иной: “инвестиции в ИБ в обмен на развитие бизнеса”. _Для меня_ (sic!) эта формула противоестественна.

Обосную. Получить прибыль можно двумя путями – увеличить продажи или уменьшить издержки (либо и то и другое вместе, но это сейчас не рассматриваем). Увеличение продаж, равно как и уменьшение издержек, вызывается не применением средств защиты и не мерами по ИБ, а реальным изменением бизнес-процессов, _возможно_ с использованием средств и мер защиты. Но не наоборот.

Взаимосвязь несимметрична. Нет безопасности – не будет и новых услуг и не будет увеличения продаж и прибыли. Но если безопасность есть – совершенно не факт, что будут услуги и будут новые продажи. Должны быть совершены бизнес-действия (создание новой услуги и т.д.). IMHO, это еще раз подчеркивает "гигиенический" характер ИБ по отношению к бизнесу.

Такой подход я бы назвал “маркетинговым”. Из него можно сделать много красивых выводов типа: “безопасность должна занимать своем место в стратегии компании”, “акцент на безопасности позволит компании выйти на новые рынки и получить новый импульс развития” и т.д.

IMHO, это-маркетинг, и цель состоит не в том, чтобы понять и описать явление, а в том, чтобы оплатили новые работы и поставки. Цель, в целом, благородная. Но, надо следить за процессом ее достижения.
 
Цитата
vgarry пишет:
Цель принимаемых мер по ИБ есть минимизация этих рисков и потенциального ущерба .

Вот именно отсюда и начинается все непонимание. Мы берем неправильную (или точнее однобокую) предпосылку и на ней строим все наши рассуждения. При таком подходе, когда изначально ИБ считается гигиеническим фактором, и все выводы просто приходят к тому же результату. А если взять за гипотезу, что ИБ не только занимается предотвращением ущерба, но и способствует росту бизнеса, то ситуация начинает выглядеть совершенно по иному. И сразу возникают достаточно интересные примеры применения ИБ для снижения издержек (минимум) и роста бизнеса (максимум). Надо просто уйти от традиционного технократичного толкования ИБ.

Цитата
vgarry пишет:
Но если безопасность есть – совершенно не факт, что будут услуги и будут новые продажи.

Мне кажется, что этого никто и не утверждал. ИБ всегда вторична по отношению к бизнесу (если не брать ИБ - как способ ведения бизнеса и зарабатывания денег). Но это не значит, что ИБ не может способствовать росту бизнеса или снижению издержек.
Luka
 
Кстати, по поводу SOX. По данным последнего отчета CSI важность SOX с точки зрения интереса к ИБ растет. Но это так, к слову...
Luka
 
Цитата
Алексей Лукацкий пишет:
Мы берем неправильную (или точнее однобокую) предпосылку

Не вижу аргументации другой точки зрения. Приведенные примеры (например провайдер занявшийся безопасностью), не в "кассу".

Цитата
Алексей Лукацкий пишет:
ИБ до сих пор воспринимается многими, как технический способ затыкания дыр

Где в мире ИБ не воспринимается как "затыкание дыр"? Пускай и не технический. Это можно красиво запаковать в "процессы" новго ISO но результаты теже - угрозы, модель нарушителя (как бы она не называлась), котрмеры - остаточные риски.

Цитата
Алексей Лукацкий пишет:
Или Choice Point

Это товарищи у которых кредитки увели? Их ещё и штрафанули очень прилично (недавно в рассылках пролетало клик). Но это только подверждает гигеническую основу. Не мыли руки - пришлось платить большие деньги за лечение.

Кстати, распостранившиеся в последнее время у капиталистов практика страхования рисков (линк) связанными с ИБ ИМХО подверждает отношение к ИБ как к стихийным процессам, контролировать которые многие не в состоянии. Мой руки - не мой, один черт - птичий грип.
 
to vgarry
Цитата
Но, по моему мнению, специалист по безопасности - явно не тот человек, который должен спроектировать и внедрить эти самые _корректные_ бизнес-процессы. Эта работа - суть деятельности управленческого консалтинга. (Кстати, по-моему, никто не знает, какие процессы будут корректными, а акие-нет. Это очень зависит от самой организации)

вот, прекрасный пример того, что основная проблема ИБ - это разночтение ее как таковой самими спецами по ИБ))))

только я не пойму - почему ты признаешь, что основные проблемы Иб - в бизнес-процессах, а потом говоришь, что спецу по ИБ там делать нечего. А что он по твоему должен делать? пытаться защитить корявые бизнес-процессы? Которые, может быть, с точки зрения управленческого консалтинга - прекрасны, а с точки зрения ИБ - дырявые на каждом шагу? Он должен сидеть, ковыряясь в антивирусах и пытаясь по логам отсекать события, которые влекут за собой используемые бизнес-прцоессы?
Сначала ты говоришь о гигиене, а потом говоришь о том, что гигиену в жизнь должны внедрять спецы по дизайну интерьеров.

Кроме того. Про инсвестиции и маркетинг. ИБ - отличный маректинговый инструмент, им легко можно махать, как немецким флагом. На собственном опыте. В результате затраты на ИБ возвращаются увеличением прибыли.

восприятие процессов,связанных с ИБ - как природной стихии, с которой ничего нельзя поделать, это всего лишь показатель того, что люди не знают, что с этим делать. Но только не надо говорить, что люди не готовы платить за то, что их научат прогнозировать и управлять своими действиями в зависимости от стихии. Готовы. Проблема то в том, что очень мало кто способен этому научить.
 
Цитата
janeRKC пишет:
восприятие процессов,связанных с ИБ - как природной стихии, с которой ничего нельзя поделать, это всего лишь показатель того, что люди не знают, что с этим делать. Но только не надо говорить, что люди не готовы платить за то, что их научат прогнозировать и управлять своими действиями в зависимости от стихии. Готовы. Проблема то в том, что очень мало кто способен этому научить.

Золотые слова. Согласен на все 100. К сожалению, слишком сильна у многих "специалистов" позиция, что ИБ - это техническая проблема (видимо инженерное образование играет большую роль). Более того, сам заказчик часто воспринимается такими "специалистами" как "идиот", который "сам не знает чего хочет", "требует каких-то обоснований и оценки эффективности" и "не понимает человеческого (технического) языка". В результате имеем то, что имеем.
Luka
 
Алексей Лукацкий,
причем самое грустное, что это позиция большинства, которая формирует общественное мнение
 
Цитата
Не вижу аргументации другой точки зрения. Приведенные примеры (например провайдер занявшийся безопасностью), не в "кассу".
Пожалуйста.
1. Внедрение PKI на документооборот внутри конторы. Документы летают быстрее бумажных, бизнес-процесс идет быстрее. Защищенность - выше, чем у бумажных (ЭЦП, учет). Больше работы в единицу времени - развитие бизнеса за счет внедрения технологии ИБ
2. Внедрение PKI при работе с клиентами. Тоже самое - можно обслужить больше клиентов, не расширяя офис.

Методика простая: берем процесс до внедрения технологии (неважно, ИБ это, IT или изменение орг. моментов) и после. Сравниваем показатели, считаем прибыль. Сравниваем с затратами на внедрение.
 
2 janeRKC

1. Сначала по сути дискуссии.
Насколько я понимаю приведенный пример, в нем говорится о том, что некотороая компания использует защищенность своих технологий для того, чтобы выделить себя из ряда подобных и этим самым привлечь дополнительных клиентов.

Теперь мои соображения по этому поводу.
А) Не прибегая к подробному анализу, сама возможность такого  маркетингового хода существует только у малого количества секторов рынка (например – торговля акциями, услуги клиентам банка). В большинстве случаев эта возможность не имеет смысла (нефть, газ, металл, энергетика и проч.).

Б) Такой маркетинговый ход не дает устойчивого конкурентного преимущества. Даже более того. Любой следующий, кто его использует _сразу_ за этим предприятием и не будет вкладываться в реальное обеспечение безопасности – будет в выигрыше. Поднимать рынок лучше вместе, а деньги считать – порознь. Сама же рекламная кампания не может проводиться более чем один раз за несколько лет, так как безопасность не есть суть этой услуги.

В) Теперь приведем некоторую методологию расчета. Для того, чтобы увеличить прибыль, нужно получить положительную разницу между выручкой и затратами. Посмотрим сначала на затраты.

Разовые: оплата оборудования и необходимого ПО, оборудование рабочих мест, оплата услуг кадрового агентства, затраты на рекламную кампанию, и совершенно непредсказуемые расходы на видоизменение бизнес-процессов.

Постоянные: 25% от закупленного ПО, оплата труда нанятых человек, их социальное обеспечение.

Замечу, что _независимо_ от масштаба бизнеса и его доходности постоянные расходы компании уже увеличены.

Ранее, мы уже согласились на затраты. Теперь мы посчитаем выручку. Предположим (с учетом А) и Б) в это нелегко поверить), что мы привлекли клиентов. Теперь надо учесть, что далеко не вся выручка, полученная с этих клиентов, должна покрыть понесенные затраты. У каждого привлеченного клиента есть себестоимость самого обслуживания. И на покрытие этих затрат должна идти именно эта самая операционная прибыль, как разница между выручкой и себстоимостью обслуживания.

Посчитаем ? :-)

И последнее, гносеологическое. В “рисковом” подходе мне все более или менее понятно. Суть затрат на ИБ сходна со страховкой. Заплатил деньги – уменьшил риски.
В “инвестиционном” подходе мне совершенно непонятно, почему предполагается, что понесенные затраты на ИБ будут эффективны в 100% случаев? Куда девается вероятностный характер проявления угроз?

2. Теперь о разном.

Специалист по безопасности (sic!, а не специалист по ИБ) должен давать советы по безопасности, либо принимать участие в проектировании бизнес-процессов, если ему это _вменят в обязанность_ или просто попросят. Но даже при этом его голос - _совещательный_, потому как за ведение бизнеса отвечают совершенно другие люди. И они принимают решение – уклониться от рисков, принять их или стараться минимизировать.

Дальнейшее поведение безопасника зависит от его убеждений. Если убеждения не позволяют ему защищать корявые (для кого?) бизнес-процессы – то надо увольняться. Иначе – надо защищать существующие процессы, для того он в организации и находится. Не смог убедить руководство или решиться на увольнение – терпи.

Внимательно прочитал Вашу фразу про восприятие процессов ИБ.  Я понимаю ее смысл, но, честно говоря,  не понимаю ее целевую аудиторию.

Я не отрицаю познание мира, я всего лишь утверждаю, что бизнесмены к рискам относится более прагматично, чем безопасники (пример я приводил ранее). По моему мнению причина этого – в частом принятии решении и подсознательной оценке риска, коя в головах безопасников просто отсутствует. Этого нельзя объяснить, это можно только осознать.
 
2 Cybervlad

Возражаю по всем пунктам :-)

1) Внедрение PKI не прибавляет (ну и не отнимает) скорости обращения документов. Это бизнес-свойство принадлежит системе документооборота. PKI в этом случае играет весомую, но _вспомогательную_ роль. Ее роль - _минимизация_ риска подмены документа или отказа от авторства.
Если внутри (sic!) организации этим можно пренебречь, что PKI не очень и нужен для решения этих задач.

2) Опять же, не PKI здеь первична, а услуга, которая называется "дистанционное управление собственным счетом". И цель PKI та же самая. Нужная, очень важная - НО, вспомогательная. И твои слова "можно обслужить" совершенно верные. Чтобы их обслужить их надо еще и привлечь, а это к безопасности относится немного.

3) Теперь еще об одном неочевидном аспекте проблемы. В смысле, об аккуратности расчетов :-)
Мы внедрили докуменооборот и стали мочь обрабатывать больше документов в единицу времени. Значит ли это, что мы увеличили эффективность труда? Безусловно.

Значит ли это, что уменьшили издержки? Совсем не обязательно. Мы всего лишь уменьшили удельные издержки на один документ. А общие издержки можно уменьшить только тогда, когда вдруг увеличилось количество документов, которые надо обрабатывать.

Если нет увеличения количества документов - в этом случае нет и уменьшения издержек. Ну это так, к методологии расчета и показателям.

4) В твоей последней фразе слово "технология", IMHO, ключевое. Если мы внедряем IT-технологию, то _как правило_ сильное влияние на бизнес-процесс. Если технологию ИБ - влияние на бизнес-процесс либо в сторону его замедления (доп. пароли, идентификаторы и проч.), либо никакое (доступ через МСЭ). И это опять, IMHO, показывает, что ИБ не является базой ни для расширения бизнеса, ни для на воздействия на издержки. Первично бизне-решение и поддерживающая его ИТ-инфраструктура.
 
2 Алексей Лукацкий

На протяжении всей дискусии меня не покидает ощущение того, что ты серьезно поссорился с логикой. Твои примеры - невпопад (см. про пост про компании), аналогии общи до утраты смысла ("корни" стандарта ЦБ и СТР-К), из тезисов - гипотезы, содержательных возражений нет, а те что есть - на собственные тезисы.

Поэтому, до появления от тебя содержательных постов по обсуждаемой проблеме я не буду реагировать на твои посты.  

Ну а в будущем, предлагаю пересмотреть свои отношения с логикой, потому как она действительно может понадобиться. И не только в безопасности. Она по жизни нужна.
 
Коллеги..

читаю я вашу бурную дискуссию и
видится мне что многие из вас стали жертвами подмены понятий.

пора уже словарь толковый составлять :)

предлагаю различать:

1. ИТ технологию и  обеспечение ИБ ИТ технологии (технология - первична)
2. электронный документооборот (ЭД)  и  защиту ЭД  с помошью PKI (внедрение ЭД может ускорить что то. внедрение PKI - только некоторые риски при этом понизит)
3. обеспечение ИБ компании и использвание терминов и понятий из области ИБ в решении маркетинговых задач (ИБ не "драйвер" бизнеса а маркетинговая кампания, дифференцирующая компаню как более защищенную чем конкуренты - вот это может быть драйвером - только при этом можно не тратить деньги на саму ИБ :)
4. повышение оборота (прибыли и т.п.) компании путем улучшения ее бизнес процессов (не обязательно в ходе повышения уровня их защищенности)  и обеспечение ИБ этих процессов (при этом процессы совершенно не обязательно должны меняться)
5.  и т.п.

если пересмотреть посты активных участников дискуссии с учетом правильного применения вышеописанных терминов - то многие окажутся правы :)
 
vgarry, maxus

Все это понятно, и никакой подмены нет.
По причине цейтнота поясню очень кратко.
1. Документ без подписи - не документ. Посему некий "документооборот" без аналога собственноручной подписи - фикция, и помочь он может только на этапе предварительного согласования.
2. Даже если где-то и можно было бы "забить" на подпись, есть нормативные/законодательные акты, требующие ее наличия. Например, банк обязан хранить "документы дня" с подписью операциониста. Начиная с некоторого объема, это становится проблемой. Мы посчитали, что НИОКР на тему "выдержат ли перекрытия вес бумажного архива" (не говоря уже о доработке перекрытий в случае отрицательного ответа) стоит гораздо дороже организации хранения этих документов в электронном виде с ЭЦП. В результате сейчас имеем электронный архив и экономим кучу бабла на постоянной основе.
3. По поводу "общих издержек", а не "издержек на документ". Ясен пень, что если в такоспарке 10 машин, бензин и ремонт будут стоить меньше, чем для 100 машин. Так ведь и доход от 100 машин больше ;)
4. По поводу разделения технологий "IT" и "ИБ IT". Не согласен в корне. Технология - она и в Африке технология. Позволяет перекроить бизнес-процесс и улучшить отдачу - гут. А чисто безопасность это, или IT, или трудно разделимый конгломерат - дело десятое.
 
Цитата
vgarry

Ну а в будущем, предлагаю пересмотреть свои отношения с логикой, потому как она действительно может понадобиться. И не только в безопасности. Она по жизни нужна.

Точно подмечено! Прямо как: "Сегодня не помыл руки, а завтра продашь Родину"
 
2 mkader

Ты о чем?
 
Цитата
vgarry пишет:
Ты о чем?

О твоих комментариях
 
2 Гость

Очень доходчиво. С возрастом я заметил, что тупею :-(.  Я искренне не понимаю ход твоих мыслей. Поясни, как мой комментарий, связан с твоим логическим выводом про продажу.
 
2 Cybervlad

1. Документ без подписи - тоже документ, если взаимодействующие стороны находятся в одной и той же организации. Если же это условие нарушено - тогда без разбора конфликтов не обойдешься. А раз так - то только подпись.

2. Не сомневаюсь, IMHO, только не ЭЦП тому причиной. Не мог бы ты привести примерные условные цифры насчет экономии?

3. Все бы хорошо, но издержки на документ и на ремонт машины есть несколько разные вещи. Я хотел просто показать, что ускорение оборота документов автоматически не приводит к росту количества привлеченных клиентов, а только создает предпосылку к обслуживанию большего их числа.

4. Не согласен. IT-технология может существовать и без ИБ. И ничего. Нужна достоверностьили надежность к внешним воздействиям - тогда к ИБ. Но за эффективностью и влиянием на бизнес - только к ИТ.
 
Цитата
vgarry пишет:
Не согласен. IT-технология может существовать и без ИБ. И ничего. Нужна достоверностьили надежность к внешним воздействиям - тогда к ИБ. Но за эффективностью и влиянием на бизнес - только к ИТ.

VPN - это ИТ или ИБ?
 
Цитата
Гость пишет:
VPN - это ИТ??

А что такое VPN ;-)?
Cisco MPLS?
L2TP?
IPSec?
IPoverTCP или туннелирование всего в SSH?
Или "пошифрация" всего и вся 89м ГОСТом ?

VPN - технология использования сетей общего доступа для организации корпоративных каналов связи.
Она решает задачи бизнеса - использование более дешевых каналов связи. А будет она защищенной или нет - дело десятое.
Кроме того - в слюбом случае - сеть _без VPN_, защищенней чем эта же сеть _c VPN_.
Страницы: Пред. 1 2 3 След.
Читают тему