Мда. Это называется законы Мерфи в действии.
С чего все начиналось. В статье Ильи говорилось о том, что на уровне бизнеса сейчас задаются требования к безопасности и это будет стимулировать рынок. Мой вывод – это, мягко скажем, преувеличение. Те бизнес-документы, которые есть, выдвигают самые общие требования, а более детальные документы имеют только рекомендательный характер. Если рынок и будет простимулирован, то только для top four.
[Пока этот вывод никто не опроверг. Его не заметили? :-)]
Чем закончилось. Вижу уже несколько постов насчет “гигиенического характера” ИБ по отношению к бизнесу. Понимаю, что термин обижает, но хотя бы попытайтесь понять, а не опровергайте того, что никто не говорил.
Повторюсь еще раз, более детально.
Есть бизнес, есть его информационная безопасность. Есть ли связь между ними? Безусловно есть. Вопрос в том – какая?
Любой бизнес подвержен различным рискам, за которыми иногда следует ущерб. Цель принимаемых мер по ИБ есть минимизация этих рисков и потенциального ущерба . Для реализации мер по ИБ необходимы затраты. То есть формула проста “затраты в обмен на возможное снижение ущерба”. Я вижу эту формулу естественной и логичной.
Другой вопрос – насколько она стимулирует заказчиков платить за безопасность? Да ни на сколько. В ней есть два пугающих слова “затраты” и “потенциальный ущерб”. Затраты надо нести сейчас, а потенциальный ущерб – он потому и потенциальный, что может будет, а может и нет.
Любой top-менеджер в таком случае проведет нехитрую комбинацию: попросит показать расчет ущерба и сославшись на некорректную оценку возможности проявления риска убрать существенные риски из рассмотрения. После такой операции сумма затрат будет неприлично больше потенциального ущерба, в результате будет сделан вывод “мальшык, сам не знаешь че хочшь”. IMHO, это типовая ситуация.
Этот подход как раз и является “гигиеническим”. То есть ИБ важна, ИБ нужна, но всего лишь как фактор, позволяющий оградить бизнес от ненужных рисков, мешающих ему, и придать бизнесу устойчивость. Фактор, безусловно, нужный и важный, но не решающий, и в этом и есть его “гигиеничность”.
Теперь в дело вступает креативный маркетинг. Слово “затраты” меняется на “инвестиции” и дальше в действие вступает фантазия. Раз это “инвестиции”, то должна быть от них отдача, то есть компания должна получить дополнительную прибыль и окупить эти инвестиции в течение некоторого промежутка времени. Формула становится иной: “инвестиции в ИБ в обмен на развитие бизнеса”. _Для меня_ (sic!) эта формула противоестественна.
Обосную. Получить прибыль можно двумя путями – увеличить продажи или уменьшить издержки (либо и то и другое вместе, но это сейчас не рассматриваем). Увеличение продаж, равно как и уменьшение издержек, вызывается не применением средств защиты и не мерами по ИБ, а реальным изменением бизнес-процессов, _возможно_ с использованием средств и мер защиты. Но не наоборот.
Взаимосвязь несимметрична. Нет безопасности – не будет и новых услуг и не будет увеличения продаж и прибыли. Но если безопасность есть – совершенно не факт, что будут услуги и будут новые продажи. Должны быть совершены бизнес-действия (создание новой услуги и т.д.). IMHO, это еще раз подчеркивает "гигиенический" характер ИБ по отношению к бизнесу.
Такой подход я бы назвал “маркетинговым”. Из него можно сделать много красивых выводов типа: “безопасность должна занимать своем место в стратегии компании”, “акцент на безопасности позволит компании выйти на новые рынки и получить новый импульс развития” и т.д.
IMHO, это-маркетинг, и цель состоит не в том, чтобы понять и описать явление, а в том, чтобы оплатили новые работы и поставки. Цель, в целом, благородная. Но, надо следить за процессом ее достижения.
С чего все начиналось. В статье Ильи говорилось о том, что на уровне бизнеса сейчас задаются требования к безопасности и это будет стимулировать рынок. Мой вывод – это, мягко скажем, преувеличение. Те бизнес-документы, которые есть, выдвигают самые общие требования, а более детальные документы имеют только рекомендательный характер. Если рынок и будет простимулирован, то только для top four.
[Пока этот вывод никто не опроверг. Его не заметили? :-)]
Чем закончилось. Вижу уже несколько постов насчет “гигиенического характера” ИБ по отношению к бизнесу. Понимаю, что термин обижает, но хотя бы попытайтесь понять, а не опровергайте того, что никто не говорил.
Повторюсь еще раз, более детально.
Есть бизнес, есть его информационная безопасность. Есть ли связь между ними? Безусловно есть. Вопрос в том – какая?
Любой бизнес подвержен различным рискам, за которыми иногда следует ущерб. Цель принимаемых мер по ИБ есть минимизация этих рисков и потенциального ущерба . Для реализации мер по ИБ необходимы затраты. То есть формула проста “затраты в обмен на возможное снижение ущерба”. Я вижу эту формулу естественной и логичной.
Другой вопрос – насколько она стимулирует заказчиков платить за безопасность? Да ни на сколько. В ней есть два пугающих слова “затраты” и “потенциальный ущерб”. Затраты надо нести сейчас, а потенциальный ущерб – он потому и потенциальный, что может будет, а может и нет.
Любой top-менеджер в таком случае проведет нехитрую комбинацию: попросит показать расчет ущерба и сославшись на некорректную оценку возможности проявления риска убрать существенные риски из рассмотрения. После такой операции сумма затрат будет неприлично больше потенциального ущерба, в результате будет сделан вывод “мальшык, сам не знаешь че хочшь”. IMHO, это типовая ситуация.
Этот подход как раз и является “гигиеническим”. То есть ИБ важна, ИБ нужна, но всего лишь как фактор, позволяющий оградить бизнес от ненужных рисков, мешающих ему, и придать бизнесу устойчивость. Фактор, безусловно, нужный и важный, но не решающий, и в этом и есть его “гигиеничность”.
Теперь в дело вступает креативный маркетинг. Слово “затраты” меняется на “инвестиции” и дальше в действие вступает фантазия. Раз это “инвестиции”, то должна быть от них отдача, то есть компания должна получить дополнительную прибыль и окупить эти инвестиции в течение некоторого промежутка времени. Формула становится иной: “инвестиции в ИБ в обмен на развитие бизнеса”. _Для меня_ (sic!) эта формула противоестественна.
Обосную. Получить прибыль можно двумя путями – увеличить продажи или уменьшить издержки (либо и то и другое вместе, но это сейчас не рассматриваем). Увеличение продаж, равно как и уменьшение издержек, вызывается не применением средств защиты и не мерами по ИБ, а реальным изменением бизнес-процессов, _возможно_ с использованием средств и мер защиты. Но не наоборот.
Взаимосвязь несимметрична. Нет безопасности – не будет и новых услуг и не будет увеличения продаж и прибыли. Но если безопасность есть – совершенно не факт, что будут услуги и будут новые продажи. Должны быть совершены бизнес-действия (создание новой услуги и т.д.). IMHO, это еще раз подчеркивает "гигиенический" характер ИБ по отношению к бизнесу.
Такой подход я бы назвал “маркетинговым”. Из него можно сделать много красивых выводов типа: “безопасность должна занимать своем место в стратегии компании”, “акцент на безопасности позволит компании выйти на новые рынки и получить новый импульс развития” и т.д.
IMHO, это-маркетинг, и цель состоит не в том, чтобы понять и описать явление, а в том, чтобы оплатили новые работы и поставки. Цель, в целом, благородная. Но, надо следить за процессом ее достижения.