Идея автора весьма хороша сама по себе и, наверное, рано или поздно приходит в голову каждому
менеджеру ИБ, особенно в момент защиты бюджета.
Однако пример не очень удачен, т.к. взят вообще не из области ИБ а из Revenue Assurance что не есть
то же что Инфобезопасность.
Всяческие ROI калькуляторы тоже не дают сколь-либо убедительного ответа на вопрос о финансовой эффективности
деятельности ИБ.
По моему опыту и прикидкам - тут есть два способа. Один не финансовый, но тем не менее интересный
ТОПам: результаты внешних аудитов. При наличии оных в компании. Выглядеть по заключению аудитора хорошо -
достаточно яркая медалька на грудь как финансового, так и генерального. Надо только их к этому мягко подвести.
Второй, более эффективный критерий оценки - не конкретно по деньгам, а по времени. Как и, собственно,
вообще все ИТ (считать-то и на счетах можно, и дешевле сильно ).
Разработать и внедрять системы ИБ под эгидой экономии времени (что на управление доступами,
что на расследование инцидентов/выдачу информации органам, что на внедрение через сокращение времени
последующих "доводок" и "поправок", BCP же вообще одна сплошная экономия времени.
В принципе - под этот параметр можно подогнать вообще 90% контролей и мер ИБ, причем проявляется
данный "пирожок" зачастую в самых неожиданных местах.
Для примера - возьмите любой раздел 17799 и попробуйте описать "как это будет экономить время".
Уверяю Вас - получится!
менеджеру ИБ, особенно в момент защиты бюджета.
Однако пример не очень удачен, т.к. взят вообще не из области ИБ а из Revenue Assurance что не есть
то же что Инфобезопасность.
Всяческие ROI калькуляторы тоже не дают сколь-либо убедительного ответа на вопрос о финансовой эффективности
деятельности ИБ.
По моему опыту и прикидкам - тут есть два способа. Один не финансовый, но тем не менее интересный
ТОПам: результаты внешних аудитов. При наличии оных в компании. Выглядеть по заключению аудитора хорошо -
достаточно яркая медалька на грудь как финансового, так и генерального. Надо только их к этому мягко подвести.
Второй, более эффективный критерий оценки - не конкретно по деньгам, а по времени. Как и, собственно,
вообще все ИТ (считать-то и на счетах можно, и дешевле сильно ).
Разработать и внедрять системы ИБ под эгидой экономии времени (что на управление доступами,
что на расследование инцидентов/выдачу информации органам, что на внедрение через сокращение времени
последующих "доводок" и "поправок", BCP же вообще одна сплошная экономия времени.
В принципе - под этот параметр можно подогнать вообще 90% контролей и мер ИБ, причем проявляется
данный "пирожок" зачастую в самых неожиданных местах.
Для примера - возьмите любой раздел 17799 и попробуйте описать "как это будет экономить время".
Уверяю Вас - получится!