Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: Пред. 1 2 3
RSS
«Может ли отдел ИБ приносить прибыль своей организации?»
 
Цитата
Тимофей Третьяк пишет:
...
Прикидка ущерба - очень расплывчатый и невнятный параметр при презентации его менеджменту
...
Я Вам возражал на огульное "любые" - Вы его заменили на "вообще все". Один абсолют на другой абсолют же. Отнюдь не любые. И далеко не все. И совсем не всегда.

У меня неделю назад нештатный иммобилайзер приглючило - выбор между отключить и починить/заменить. Потенциальный ущерб - 14 тыс. (за столько можно взять на вторичке эту модель/год/пробег, чтобы в точности восполнить угон), затраты на восстановление работоспособности - 0.2 тыс. Не знаю, как Вам, а мне было все понятно моментом.

Теперь изложите мне эту же ситуацию в терминах импрувмента качественных условий.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Я Вам возражал на огульное "любые" - Вы его заменили на "вообще все". Один абсолют на другой абсолют же. Не любые. И не все. И не всегда.

У меня неделю назад нештатный иммобилайзер приглючило - выбор между отключить и починить/заменить. Потенциальный ущерб - 14 тыс. (за столько можно взять на вторичке эту модель/год/пробег, чтобы в точности восполнить угон), затраты на восстановление работоспособности - 0.2 тыс. Не знаю, как Вам, а мне было все понятно моментом.

Теперь изложите мне эту же ситуацию в терминах импрувмента качественных условий.

Честно говоря, я хотел написать "практически любые", но меня по работе отвлекли. :)
Разумеется - абсолюты тут неприменимы, прошу прощения.

Чо же касается случая с иммобилайзером - сходу цифра 14т есть неверной. Так как нет никаких причин
утверждать, что с отключенным иммо машину на 100% угонят в ближайшее время. Намного более реальная
сумма - стоимость страховки от угона, там уже все посчитано. :)

Кстати! Весьма неплохая мысль использовать сравнение со страховыми компаниями при обосновании затрат.
По крайней мере такое направление разговора понятно всем.

Ну и к качественным условиям - тут уже за меня автопроизводители постарались. :) Ну да просто навскидку:
1. Наличие системы защиты от угона позволяет уменьшить стоимость страховки (деньги)
2. Позволяет менее избирательно подходить к месту парковки авто (время)
3. Увеличивает остаточную стоимость автомобиля (снова деньги)

Менеджерский подход - это что-то! ;)
Главное - не улыбаться когда это начальству морозишь (лучше всего в виде презентации прислать).
 
Цитата
Тимофей Третьяк пишет:
цифра 14т есть неверной
Цифра есть верной - это ущерб, а не риск. Если защита стоит 0.01% от ущерба, то можно забить на оценку вероятности с точностью плюс-минус порядок. Не по правилам, но правильно.
Цитата
Тимофей Третьяк пишет:
... неплохая мысль использовать сравнение ...
Ну, на том и покончим: надо использовать те понятия, на которые в данный момент реагирует конкретный человек (инновации - значит инновации, западло - значит западло, капитализация - значит капитализация...). И вообще директора тоже люди в каком-то смысле. Это ж только у аудиторов микропрограмма прошита ;)
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата

Это ирония.
Но анализ рисков это действительно другая тема, и ее сюда приплетать просто ЖАЛКО.
Вы опять уходите от ответа. Оправдывая существование отдела ИБ (зарабатывает он деньги или тратит - не суть), Вы так или иначе выходите на риски. Околорисковые темы постоянно всплывают в Ваших постах, потому и прошу - поясните, что вы делаете на живом примере. А если пояснять нечем, то и ирония не уместна.
Цитата

Интересно, а по чему вы решили, что подразделение ИБ не работало и просило при этом денег. Об этом в статье нет ни слова. Как раз там подразделение ИБ работало и к слову сказать являлось лучшим среди аналогичных подразделений ИБ всего холдинга. Безопасники денег не просили (им хватало имеющегося бюджета), а ситуацию тоже по вашему выражению не прощелкали. Поясню, в задачи подразделения ИБ на то время вовсе не входило следить за работой ПО, которое эксплуатируют технические специалисты. И которые, кстати говоря отвечали тогда за его корректную работу. Не надо огульно обвинять в данном примере работников ИБ, не их была задача выявить и тем более устранить некорректность работы ПО. В первую голову об этом должны были подумать совершенно другие люди, возможно также должен был вмешаться отдел экономической безопасности, но повторюсь в то время НИКОМУ ДО ЭТОГО НЕ БЫЛО ДЕЛА.
Ни в коем случае я не сомневаюсь в вашей компетенции. Но  инцидент был? Был! Потери случились? Случились! фраза "НИКОМУ ДО ЭТОГО НЕ БЫЛО ДЕЛА", мне кажется, за оправдание не идет.
А про деньги, Вы же сами выразились: "А ведь эти безопасники еще и просить придут на дележку нового годового бюджета! Вот вам! И кинут им малую долю из того, что останется (если останется), пусть еще и за это спасибо скажут – «нахлебники»!" Или это не о деньгах?

Я к чему все это затеял. Мне кажется, что не нужно безопасникам пытаться говорить о вещах непонятных. Попробуйте оперировать земными категориями и все у вас получится. А тактика ожидания того, что кото совершит ошибку, да покрупнее, ради получения преференций - порочна в принципе и вожделенные дивиденды принесет лишь в краткосрочном периоде.
 
Цитата
ig0r пишет:
А про деньги, Вы же сами выразились: "А ведь эти безопасники еще и просить придут на дележку нового годового бюджета! Вот вам! И кинут им малую долю из того, что останется (если останется), пусть еще и за это спасибо скажут – «нахлебники»!" Или это не о деньгах?

Да, это о деньгах. Но нужно пояснить,  что под указанной выше фразой имелись ввиду отделы ИБ в обобщенном виде (без конкретизации и персоналий), пример же,  приведен из жизни конкретной организации и реально существующего отдела ИБ, а это все-таки не одно и тоже.

Цитата
ig0r пишет:
Я к чему все это затеял. Мне кажется, что не нужно безопасникам пытаться говорить о вещах непонятных. Попробуйте оперировать земными категориями и все у вас получится. А тактика ожидания того, что кото совершит ошибку, да покрупнее, ради получения преференций - порочна в принципе и вожделенные дивиденды принесет лишь в краткосрочном периоде.

Давайте разберемся, что осталось непонятным. Я совершенно не имел ввиду использования тактики ожидания, что кто-то совершит ошибку. Такая тактика порочна по своей сути и кроме разрыва отношений с коллегами по работе и отчуждения работников ИБ от повседневности в явном или неявном виде, больше ни к чему в итоге не приведет. Я знаю к сожалению и такие реальные примеры. В своих заметках я наоборот,  призываю к обратному - работать совместно с ИТ-отделами над проблемами снижения затрат. Что же касается инцидентов, то здесь речь идет как раз не об ожидании оных, а  о превентивном их поиске. В своем предыдущем материале ("Защита от своих") я рассказал о том, что большинство инцидентов обычно остаются не выявленными т.к. о них никто не знает, а материальные потери фиксируются как факт, который никто толком не может объяснить. Вот и предлагаю идею для работников ИБ - поработать над этим вопросом, искать скрытые инциденты, причем не по факту их завершения, а в процессе совершения, и что особенно ценно - в идеале даже до начала их совершения.
Или вы не согласны с этим?
 
Цитата
ig0r пишет:
Вы опять уходите от ответа. Вы так или иначе выходите на риски. Околорисковые темы постоянно всплывают в Ваших постах, потому и прошу
Не надо на меня давить, это отдельная большая (и сложная) тема, предмет отдельного и мутного разговора, на который сейчас объективно ни времени, ни настроения. Была бы простой - я бы не отказывался.

"Силы приложены к разным телам", понимаете? Оценка рисков заточена на определение применимых контрмер (процессов) для организации как таковой, а не на измерение отдачи от подразделения ИБ, она вообще никак не связана с имеющимся у меня или Вас условным делением фирмы на юниты, их названиями и границами функций. Процессы ИБ вовсе не существуют внутри только одного подразделения (некоторые - могут, некоторые - проходят сквозь него, но в какой-то части, некоторые - даже не зацепляют). Более того, они вообще не нуждаются в обязательном наличии такого подразделения. Вспомните организации, в которых документооборот есть и развитый, а департамента документооборота нет. Или качество на высоте, а отдела по производству качества нет.
Вот радио есть, а счастья нет. (с) Ильф
 
Цитата
Тимофей Третьяк пишет:
Наличие системы защиты от угона позволяет уменьшить стоимость страховки

К безопасности у нас отношения не имеет - страхование информационных рисков вещь эфемерная.
Luka
 
Цитата
К безопасности у нас отношения не имеет - страхование информационных рисков вещь эфемерная.

Алексей - не выдергивайте, пожалуйста, из контеста. Там был разбор конкретной ситуации, к инфобезопасности
вообще никакого отношения не имеющей.
 
В принципе, вопрос «Может ли отдел ИБ приносить прибыль своей организации?» такой же идиотизм как например вопрос "Может ли фрезерно-заточной комплекс обеспечивать ИБ предприятия?", или "Можно ли на машине Формула-1 пахать целину?". У каждого подразделения СВОИ задачи, а руководитель который ставит подразделению не свойственные ему задачи самый обыкновенный ДУРАК.
 
Цитата
Ронин пишет:
У каждого подразделения СВОИ задачи, а руководитель который ставит подразделению не свойственные ему задачи самый обыкновенный ДУРАК.

Создалось впечатление, что вы невнимательно читали заметки по данному поводу. Никто и никому не свойственные задачи не ставит (по материалам заметок), речь идет о пользе которую может в принципе приносить отдел ИБ и о том, как сделать работу отдела ИБ более заметной и значимой в структуре организации, чтобы не было в дальнейшем  обеспечения его бюджетом по остаточному принципу. Читайте внимательнее.
 
Сорри, но остаюсь при своём мнении и своих словах. Статью читал внимательно. И ещё раз утверждаю - отдел ИБ не может приносить прибыль, так как это не его задача. Также и не приносит прибыль бухгалтерия (наиболее близкий как ни странно структурный аналог отдела ИБ). Но бухгалтерия может существенно минимизировать потери и являеться необходимым подразделением...точно также как и отдел ИБ. Несколько....не корректно (но ярко и привлекательно) озаглавлена статья, что и вызывает определёное недоумение:)
 
Цитата
Ронин пишет:
Сорри, но остаюсь при своём мнении и своих словах. Статью читал внимательно. И ещё раз утверждаю - отдел ИБ не может приносить прибыль, так как это не его задача.

Этот материал начинался вопросом и закончился вопросом, потому что мне было важно услышать мнения по этому поводу. Естественно, что никто и не будет заставлять отдел ИБ приносить прибыль, дело в принципе. А принципиальность заключается в следующем: можно ли глобально поднять значимость отдела ИБ в организации и как (за счет чего) это можно сделать. А также,  как улучшить отношения сотрудников отдела ИБ с  другими техническими специалистами, как отделу ИБ получать нормальный бюджет.  Поэтому название данных заметок столь экзотично. Спасибо за ваше мнение
 
Коллеги, думаю можно подвести итог. Спасибо всем за ваше участие и высказанные мнения в тему, отдельное спасибо за отданные голоса по данному материалу!
Страницы: Пред. 1 2 3
Читают тему