И вновь об экономике и информационной безопасности: два мира, два взгляда

Бизнес
Утром, 17 мая, довелось мне‬ выступать на 10-й юбилейной сессии Высших курсов CIO. В прошлые года я рассказывал ИТ-директорам о том, почему у нас в России все так непросто с ИБ, откуда у нее торчат ноги и почему ибшникам сложно жить между молотом регуляторов и наковальней бизнеса.
В этот раз меня попросили рассказать про то, как увязать требования регуляторов с требованиями бизнеса. За основу взял свою презентацию по финансовой эффективности ИБ с добавлением ряда новых слайдов на базе материалов Дмитрия Мананникова. И вот что интересно. Когда эту тему рассказываешь безопасникам — часто слышишь про то, что это шаманство и оно не работает и вообще все это фигня — оценивать ИБ рублем. Мол, продажа страха и compliance были, есть и будут основными и единственными драйверами ИБ. А вот в среде руководителей ИТ, которые уже сталкивались с темой измерения эффективности ИТ, эта тема находит живейшее понимание и отклик. Появляются вопросы, комментарии, как на самом мероприятии, так и после него. Видимо нужно время и набитые шишки, чтобы эта тема вошла в жизнь и простых ИБшников. И именно поэтому многие аналитики последнее время заводят разговор о том, что роль CISO скоро вымрет. Вымрет не сама задача ИБ, а ее текущее наполнение и отсутствие привязки к бизнесу-потребностям.

На высших курсах CIO мне выдали тестовый доступ к онлайн-системе kartoteka.ru, которая позволяет анализировать финансовую устойчивость компаний, аффилированность, учредителей и т.п. информацию. Раньше особо не интересовался данными вопросами по игрокам отечественного рынка ИБ. А тут дали доступ и я решил, а почему бы и не посмотреть, что в таких системах обычно есть.
Залип 🙂 Столько нового узнаешь об игроках рынка 🙂 Неожиданные товарные знаки, которые никогда (возможно пока) не всплывали у того или иного игрока. Другие компании, учредителем которых являются известные всем люди. Причем, некоторые компании совсем неожиданные (не из области ИБ и даже близко не лежали). Бухгалтерские балансы. Госконтракты и госзакупки. Интересное чтиво; не ожидал.

В конце 2014-го года я выступал на BISA с прогнозами на ближайшее будущее, иллюстрируя это картинами Васи Ложкина. Тогда я сделал предположение (лежащее на поверхности), что некоторым игрокам ИБ будет становиться сложнее выживать на рынке. И вот доступ к kartoteka.ru этот очевидный вывод лишний раз подтвердил, что доказывает изменение структуры финансов у ряда игроков рынка.

Иногда смотришь на компанию, которая заявляет о себе как о лидере рынка, бешеном росте, найме новых сотрудников, колоссальных прибылях. А в бухгалтерском отчете цифра всего в несколько сотен тысяч долларов выручки (даже не прибыли). У кого-то баланс и вовсе отрицательный.

И возникают вопросы…
Сама система тут, кстати, помогает оперативно разобраться в финансовом положении тех или иных игроков, давая экспресс-оценку и уровень риска для той или иной компании.

У многих игроков риск умеренный, а местами и средний (ближе к красной границе). Но и есть очень высокорискованные компании, по которым прогноз просто неутешителен 🙁

Но немало компаний, которые чувствует себя достаточно уверенно, улучшая год от года финансовые показатели. Тут можно вспомнить известное изречение Черчилля, что кризис — это новые возможности. Кто-то их видит и использует, кто-то пропускает мимо, а кто-то пускается во все тяжкие и проигрывает.

 

Еще одной интересной возможностью системы является построение карты связей между юрлицами и физлицами — тоже интересно смотреть на эти хитросплетения. Есть даже кипрские оффшоры среди учредителей, причем у тех, о ком даже и не думал. Разговоры о том, что Лаборатория Касперского зарегистрирована в Лондоне идут давно и уже ни для кого не являются секретом. А вот о кипрских корнях компании <имярек> я и не задумывался даже.

В Cisco есть отдельная компания Cisco Capital, которая занимается финансированием различных проектов, в которых участвует наше оборудование, включая и решения по безопасности. Кредитование, лизинг, отсрочка платежа и так далее. Бывают случаи, когда Cisco Capital отказывает в финансировании даже несмотря на казалось бы хорошую репутацию компании, ее PR и другие внешние признаки. После использования kartoteka.ru начинаешь по-иному смотреть на эту тему и начинаешь понимать, почему наши финансисты отказывают и не хотят рисковать.

Подытоживая, хочется отметить два момента, которые могли бы стать отчасти и рекомендациями. Во-первых, изучайте экономику для того, чтобы уметь показать свой вклад в бизнес своего предприятия. А во-вторых, не забывайте про необходимость анализа контрагентов/поставщиков/партнеров с точки зрения их финансового положения. Мне казалось, что я про эту рекомендацию уже писал в блоге, но что-то не смог найти (может и не писал, а только в презентации упомянул). Знание экономики сильно помогает, в том числе и в будущем.

ЗЫ. Никогда не думал, что в России 100 с лишним Инфотексов 🙂 Причем львиная их доля относится к текстильной промышленности, а не к защите информации 🙂

ЗЗЫ. На некоторые компании и людей теперь смотришь совсем по другому…

ЗЗЗЫ. Коллеги говорят, что СПАРК лучше 🙂

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. zlonov

    Есть некоторое сомнение в том, что в таких системах информация полная. Есть же ещё серый или теневой рынок (не чёрный, просто не такой прозрачный). Опять же при сдаче отчётности некоторые выбирают вариант минимизации налогов, а не повышения рейтинга в такого рода системах.

    Ответить
  2. Алексей Лукацкий

    Безусловно. Но тогда возникает вопрос, стоит ли работать с конторой, которая работает вчерную? У меня нет ответа

    Ответить
  3. zlonov

    Если это, например, поставка с постоплатой, то какая разница? Особенно, если компания активно "заявляет о себе как о лидере рынка, бешеном росте, найме новых сотрудников, колоссальных прибылях" и никто публично её на обмане не ловит =)

    Ответить
  4. Unknown

    Проблема в начале поста обозначена актуальная принципиальная, соответствующая теме поста: ограниченность ИБешников на "продаже страха и compliance". А дальше про картотеку вдруг… Будем ждать от Алексея продолжения темы 🙂 на мой же взгляд ИБ может привлечь инвестиции и окупаться, когда она используется как управление процессами через управление человеческим ресурсами. Достижение бизнес-цели: повышение (поддержание) рентабельности персонала. Но ИБешники считают это гуманитарной сферой (работой сугубо Hr) и игнорируют её. Такие ИБешники охранниками были и остануться. Нужна бизнес ориентация и соответствующие компетенции ИБешнику.

    Ответить
  5. Алексей Лукацкий

    Так ты же покупаешь не мороженое — тебе поддержка нужна, обновления, консультации. Это если продуктовая когтора. С сервисной еще сложнее

    Ответить