Безопасность и Balanced Scorecard

«Информационная безопасность — одна из важнейших, но не очень зримых областей в деятельности почти любой компании. Высший приоритет она имеет в организациях, в которых информационные и нематериальные активы превалируют над материальными.

Несмотря на это, отношение к службе информационной безопасности со стороны остальных подразделений оставляет желать лучшего. Причина в том, что успешная деятельность подразделения как раз и не видна — невозможно увидеть отсутствие атак, эпидемий, претензий со стороны регуляторов, бесперебойную работу инфраструктуры. Но как тогда продемонстрировать свою необходимость? Службы начинают заниматься несвойственной для них работой (читать чужую почту, закрывать доступ на «нужные» сайты, вызывая не всегда позитивную реакцию, и т.п.) потому, что не могут правильно выбрать методы оценки своей деятельности.

В своем исходном варианте BSC не очень подходит для применения в информационной безопасности, но, внеся небольшие изменения, можно адаптировать этот подход к нашим целям.«

В первом номере «Директора информационной службы» вышла моя статья «BSC и информационная безопасность«, посвященная применению системы сбалансированных показателей в деятельности службы ИБ.

ЗЫ. Правду статью малость порезали в части иллюстративного материала ;-(

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Дело как всегда за малым — впарить ИБ как супер гламурный продукт ТОПам, которые на впаривании собаку съели и на дешёвый развод не ведутся )))

    Ответить
  2. Анонимный

    Идея конечно красивая. Но как обычно реализовать и использовать ее на практике будет крайне сложно.

    Ответить
  3. Анонимный

    Идея не очень новая. Лет шесть назад еще в Комбеллге коллеги рассматривали возможные KPI для подразделения ИБ.
    Если есть BSC (или о ней задумываются) — можно попытаться встроиться.

    Ответить
  4. Алексей Лукацкий

    Ну собственно об этом речь и идет. Если в компании уже внедрили BSC или просто подход к KPI, то было бы неразумным не использовать это в ИБ. Если же для руководства BSC — это темный лес, то и соваться не стоит.

    ЗЫ. Хотя BSC можно внедрить на уровне одного подразделения и использовать просто в своей работе. Всегда полезно. Потом и на новой работе можно будет применить.

    Ответить
  5. Анонимный

    Если после использования BSC приходится искать новую работу, то понятно, почему они малопопулярны.

    Ответить
  6. Анонимный

    Интересно, а есть в России примеры реально работающих BSC? То есть внедренных и воспринимаемых настолько, чтобы они влияли на ИБ в организации? В основном компании пока просто пытаются понять,нужна ли им вообще ИБ, и до подобных оценок им как до Китая…Все что видел лично я — это стандартные KPI (4-5) для работничков подразделений ИБ, причем задача роста эффективности решается исключительно методом подгонки под ответ: не рост ИБ провоцирует рост KPI, а под желаемый (и оплачиваемый) рост KPI изобретается несуществующий рост ИБ.

    Ответить
  7. Алексей Лукацкий

    Ригель и Quiet Zone правы 😉 Пока BSC у нас — это из области фантастики. Не готовы безопасники (как и бизнес) в массе своей к этому подходу. Не зрел. А бежать впереди паровоза тоже не всегда правильно. Но знать о такой возможности стоит.

    Ответить