«Информационная безопасность — одна из важнейших, но не очень зримых областей в деятельности почти любой компании. Высший приоритет она имеет в организациях, в которых информационные и нематериальные активы превалируют над материальными.
Несмотря на это, отношение к службе информационной безопасности со стороны остальных подразделений оставляет желать лучшего. Причина в том, что успешная деятельность подразделения как раз и не видна — невозможно увидеть отсутствие атак, эпидемий, претензий со стороны регуляторов, бесперебойную работу инфраструктуры. Но как тогда продемонстрировать свою необходимость? Службы начинают заниматься несвойственной для них работой (читать чужую почту, закрывать доступ на «нужные» сайты, вызывая не всегда позитивную реакцию, и т.п.) потому, что не могут правильно выбрать методы оценки своей деятельности.
В своем исходном варианте BSC не очень подходит для применения в информационной безопасности, но, внеся небольшие изменения, можно адаптировать этот подход к нашим целям.«
В первом номере «Директора информационной службы» вышла моя статья «BSC и информационная безопасность«, посвященная применению системы сбалансированных показателей в деятельности службы ИБ.
ЗЫ. Правду статью малость порезали в части иллюстративного материала ;-(
Дело как всегда за малым — впарить ИБ как супер гламурный продукт ТОПам, которые на впаривании собаку съели и на дешёвый развод не ведутся )))
Идея конечно красивая. Но как обычно реализовать и использовать ее на практике будет крайне сложно.
Идея не очень новая. Лет шесть назад еще в Комбеллге коллеги рассматривали возможные KPI для подразделения ИБ.
Если есть BSC (или о ней задумываются) — можно попытаться встроиться.
Ну собственно об этом речь и идет. Если в компании уже внедрили BSC или просто подход к KPI, то было бы неразумным не использовать это в ИБ. Если же для руководства BSC — это темный лес, то и соваться не стоит.
ЗЫ. Хотя BSC можно внедрить на уровне одного подразделения и использовать просто в своей работе. Всегда полезно. Потом и на новой работе можно будет применить.
Если после использования BSC приходится искать новую работу, то понятно, почему они малопопулярны.
Интересно, а есть в России примеры реально работающих BSC? То есть внедренных и воспринимаемых настолько, чтобы они влияли на ИБ в организации? В основном компании пока просто пытаются понять,нужна ли им вообще ИБ, и до подобных оценок им как до Китая…Все что видел лично я — это стандартные KPI (4-5) для работничков подразделений ИБ, причем задача роста эффективности решается исключительно методом подгонки под ответ: не рост ИБ провоцирует рост KPI, а под желаемый (и оплачиваемый) рост KPI изобретается несуществующий рост ИБ.
Ригель и Quiet Zone правы 😉 Пока BSC у нас — это из области фантастики. Не готовы безопасники (как и бизнес) в массе своей к этому подходу. Не зрел. А бежать впереди паровоза тоже не всегда правильно. Но знать о такой возможности стоит.