Второй презентацией, которую я прочитал в Киеве, была «Оценка эффективности информационной безопасности». Конечно за час сложно было развернуть эту тему целиком, но по ключевым моментам я прошелся, показав, что безопасность можно и нужно оценивать с разных сторон — ИБ, ИТ, финансов, операционной деятельности и т.п. Вплоть до применения системы сбалансированных показателей в области ИБ (на эту тему у меня скоро статья выходит).
Security Effectivness and Efficiency
View SlideShare presentation or Upload your own.
Академические примеры как всегда выглядят красиво. Только вот потеря продуктивности исчезающе мало отразится на бизнес-результатах, потому, что:
— эффективность труда в России все еще так низка, что если помотреть сколько времени тратится на чаептия и прогулки по сети, то остальные вынужденные издержки становятся детским лепетом
— в России до сих пор нет нормальной рыночной конкуренции, поэтому имеет место быть фантастическая лояльность клиентов, готовых терпеть очень многое.
Резюме. Пока у нас не войдет в практику BIA — рано говорить о каких-то иных метриках. такие метрики будут иметь действие только на тех CxO, которые готовы это воспринимать под предлагаемым углом зрения.
> Вплоть до применения системы
> сбалансированных показателей
Удивительное дело: у ИБ-шников начало интереса к чему-либо совпадает с началом выхода из впадины разочарования у всех остальных — все уже вволю наобсирались эти балансированные показатели, а мы только осваиваем.
Давно пытаюсь прикинуть, насколько ж мы лет отстаем, да все такие цифры выходят, что самому не верится.
Ну не все критикуют BSC 😉 Есть и позитивные примеры. Чем тебе она не нравится?
анонимному: Согласен, что культура измерений не только ИБ, но и многих других направлений у нас пока отсутствует. Но и на месте топтаться не надо. Тем более, что все равно начинать измерять эффективность ИБ надо для себя и для этого достаточно условий уже сейчас.
ригелю: У BSC есть два очень важных плюса — ориентация не только на финансовые метрики оценки деятельности (и это логично) и поиск причинно-следственных связей между метриками. Вот!
> Ну не все критикуют BSC 😉
> Есть и позитивные примеры.
> Чем тебе она не нравится?
Веришь ли, совершенно не на моей совести, что какие-то вещи сейчас в одном месте s-кривой, а какие-то в другом ;))
Но свой камент по поводу той статьи, которую я не видел, могу дать, раз надо.
Конечно, если работодателя прет от равновесных очкокарт, то ИБ ему нужно давать через равновесные очкокарты, а если от феншуя, то через феншуй. Это "нивапрос ниразу".
Только очкокарты (да и феншуй, что уж скрывать) не панацея, а стотысячмиллионный случай, когда радио есть, а счастья нет (с) Ильф. И вообще, были бы они хороши — мы бы ими дома пользовались. Ты в своей семье уже ввел?
Теория ССП общедоступна лет примерно 15, однако лидеры как исчислялись единицами, так и исчисляются единицами, а лузеров как был сонм, так и есть сонм. Потому что показатели успешно работают при условии, что фирма нашла ту стратегию, которая ведет к выигрышу, и правильно декомпозировала ее на цели. Правда, пустячок? Очевидная засада в том, что если у фирмы есть гениальная стратегия и понимание оной, так у нее и будет все хорошо, а если нет — нет.
А что в топе Форбс или Форчун большинство когда-либо проявляло интерес к товару BSC Collaborative — так это совершенно не значит, что они добились успеха вследствие использования этого изделия, ты же понимаешь.
Проблема в том, что ИБ отвязана от бизнеса. Попытка притащить в Россию западные практики не приводит в принципе ни к чему полезному, поскольку см.пост 1.
Культуру самим создавать надо, но прежде дОлжно выяснить зависимости.
«Конечно, если работодателя прет от равновесных очкокарт, то ИБ ему нужно давать через равновесные очкокарты, а если от феншуя, то через феншуй. Это «нивапрос ниразу».
——-
Абсолютно согласен. Это вопрос религии. Вот BIA, к счастью, несколько более осязаемая вещь.
для Анонимный:
А BIA можете в моем посте вместо феншуя подставить (поверьте уж сертифицированному специалисту по 25999).
ригелю: Разумеется все исходит из того, что стратегия есть. И в презентации всего не скажешь — многое на словах было. Одно из таких «слов» — что универсального рецепта и метода измерений нет — в каждом случае нужно выбирать что-то свое. Второе слово — что процесс измерения эффективности очень сильно зависит от зрелости компании и ее культуры.
А не кажется ли вам, уважаемые, что все эти поиски оценки эффективности ИБ и смысла исходят из того, что в большей части компаний в России пока защищать нечего и не от кого?
Этот вопрос проистекает из утверждения одного из высказавшихся участников выше о том, что конкуренции в бизнесе нет и по поводу эффективности труда.
Есть некоторые пункты которые должны быть закрыты, да и то по большей части касаются непрерывности бизнес-процессов.
С уважением
Мне иногда кажется, что на данном этапе нужно организовать консалтинговым компаниям подразделение по оценке необходимости обеспечения ИБ 😉
ригелю:
я бы не стал девальвировать BIA через российскую практику применения. А иного даже BS 25999 сертифицированные специалисты на практике толком не касались. Уверен, вы видели 78 страничный Sample_BIA_Report от Gartner образца 2002 года где хорошо показан масштаб. Согласен, что BCM — это вопрос риск аппетита. Но с этим как раз не все в порядке, ибо см. пост1. Нет культуры управления операционными рисками и нет мотивов ее внедрять.
Для Анонимный:
Проблема BIA в том же, в чем и RA — в наличии отсутствия достоверной методики оценки, и только-то.
Но это совершенно не повод заменять разговор про ISMS на разговор про BCMS, они не одно и то же.
анонимному: Вопросы операционных рисков вообще сейчас под вопросом. Они возникли под влиянием планируемого к введению Базель II, но кризис показал, что несмотря на наличие системы управления рисками в европейских и штатовских банках, помочь они не смогли. Так что сейчас многие специалисты говорят о том, что Базель II себя изжил. И в России его вообще отказались внедрять в ближайшие годы по словам Курило.
Void Z7: Отсутствие конкуренции не значит, что защищать нечего. Малосвязанные между собой вещи…
Также мало связаны оценка эффективности с поиском идеи существования ИБ. У вас ИБ должна быть по любому. Вопрос в том, что вы это должны доказать руководству его языком. Доказали — проблема решена. Не доказали… Это ваша проблема, которая не значит, что ИБ компании не нужна. Просто вы не смогли донести эту нужность.
Ригелю:
даже в мыслях нет подменять ISMS на BCMS. Но в основе лежит одно и то же — оценка рисков и риск-аппетит.
А какую методику оценки вы можете назвать достоверной? При виде которой топы одобрительно кивают головой?
Алексею Лукацкому:
наверное пока преждевременно обвинять Базель во всех грехах. управление рисками не решает проблем финансовых пирамид, а также иных регулятивных перекосов. до сего момента мировым движением денег управляли рейтинговые агенства с непрозрачными методиками и двойными стандартами.
не нужно быть специалистом по экономике, чтобы понимать: мировая финансовая система завязана на доллар, а в америке, если и управляли кредитными рисками (что сомнительно, учитывая то, как выдавались кредиты), то ориентировались на заведомо ложную картину вышеупомянутых риск-рейтингов. это значительно более фундаментальный изъян, никакой базель тут не спасет.
принципиально — на будущее — это очень хороший и полезный инструмент тактического управления.
Решил идентифицироваться на случай, если на огонек зайдет еще один Анонимный и начнется путаница.
Для AndrewZ: методику, которая в руках не состоящих в сговоре оценщиков дает одинаковый (близкий) результат 😉
Алексей, а начало 00-ых годов мы в твоем исполнении услышим?
Ну там «топ-менеджменту от вас нужны не показатели, а впечатления», «вау-проекты — единственный способ борьбы за бюджет», «качество больше не конкурентное преимущество, а входной порог» и прочая нордстремовско-питерсовская тема (с заменой, конечно, внешнего потребителя на внутреннего и внешнего конкурента на внутреннего же).
Или будем и дальше т.н. молодую шпану ждать?
Миш, а я не знаю, о чем ты 😉
Одолевает меня иной раз смутное подозрение, что на BSC книгоиздание не остановилось. Я думал, что ты больше знаешь — вечные аэропорты, гостиницы, надо ж куда-то глазами упереться…
Ну, собственно, вот — добравшись до рабочего компьютера, делюсь одним из наиболее ярких примеров, раз эта волна как-то мимо тебя прошла.
Поскольку тему разговора на языке бизнеса ты продолжаешь развивать, то должно пригодиться «до кучи».
http://www.rapidshare.ru/847116
Твердая копия на Озоне есть (дороговато, зато с полезными картинками).
з.ы. Если я скажу, что автор регулярно приводит в пример Cisco, это повысит его шансы?
А-а-а, вот ты о чем 😉 Я до Питерса еще не добрался. Я переосмысливаю Нортона с Капланом 😉 Ну и параллельно про KPI читаю и Адизеса про теорию организации. Это из книг если.
А Питерса перекладывать на язык ИБ еще рановато, если мы не прошли реперную точку KPI/BSC 😉