Оценка эффективности ИБ

Второй презентацией, которую я прочитал в Киеве, была «Оценка эффективности информационной безопасности». Конечно за час сложно было развернуть эту тему целиком, но по ключевым моментам я прошелся, показав, что безопасность можно и нужно оценивать с разных сторон — ИБ, ИТ, финансов, операционной деятельности и т.п. Вплоть до применения системы сбалансированных показателей в области ИБ (на эту тему у меня скоро статья выходит).

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем.

  1. Анонимный

    Академические примеры как всегда выглядят красиво. Только вот потеря продуктивности исчезающе мало отразится на бизнес-результатах, потому, что:
    — эффективность труда в России все еще так низка, что если помотреть сколько времени тратится на чаептия и прогулки по сети, то остальные вынужденные издержки становятся детским лепетом
    — в России до сих пор нет нормальной рыночной конкуренции, поэтому имеет место быть фантастическая лояльность клиентов, готовых терпеть очень многое.

    Резюме. Пока у нас не войдет в практику BIA — рано говорить о каких-то иных метриках. такие метрики будут иметь действие только на тех CxO, которые готовы это воспринимать под предлагаемым углом зрения.

    Ответить
  2. Анонимный

    > Вплоть до применения системы
    > сбалансированных показателей

    Удивительное дело: у ИБ-шников начало интереса к чему-либо совпадает с началом выхода из впадины разочарования у всех остальных — все уже вволю наобсирались эти балансированные показатели, а мы только осваиваем.

    Давно пытаюсь прикинуть, насколько ж мы лет отстаем, да все такие цифры выходят, что самому не верится.

    Ответить
  3. Алексей Лукацкий

    Ну не все критикуют BSC 😉 Есть и позитивные примеры. Чем тебе она не нравится?

    Ответить
  4. Алексей Лукацкий

    анонимному: Согласен, что культура измерений не только ИБ, но и многих других направлений у нас пока отсутствует. Но и на месте топтаться не надо. Тем более, что все равно начинать измерять эффективность ИБ надо для себя и для этого достаточно условий уже сейчас.

    Ответить
  5. Алексей Лукацкий

    ригелю: У BSC есть два очень важных плюса — ориентация не только на финансовые метрики оценки деятельности (и это логично) и поиск причинно-следственных связей между метриками. Вот!

    Ответить
  6. Анонимный

    > Ну не все критикуют BSC 😉
    > Есть и позитивные примеры.
    > Чем тебе она не нравится?

    Веришь ли, совершенно не на моей совести, что какие-то вещи сейчас в одном месте s-кривой, а какие-то в другом ;))
    Но свой камент по поводу той статьи, которую я не видел, могу дать, раз надо.

    Конечно, если работодателя прет от равновесных очкокарт, то ИБ ему нужно давать через равновесные очкокарты, а если от феншуя, то через феншуй. Это "нивапрос ниразу".
    Только очкокарты (да и феншуй, что уж скрывать) не панацея, а стотысячмиллионный случай, когда радио есть, а счастья нет (с) Ильф. И вообще, были бы они хороши — мы бы ими дома пользовались. Ты в своей семье уже ввел?
    Теория ССП общедоступна лет примерно 15, однако лидеры как исчислялись единицами, так и исчисляются единицами, а лузеров как был сонм, так и есть сонм. Потому что показатели успешно работают при условии, что фирма нашла ту стратегию, которая ведет к выигрышу, и правильно декомпозировала ее на цели. Правда, пустячок? Очевидная засада в том, что если у фирмы есть гениальная стратегия и понимание оной, так у нее и будет все хорошо, а если нет — нет.
    А что в топе Форбс или Форчун большинство когда-либо проявляло интерес к товару BSC Collaborative — так это совершенно не значит, что они добились успеха вследствие использования этого изделия, ты же понимаешь.

    Ответить
  7. Анонимный

    Проблема в том, что ИБ отвязана от бизнеса. Попытка притащить в Россию западные практики не приводит в принципе ни к чему полезному, поскольку см.пост 1.
    Культуру самим создавать надо, но прежде дОлжно выяснить зависимости.

    Ответить
  8. Анонимный

    «Конечно, если работодателя прет от равновесных очкокарт, то ИБ ему нужно давать через равновесные очкокарты, а если от феншуя, то через феншуй. Это «нивапрос ниразу».
    ——-
    Абсолютно согласен. Это вопрос религии. Вот BIA, к счастью, несколько более осязаемая вещь.

    Ответить
  9. Анонимный

    для Анонимный:

    А BIA можете в моем посте вместо феншуя подставить (поверьте уж сертифицированному специалисту по 25999).

    Ответить
  10. Алексей Лукацкий

    ригелю: Разумеется все исходит из того, что стратегия есть. И в презентации всего не скажешь — многое на словах было. Одно из таких «слов» — что универсального рецепта и метода измерений нет — в каждом случае нужно выбирать что-то свое. Второе слово — что процесс измерения эффективности очень сильно зависит от зрелости компании и ее культуры.

    Ответить
  11. Анонимный

    А не кажется ли вам, уважаемые, что все эти поиски оценки эффективности ИБ и смысла исходят из того, что в большей части компаний в России пока защищать нечего и не от кого?

    Этот вопрос проистекает из утверждения одного из высказавшихся участников выше о том, что конкуренции в бизнесе нет и по поводу эффективности труда.

    Есть некоторые пункты которые должны быть закрыты, да и то по большей части касаются непрерывности бизнес-процессов.

    С уважением

    Ответить
  12. Анонимный

    Мне иногда кажется, что на данном этапе нужно организовать консалтинговым компаниям подразделение по оценке необходимости обеспечения ИБ 😉

    Ответить
  13. Анонимный

    ригелю:
    я бы не стал девальвировать BIA через российскую практику применения. А иного даже BS 25999 сертифицированные специалисты на практике толком не касались. Уверен, вы видели 78 страничный Sample_BIA_Report от Gartner образца 2002 года где хорошо показан масштаб. Согласен, что BCM — это вопрос риск аппетита. Но с этим как раз не все в порядке, ибо см. пост1. Нет культуры управления операционными рисками и нет мотивов ее внедрять.

    Ответить
  14. Анонимный

    Для Анонимный:

    Проблема BIA в том же, в чем и RA — в наличии отсутствия достоверной методики оценки, и только-то.

    Но это совершенно не повод заменять разговор про ISMS на разговор про BCMS, они не одно и то же.

    Ответить
  15. Алексей Лукацкий

    анонимному: Вопросы операционных рисков вообще сейчас под вопросом. Они возникли под влиянием планируемого к введению Базель II, но кризис показал, что несмотря на наличие системы управления рисками в европейских и штатовских банках, помочь они не смогли. Так что сейчас многие специалисты говорят о том, что Базель II себя изжил. И в России его вообще отказались внедрять в ближайшие годы по словам Курило.

    Ответить
  16. Алексей Лукацкий

    Void Z7: Отсутствие конкуренции не значит, что защищать нечего. Малосвязанные между собой вещи…

    Также мало связаны оценка эффективности с поиском идеи существования ИБ. У вас ИБ должна быть по любому. Вопрос в том, что вы это должны доказать руководству его языком. Доказали — проблема решена. Не доказали… Это ваша проблема, которая не значит, что ИБ компании не нужна. Просто вы не смогли донести эту нужность.

    Ответить
  17. Анонимный

    Ригелю:
    даже в мыслях нет подменять ISMS на BCMS. Но в основе лежит одно и то же — оценка рисков и риск-аппетит.
    А какую методику оценки вы можете назвать достоверной? При виде которой топы одобрительно кивают головой?

    Ответить
  18. Анонимный

    Алексею Лукацкому:
    наверное пока преждевременно обвинять Базель во всех грехах. управление рисками не решает проблем финансовых пирамид, а также иных регулятивных перекосов. до сего момента мировым движением денег управляли рейтинговые агенства с непрозрачными методиками и двойными стандартами.
    не нужно быть специалистом по экономике, чтобы понимать: мировая финансовая система завязана на доллар, а в америке, если и управляли кредитными рисками (что сомнительно, учитывая то, как выдавались кредиты), то ориентировались на заведомо ложную картину вышеупомянутых риск-рейтингов. это значительно более фундаментальный изъян, никакой базель тут не спасет.
    принципиально — на будущее — это очень хороший и полезный инструмент тактического управления.

    Ответить
  19. Анонимный

    Решил идентифицироваться на случай, если на огонек зайдет еще один Анонимный и начнется путаница.

    Ответить
  20. Анонимный

    Для AndrewZ: методику, которая в руках не состоящих в сговоре оценщиков дает одинаковый (близкий) результат 😉

    Ответить
  21. Анонимный

    Алексей, а начало 00-ых годов мы в твоем исполнении услышим?
    Ну там «топ-менеджменту от вас нужны не показатели, а впечатления», «вау-проекты — единственный способ борьбы за бюджет», «качество больше не конкурентное преимущество, а входной порог» и прочая нордстремовско-питерсовская тема (с заменой, конечно, внешнего потребителя на внутреннего и внешнего конкурента на внутреннего же).
    Или будем и дальше т.н. молодую шпану ждать?

    Ответить
  22. Алексей Лукацкий

    Миш, а я не знаю, о чем ты 😉

    Ответить
  23. Анонимный

    Одолевает меня иной раз смутное подозрение, что на BSC книгоиздание не остановилось. Я думал, что ты больше знаешь — вечные аэропорты, гостиницы, надо ж куда-то глазами упереться…

    Ответить
  24. Анонимный

    Ну, собственно, вот — добравшись до рабочего компьютера, делюсь одним из наиболее ярких примеров, раз эта волна как-то мимо тебя прошла.
    Поскольку тему разговора на языке бизнеса ты продолжаешь развивать, то должно пригодиться «до кучи».
    http://www.rapidshare.ru/847116
    Твердая копия на Озоне есть (дороговато, зато с полезными картинками).

    з.ы. Если я скажу, что автор регулярно приводит в пример Cisco, это повысит его шансы?

    Ответить
  25. Алексей Лукацкий

    А-а-а, вот ты о чем 😉 Я до Питерса еще не добрался. Я переосмысливаю Нортона с Капланом 😉 Ну и параллельно про KPI читаю и Адизеса про теорию организации. Это из книг если.

    А Питерса перекладывать на язык ИБ еще рановато, если мы не прошли реперную точку KPI/BSC 😉

    Ответить