31.03.2008

Парадокс безопасности

Представим себе классическую ситуацию. Есть производитель систем защиты, который не является альтруистом и который свои решения продает, зарабатывая этим себе на хлеб с маслом. Непродаваемые продукты будут сниматься с производства, т.к. бизнес есть бизнес. И есть покупатель, у которого тоже основная задача - бизнес. Иными словами у покупателя и продавца схожие цели - заработать. Логично предположить, что обе стороны будут инвестировать только в те проекты, которые будут нести некую пользу с точки зрения бизнеса. И обычно для оценки позитивного результата применяются вполне конкретные финансовые методики - NPV, IRR, PbP, ROI, TCO и т.д.

Теперь начинается парадокс. Продавая систему защиту ее производитель отказывается от бизнес-языка (оценки позитивного влияния продаваемой системы защиты) и начинает оперировать техническими терминами - AES, ACL, PKI, IPS и другие трехбуквенные аббревиатуры. Покупатель в лице CISO тоже, в массе своей, ориентируется на технические характеристики.

А все почему? Потому что, есть существенный разрыв между основными подразделениями
и безопасностью. Они изначально говорят на разных языках и не пытаются придти к взаимопонимаю. Каждый валит всю вину на другую сторону ;-(

8 коммент.:

arkanoid комментирует...

Никакого пардокса. Это CISO и должен переводить абстрактно-техническое на свое бизнес-специфичное. Иначе непонятно, что он вообще делает, потому что если он не понимает и того и другого, то ему просто запудрят мозги глянцевыми проспектами.

Я бы даже сказал, так многие вендоры и интеграторы и поступают.

Алексей Лукацкий комментирует...

Жизнь есть жизнь

arkanoid комментирует...

Взялся за гуж - полезай в кузов. В том и назначение любого "технического" C-level executive (CTO, CIO, CSO) , что он должен предоставлять интерфейс своей "второй буквы" к бизнесу. Если он не делает этого, то его должность просто неправильно называется.

e1am0 комментирует...

слушайте, други, а дайте может ссыль в инете, если есть, шоп почитать про набор умных слов. я конечно очень пессимистически смотрю на их эффективность, но вдруг и правда поможет настроить нужных людей на нужную волну. в крайнем случае сам образуюсь финаносово

Алексей Лукацкий комментирует...

arkanoid'у: А у нас и нет CSO, CISO и т.д. Есть директора по ИТ-безопасности, руководитель служб или отделов, но не Chief. Так что они "чисты" ;-)

Алексей Лукацкий комментирует...

Ильмар, тебе какие умные слова нужны? Про финансы, эффективность, метрики, governance?...

e1am0 комментирует...

ну мне надо въехать в тему, потому что технологии для использования просты, порой маркетинговых материалов уже хватает за глаза, чтобы понять чё и как там сделано. а вот как людям объяснять, что эта вся херня не просто так денег стоит...
Вчера Курбатов посоветовал получать управленческое образование, но я типа думал может начать с чего попроще, чтоб разобраться

Алексей Лукацкий комментирует...

Володя прав... Только получать его можно по-разному. Можно пойти на MBA, а можно самому, что почитать ;-)

Например, Val IT от ISACA