28.11.2008

Оценка эффективности ИБ

Второй презентацией, которую я прочитал в Киеве, была "Оценка эффективности информационной безопасности". Конечно за час сложно было развернуть эту тему целиком, но по ключевым моментам я прошелся, показав, что безопасность можно и нужно оценивать с разных сторон - ИБ, ИТ, финансов, операционной деятельности и т.п. Вплоть до применения системы сбалансированных показателей в области ИБ (на эту тему у меня скоро статья выходит).

25 коммент.:

Анонимный комментирует...

Академические примеры как всегда выглядят красиво. Только вот потеря продуктивности исчезающе мало отразится на бизнес-результатах, потому, что:
- эффективность труда в России все еще так низка, что если помотреть сколько времени тратится на чаептия и прогулки по сети, то остальные вынужденные издержки становятся детским лепетом
- в России до сих пор нет нормальной рыночной конкуренции, поэтому имеет место быть фантастическая лояльность клиентов, готовых терпеть очень многое.

Резюме. Пока у нас не войдет в практику BIA - рано говорить о каких-то иных метриках. такие метрики будут иметь действие только на тех CxO, которые готовы это воспринимать под предлагаемым углом зрения.

ригель комментирует...

> Вплоть до применения системы
> сбалансированных показателей

Удивительное дело: у ИБ-шников начало интереса к чему-либо совпадает с началом выхода из впадины разочарования у всех остальных - все уже вволю наобсирались эти балансированные показатели, а мы только осваиваем.

Давно пытаюсь прикинуть, насколько ж мы лет отстаем, да все такие цифры выходят, что самому не верится.

Алексей Лукацкий комментирует...

Ну не все критикуют BSC ;-) Есть и позитивные примеры. Чем тебе она не нравится?

Алексей Лукацкий комментирует...

анонимному: Согласен, что культура измерений не только ИБ, но и многих других направлений у нас пока отсутствует. Но и на месте топтаться не надо. Тем более, что все равно начинать измерять эффективность ИБ надо для себя и для этого достаточно условий уже сейчас.

Алексей Лукацкий комментирует...

ригелю: У BSC есть два очень важных плюса - ориентация не только на финансовые метрики оценки деятельности (и это логично) и поиск причинно-следственных связей между метриками. Вот!

ригель комментирует...

> Ну не все критикуют BSC ;-)
> Есть и позитивные примеры.
> Чем тебе она не нравится?

Веришь ли, совершенно не на моей совести, что какие-то вещи сейчас в одном месте s-кривой, а какие-то в другом ;))
Но свой камент по поводу той статьи, которую я не видел, могу дать, раз надо.

Конечно, если работодателя прет от равновесных очкокарт, то ИБ ему нужно давать через равновесные очкокарты, а если от феншуя, то через феншуй. Это "нивапрос ниразу".
Только очкокарты (да и феншуй, что уж скрывать) не панацея, а стотысячмиллионный случай, когда радио есть, а счастья нет (с) Ильф. И вообще, были бы они хороши - мы бы ими дома пользовались. Ты в своей семье уже ввел?
Теория ССП общедоступна лет примерно 15, однако лидеры как исчислялись единицами, так и исчисляются единицами, а лузеров как был сонм, так и есть сонм. Потому что показатели успешно работают при условии, что фирма нашла ту стратегию, которая ведет к выигрышу, и правильно декомпозировала ее на цели. Правда, пустячок? Очевидная засада в том, что если у фирмы есть гениальная стратегия и понимание оной, так у нее и будет все хорошо, а если нет - нет.
А что в топе Форбс или Форчун большинство когда-либо проявляло интерес к товару BSC Collaborative - так это совершенно не значит, что они добились успеха вследствие использования этого изделия, ты же понимаешь.

Анонимный комментирует...

Проблема в том, что ИБ отвязана от бизнеса. Попытка притащить в Россию западные практики не приводит в принципе ни к чему полезному, поскольку см.пост 1.
Культуру самим создавать надо, но прежде дОлжно выяснить зависимости.

Анонимный комментирует...

"Конечно, если работодателя прет от равновесных очкокарт, то ИБ ему нужно давать через равновесные очкокарты, а если от феншуя, то через феншуй. Это "нивапрос ниразу".
-------
Абсолютно согласен. Это вопрос религии. Вот BIA, к счастью, несколько более осязаемая вещь.

ригель комментирует...

для Анонимный:

А BIA можете в моем посте вместо феншуя подставить (поверьте уж сертифицированному специалисту по 25999).

Алексей Лукацкий комментирует...

ригелю: Разумеется все исходит из того, что стратегия есть. И в презентации всего не скажешь - многое на словах было. Одно из таких "слов" - что универсального рецепта и метода измерений нет - в каждом случае нужно выбирать что-то свое. Второе слово - что процесс измерения эффективности очень сильно зависит от зрелости компании и ее культуры.

Void Z7 комментирует...

А не кажется ли вам, уважаемые, что все эти поиски оценки эффективности ИБ и смысла исходят из того, что в большей части компаний в России пока защищать нечего и не от кого?

Этот вопрос проистекает из утверждения одного из высказавшихся участников выше о том, что конкуренции в бизнесе нет и по поводу эффективности труда.

Есть некоторые пункты которые должны быть закрыты, да и то по большей части касаются непрерывности бизнес-процессов.

С уважением

Void Z7 комментирует...

Мне иногда кажется, что на данном этапе нужно организовать консалтинговым компаниям подразделение по оценке необходимости обеспечения ИБ ;)

Анонимный комментирует...

ригелю:
я бы не стал девальвировать BIA через российскую практику применения. А иного даже BS 25999 сертифицированные специалисты на практике толком не касались. Уверен, вы видели 78 страничный Sample_BIA_Report от Gartner образца 2002 года где хорошо показан масштаб. Согласен, что BCM - это вопрос риск аппетита. Но с этим как раз не все в порядке, ибо см. пост1. Нет культуры управления операционными рисками и нет мотивов ее внедрять.

ригель комментирует...

Для Анонимный:

Проблема BIA в том же, в чем и RA - в наличии отсутствия достоверной методики оценки, и только-то.

Но это совершенно не повод заменять разговор про ISMS на разговор про BCMS, они не одно и то же.

Алексей Лукацкий комментирует...

анонимному: Вопросы операционных рисков вообще сейчас под вопросом. Они возникли под влиянием планируемого к введению Базель II, но кризис показал, что несмотря на наличие системы управления рисками в европейских и штатовских банках, помочь они не смогли. Так что сейчас многие специалисты говорят о том, что Базель II себя изжил. И в России его вообще отказались внедрять в ближайшие годы по словам Курило.

Алексей Лукацкий комментирует...

Void Z7: Отсутствие конкуренции не значит, что защищать нечего. Малосвязанные между собой вещи...

Также мало связаны оценка эффективности с поиском идеи существования ИБ. У вас ИБ должна быть по любому. Вопрос в том, что вы это должны доказать руководству его языком. Доказали - проблема решена. Не доказали... Это ваша проблема, которая не значит, что ИБ компании не нужна. Просто вы не смогли донести эту нужность.

Анонимный комментирует...

Ригелю:
даже в мыслях нет подменять ISMS на BCMS. Но в основе лежит одно и то же - оценка рисков и риск-аппетит.
А какую методику оценки вы можете назвать достоверной? При виде которой топы одобрительно кивают головой?

Анонимный комментирует...

Алексею Лукацкому:
наверное пока преждевременно обвинять Базель во всех грехах. управление рисками не решает проблем финансовых пирамид, а также иных регулятивных перекосов. до сего момента мировым движением денег управляли рейтинговые агенства с непрозрачными методиками и двойными стандартами.
не нужно быть специалистом по экономике, чтобы понимать: мировая финансовая система завязана на доллар, а в америке, если и управляли кредитными рисками (что сомнительно, учитывая то, как выдавались кредиты), то ориентировались на заведомо ложную картину вышеупомянутых риск-рейтингов. это значительно более фундаментальный изъян, никакой базель тут не спасет.
принципиально - на будущее - это очень хороший и полезный инструмент тактического управления.

AndrewZ комментирует...

Решил идентифицироваться на случай, если на огонек зайдет еще один Анонимный и начнется путаница.

Ригель комментирует...

Для AndrewZ: методику, которая в руках не состоящих в сговоре оценщиков дает одинаковый (близкий) результат ;)

Ригель комментирует...

Алексей, а начало 00-ых годов мы в твоем исполнении услышим?
Ну там "топ-менеджменту от вас нужны не показатели, а впечатления", "вау-проекты - единственный способ борьбы за бюджет", "качество больше не конкурентное преимущество, а входной порог" и прочая нордстремовско-питерсовская тема (с заменой, конечно, внешнего потребителя на внутреннего и внешнего конкурента на внутреннего же).
Или будем и дальше т.н. молодую шпану ждать?

Алексей Лукацкий комментирует...

Миш, а я не знаю, о чем ты ;-)

Ригель комментирует...

Одолевает меня иной раз смутное подозрение, что на BSC книгоиздание не остановилось. Я думал, что ты больше знаешь - вечные аэропорты, гостиницы, надо ж куда-то глазами упереться...

Ригель комментирует...

Ну, собственно, вот - добравшись до рабочего компьютера, делюсь одним из наиболее ярких примеров, раз эта волна как-то мимо тебя прошла.
Поскольку тему разговора на языке бизнеса ты продолжаешь развивать, то должно пригодиться "до кучи".
http://www.rapidshare.ru/847116
Твердая копия на Озоне есть (дороговато, зато с полезными картинками).

з.ы. Если я скажу, что автор регулярно приводит в пример Cisco, это повысит его шансы?

Алексей Лукацкий комментирует...

А-а-а, вот ты о чем ;-) Я до Питерса еще не добрался. Я переосмысливаю Нортона с Капланом ;-) Ну и параллельно про KPI читаю и Адизеса про теорию организации. Это из книг если.

А Питерса перекладывать на язык ИБ еще рановато, если мы не прошли реперную точку KPI/BSC ;-)