Второй презентацией, которую я прочитал в Киеве, была "Оценка эффективности информационной безопасности". Конечно за час сложно было развернуть эту тему целиком, но по ключевым моментам я прошелся, показав, что безопасность можно и нужно оценивать с разных сторон - ИБ, ИТ, финансов, операционной деятельности и т.п. Вплоть до применения системы сбалансированных показателей в области ИБ (на эту тему у меня скоро статья выходит).
Академические примеры как всегда выглядят красиво. Только вот потеря продуктивности исчезающе мало отразится на бизнес-результатах, потому, что:
ОтветитьУдалить- эффективность труда в России все еще так низка, что если помотреть сколько времени тратится на чаептия и прогулки по сети, то остальные вынужденные издержки становятся детским лепетом
- в России до сих пор нет нормальной рыночной конкуренции, поэтому имеет место быть фантастическая лояльность клиентов, готовых терпеть очень многое.
Резюме. Пока у нас не войдет в практику BIA - рано говорить о каких-то иных метриках. такие метрики будут иметь действие только на тех CxO, которые готовы это воспринимать под предлагаемым углом зрения.
> Вплоть до применения системы
ОтветитьУдалить> сбалансированных показателей
Удивительное дело: у ИБ-шников начало интереса к чему-либо совпадает с началом выхода из впадины разочарования у всех остальных - все уже вволю наобсирались эти балансированные показатели, а мы только осваиваем.
Давно пытаюсь прикинуть, насколько ж мы лет отстаем, да все такие цифры выходят, что самому не верится.
Ну не все критикуют BSC ;-) Есть и позитивные примеры. Чем тебе она не нравится?
ОтветитьУдалитьанонимному: Согласен, что культура измерений не только ИБ, но и многих других направлений у нас пока отсутствует. Но и на месте топтаться не надо. Тем более, что все равно начинать измерять эффективность ИБ надо для себя и для этого достаточно условий уже сейчас.
ОтветитьУдалитьригелю: У BSC есть два очень важных плюса - ориентация не только на финансовые метрики оценки деятельности (и это логично) и поиск причинно-следственных связей между метриками. Вот!
ОтветитьУдалить> Ну не все критикуют BSC ;-)
ОтветитьУдалить> Есть и позитивные примеры.
> Чем тебе она не нравится?
Веришь ли, совершенно не на моей совести, что какие-то вещи сейчас в одном месте s-кривой, а какие-то в другом ;))
Но свой камент по поводу той статьи, которую я не видел, могу дать, раз надо.
Конечно, если работодателя прет от равновесных очкокарт, то ИБ ему нужно давать через равновесные очкокарты, а если от феншуя, то через феншуй. Это "нивапрос ниразу".
Только очкокарты (да и феншуй, что уж скрывать) не панацея, а стотысячмиллионный случай, когда радио есть, а счастья нет (с) Ильф. И вообще, были бы они хороши - мы бы ими дома пользовались. Ты в своей семье уже ввел?
Теория ССП общедоступна лет примерно 15, однако лидеры как исчислялись единицами, так и исчисляются единицами, а лузеров как был сонм, так и есть сонм. Потому что показатели успешно работают при условии, что фирма нашла ту стратегию, которая ведет к выигрышу, и правильно декомпозировала ее на цели. Правда, пустячок? Очевидная засада в том, что если у фирмы есть гениальная стратегия и понимание оной, так у нее и будет все хорошо, а если нет - нет.
А что в топе Форбс или Форчун большинство когда-либо проявляло интерес к товару BSC Collaborative - так это совершенно не значит, что они добились успеха вследствие использования этого изделия, ты же понимаешь.
Проблема в том, что ИБ отвязана от бизнеса. Попытка притащить в Россию западные практики не приводит в принципе ни к чему полезному, поскольку см.пост 1.
ОтветитьУдалитьКультуру самим создавать надо, но прежде дОлжно выяснить зависимости.
"Конечно, если работодателя прет от равновесных очкокарт, то ИБ ему нужно давать через равновесные очкокарты, а если от феншуя, то через феншуй. Это "нивапрос ниразу".
ОтветитьУдалить-------
Абсолютно согласен. Это вопрос религии. Вот BIA, к счастью, несколько более осязаемая вещь.
для Анонимный:
ОтветитьУдалитьА BIA можете в моем посте вместо феншуя подставить (поверьте уж сертифицированному специалисту по 25999).
ригелю: Разумеется все исходит из того, что стратегия есть. И в презентации всего не скажешь - многое на словах было. Одно из таких "слов" - что универсального рецепта и метода измерений нет - в каждом случае нужно выбирать что-то свое. Второе слово - что процесс измерения эффективности очень сильно зависит от зрелости компании и ее культуры.
ОтветитьУдалитьА не кажется ли вам, уважаемые, что все эти поиски оценки эффективности ИБ и смысла исходят из того, что в большей части компаний в России пока защищать нечего и не от кого?
ОтветитьУдалитьЭтот вопрос проистекает из утверждения одного из высказавшихся участников выше о том, что конкуренции в бизнесе нет и по поводу эффективности труда.
Есть некоторые пункты которые должны быть закрыты, да и то по большей части касаются непрерывности бизнес-процессов.
С уважением
Мне иногда кажется, что на данном этапе нужно организовать консалтинговым компаниям подразделение по оценке необходимости обеспечения ИБ ;)
ОтветитьУдалитьригелю:
ОтветитьУдалитья бы не стал девальвировать BIA через российскую практику применения. А иного даже BS 25999 сертифицированные специалисты на практике толком не касались. Уверен, вы видели 78 страничный Sample_BIA_Report от Gartner образца 2002 года где хорошо показан масштаб. Согласен, что BCM - это вопрос риск аппетита. Но с этим как раз не все в порядке, ибо см. пост1. Нет культуры управления операционными рисками и нет мотивов ее внедрять.
Для Анонимный:
ОтветитьУдалитьПроблема BIA в том же, в чем и RA - в наличии отсутствия достоверной методики оценки, и только-то.
Но это совершенно не повод заменять разговор про ISMS на разговор про BCMS, они не одно и то же.
анонимному: Вопросы операционных рисков вообще сейчас под вопросом. Они возникли под влиянием планируемого к введению Базель II, но кризис показал, что несмотря на наличие системы управления рисками в европейских и штатовских банках, помочь они не смогли. Так что сейчас многие специалисты говорят о том, что Базель II себя изжил. И в России его вообще отказались внедрять в ближайшие годы по словам Курило.
ОтветитьУдалитьVoid Z7: Отсутствие конкуренции не значит, что защищать нечего. Малосвязанные между собой вещи...
ОтветитьУдалитьТакже мало связаны оценка эффективности с поиском идеи существования ИБ. У вас ИБ должна быть по любому. Вопрос в том, что вы это должны доказать руководству его языком. Доказали - проблема решена. Не доказали... Это ваша проблема, которая не значит, что ИБ компании не нужна. Просто вы не смогли донести эту нужность.
Ригелю:
ОтветитьУдалитьдаже в мыслях нет подменять ISMS на BCMS. Но в основе лежит одно и то же - оценка рисков и риск-аппетит.
А какую методику оценки вы можете назвать достоверной? При виде которой топы одобрительно кивают головой?
Алексею Лукацкому:
ОтветитьУдалитьнаверное пока преждевременно обвинять Базель во всех грехах. управление рисками не решает проблем финансовых пирамид, а также иных регулятивных перекосов. до сего момента мировым движением денег управляли рейтинговые агенства с непрозрачными методиками и двойными стандартами.
не нужно быть специалистом по экономике, чтобы понимать: мировая финансовая система завязана на доллар, а в америке, если и управляли кредитными рисками (что сомнительно, учитывая то, как выдавались кредиты), то ориентировались на заведомо ложную картину вышеупомянутых риск-рейтингов. это значительно более фундаментальный изъян, никакой базель тут не спасет.
принципиально - на будущее - это очень хороший и полезный инструмент тактического управления.
Решил идентифицироваться на случай, если на огонек зайдет еще один Анонимный и начнется путаница.
ОтветитьУдалитьДля AndrewZ: методику, которая в руках не состоящих в сговоре оценщиков дает одинаковый (близкий) результат ;)
ОтветитьУдалитьАлексей, а начало 00-ых годов мы в твоем исполнении услышим?
ОтветитьУдалитьНу там "топ-менеджменту от вас нужны не показатели, а впечатления", "вау-проекты - единственный способ борьбы за бюджет", "качество больше не конкурентное преимущество, а входной порог" и прочая нордстремовско-питерсовская тема (с заменой, конечно, внешнего потребителя на внутреннего и внешнего конкурента на внутреннего же).
Или будем и дальше т.н. молодую шпану ждать?
Миш, а я не знаю, о чем ты ;-)
ОтветитьУдалитьОдолевает меня иной раз смутное подозрение, что на BSC книгоиздание не остановилось. Я думал, что ты больше знаешь - вечные аэропорты, гостиницы, надо ж куда-то глазами упереться...
ОтветитьУдалитьНу, собственно, вот - добравшись до рабочего компьютера, делюсь одним из наиболее ярких примеров, раз эта волна как-то мимо тебя прошла.
ОтветитьУдалитьПоскольку тему разговора на языке бизнеса ты продолжаешь развивать, то должно пригодиться "до кучи".
http://www.rapidshare.ru/847116
Твердая копия на Озоне есть (дороговато, зато с полезными картинками).
з.ы. Если я скажу, что автор регулярно приводит в пример Cisco, это повысит его шансы?
А-а-а, вот ты о чем ;-) Я до Питерса еще не добрался. Я переосмысливаю Нортона с Капланом ;-) Ну и параллельно про KPI читаю и Адизеса про теорию организации. Это из книг если.
ОтветитьУдалитьА Питерса перекладывать на язык ИБ еще рановато, если мы не прошли реперную точку KPI/BSC ;-)