Об этом в ходе своего мастер-класса на VIII Международном форуме информационных технологий "ITForum-2020/Консолидация" заявил бизнес-консультант по безопасности компании Cisco Алексей Лукацкий.
- Существуют три основных драйвера инвестиций в информационную безопасность (ИБ). Первый - необходимость соответствовать каким-то формальным требованиям регулирующих органов. Как правило, это касается госучреждений, банков. Второй аспект - так называемая торговля страхом, когда IT-специалисты говорят руководству компании, что если не усилить ИБ, могут быть проблемы, - рассказал Алексей Лукаций. - Однако в моменты кризиса этот фактор перестает работать, картина рисков меняется. Бизнес куда больше боится кассовых разрывов, банкротства, сокращения персонала. Поэтому остается оперировать третьим фактором - экономической целесообразностью. Инвестиции в ИБ могут принести материальную пользу.
По словам спикера, понятие информационной безопасности вполне можно сравнить со счастьем. В том плане, что у каждого оно свое и дать какое-то общее определение весьма сложно. Тем не менее, это не абстрактное понятие, как может показаться на первый взгляд, а вполне конкретное, измеряемое. Именно поэтому можно и нужно соотносить расходы на ИБ с задачами бизнеса (а не говорить о безопасности ради самой безопасности).
- Чтобы переговоры прошли проще, сперва надо оценить возможные потери бизнеса в случае, если инвестиции в ИБ сделаны не будут. При этом не надо пытаться посчитать их до рубля - это практически нереально. Наша задача - снизить неопределенность, - посоветовал собравшимся Алексей Лукацкий.
Субъективной является и оценка эффективности ИБ. К примеру, финансовый директор в первую очередь будет иметь в виду, во сколько обойдется это удовольствие, юрист обратит внимание на соответствие формальным требованиям, а IT-специалист - на возможность вписать программный продукт в уже имеющуюся систему. Поэтому специалисту по безопасности важно понимать, на каких именно примерах можно показать собеседнику пользу от вложений в ИБ. Лучше всего, если ее можно измерить деньгами.
В качестве примера Алексей Лукацкий привел ситуацию, когда компания хочет повысить продажи за счет экспансии на не освоенные территории. Одним из вариантов является открытие дополнительного офиса в другом городе. Однако задачу можно решить дешевле - нанять сотрудника, снабдить его мобильным устройством, единственное, о чем останется позаботиться - защищенность канала связи. Аналогичный принцип действует, когда бизнес, стараясь сократить издержки, переводит часть сотрудников на работу из дома. В этом случае можно сэкономить на аренде офиса, но при этом стоит потратиться на ИБ, чтобы избежать утечек с персональных компьютеров работников.