"Пока гром не грянет – мужик не перекрестится"

Владельцы компаний чаще всего оперируют экономически понятным им термином "возврат инвестиций", сравнивая в денежном эквиваленте бюджет, выделенный на реализацию мер по обеспечению информационной безопасности, с прямым экономическим эффектом от внедрения данных мер в отчетный период. Здесь приходит на ум мудрая старорусская поговорка: "пока гром не грянет – мужик не перекрестится". К сожалению, в краткосрочной перспективе достичь желаемого финансового равновесия бывает крайне сложно.

И в такой неоднозначной ситуации (обоснование затрат) с точки зрения бизнеса во внимание как в плюс, так и в минус могут быть приняты самые разные дополнительные аргументы и интерпретации этой самой ситуации. Правильно сформулировать свою позицию, объяснить лицу, принимающему решение с точки зрения риск-ориентированного подхода и статистики по инцидентам информационной безопасности в отрасли, почему именно такие меры были предприняты, в чем выражается и когда следует ожидать экономический эффект, – эти факторы составляют более 80% успешного общения офицера по информационной безопасности и представителей бизнес-подразделений компании. Однако если в процессе постконтроля или планового внешнего аудита независимыми экспертами выясняется, что затраты на информационную безопасность изначально необоснованно завышены, предложенные меры реализованы частично, а модели угроз и нарушителя из политики информационной безопасности взяты не из вашей отрасли бизнеса, а из наиболее рискованной, к примеру финансовой, степень доверия к такому специалисту со стороны бизнеса резко падает и рассчитывать на длительное понимание и поддержку руководства организации специалисту по защите информации уже не получится. Приходится искать другую работу…

Правильные аргументы

На практике наиболее понятными и правильно воспринимаемыми бизнес-подразделениями аргументами в пользу развития информационной безопасности являются:

• сохранение и наращивание клиентской базы (проявление заботы о безопасности клиентской информации, предложение удобных инструментов, повышающих уровень конфиденциальности документооборота и т.д.);
• увеличение привлекательности основного продукта путем снижения рисков реализации известных угроз информационной безопасности (внедрение прозрачных для клиентов элементов защиты, снижающих риски компрометации или перехвата клиентских данных);
• устранение замечаний и предписаний внешних аудиторов (по результатам ранее проведенных проверок или в рамках подготовки к плановым аудитам);
• выявление нелояльных сотрудников (плотная работа с персоналом компании, проведение регулярных инструктажей, консультирование по вопросам личной и корпоративной информационной безопасности, а также выявление в процессе внутренних нарушителей);
• снижение внутренних расходов на содержание персонала (внедрение превентивных ограничений и процедур контроля, позволяющих снизить накладные расходы на эксплуатацию технических средств и программного обеспечения в организации);
• защита от действий недобросовестных конкурентов (выявление инцидентов информационной безопасности, направленных на несанкционированное получение внешним нарушителем информации о внутренней структуре и бизнес-процессе в организации);
• недопущение масштабных утечек информации по "внутренней кухне" организации (непрерывный мониторинг действий сотрудников на рабочих местах автоматизированными средствами, установка программных и аппаратных средств контроля, ретроспективный анализ, формирование совместно с экспертами от бизнес-подразделений признаков утечки);
• выполнение обязательных требований регуляторов (для отдельных отраслей бизнеса требования по защите информации являются обязательными для исполнения, проверяются на плановой и внеплановой основе представителями внешней/головной организации, а выявленные нарушения оказывают серьезное влияние как на бюджетно-экономические, так и на административно-кадровые вопросы).