20 марта 2008 г. Как обосновать инвестиции в ИБ в экономических терминах Денис Муравьев PhD, CISSP, CISA.

2 Что такое информационная безопасность? Задачи руководителей Бизнес и выгоды от ИБ Возможности и роли ИБ в организации Бюджетирование затрат на ИБ и выгод от использования Как эффективно взаимодействовать с бизнесом (стратегии и методы) План презентации

3 Что такое информационная безопасность? ?

4 Стандарт ЦБ СТО БР ИББС Информационная безопасность организации банковской системы Российской Федерации: состояние защищенности интересов (целей) организации банковской системы Российской Федерации в условиях угроз в информационной сфере. Примечания: 1. Защищенность достигается обеспечением совокупности свойств информационной безопасности конфиденциальностью, целостностью, доступностью информационных активов и инфраструктуры. Приоритетность свойств информационной безопасности определяется значимостью информационных активов для интересов (целей) организации. 2. Информационная сфера представляет собой совокупность информации, информационной инфраструктуры, субъектов, осуществляющих сбор, формирование, распространение, хранение и использование информации, а также системы регулирования возникающих при этом отношений.

5 Задачи руководителей Обеспечить эффективное стратегическое руководство Соблюсти интересы акционеров Соблюсти требования регуляторов –Российских –Западных –Листинговых площадок Структурировать управление –Обеспечить применение лучших практик менеджмента Обеспечить жесткий внутренний контроль Обеспечить управление рисками Повысить капитализацию

6 Задачи руководителей по ИБ Три «Ч»: Ч тобы не было претензий Ч тобы ничего не украли Ч тобы было недорого

7 Может ли ИБ быть выгодна для бизнеса? ИБ считается «затратной» статьей Нужно всем и одновременно никому не нужно Тяжело донести идею до «верха» Тот кто платит – не знает за что Руководство слушает аудиторов

8 Сравним с ИТ Не существует прямой зависимости между затратами на ИТ и удовлетворенностью бизнеса; Бизнес менеджмент часто убежден, что затраты на ИТ слишком высоки; ИТ специалисты сфокусированы на технологиях, а не на бизнесе; ИТ не взаимодействует с другими отделами и не способно позиционировать себя в рамках организации. (исследование Gartner)

9 Что же делать?

10 Недостаток финансирования? (Исследование ABISS и Perimetrix)

11 Семь ключевых навыков ИБ директора Создавать и поддерживать техническую платформу и обеспечивать предоставление сервиса Развивать технические, сервисные и управленческие умения Обеспечивать и демонстрировать высокие результаты и ценность для бизнеса Разумно использовать ресурсы внешнего рынка Создавать обстановку, способствующую возникновению новых возможностей Содействовать продвижению электронных технологий Вести за собой бизнес

12 Три роли ИБ в организации Результативность Поддержка импульса бизнеса Масса = сотрудники, филиалы, территории и т.д. Скорость = быстрота и зависимость от непрерывности движения Направление = видение, миссия и цели

13 Три роли ИБ в организации Результативность Поддержка импульса бизнеса Улучшение бизнес результата ИБ лидерство

14 Требования бизнеса к ИБ Поддержка импульса бизнеса Результативность Улучше- ние бизнес резуль- тата Улучшение бизнес результата Согласован- ное ИБ лидерство ИБ лидерство

15 Цели бюджетирования в ИБ Бюджет Импульс Поддержка бизнес импульса Улучшение бизнес результата ИБ лидерство

16 Категории затрат Бюджет Импульс Затраты на поддержание текущей деятельности организации Улучшение бизнес результата (на базе ROI) Стратегические возможности Усиление возможностей ИБ Усиление инфраструктуры Внешние требования

17 Приоритеты и категории риска Усиление инфраструктуры Бюджет Недостаток бюджета = прямой риск Отсрочен- ный риск Распределе- ние риска Стратегичес кий риск Текущая деятельность Насущная необходимость Обязательные затраты Необязательно Исследование или пилот Усиление ИБ Опциональные Возможно Обусловленные Следовало бы

18 Изменение импульса Бюджет Текущая деятельность Обязательные затраты Обусловленные Опциональные Исследование или Пилот Усиление ИБ Усиление инфраструктуры Все эти действия поднимают планку требований. Задача ИБ = показать что увеличение бюджета эффективно

19 Что здесь не правильно??? Бюджет Импульс бизнеса Поддержка бизнес импульса Улучшение бизнес результата ИБ лидерство Снизить ИБ бюджет на 20%

20 Ценность того, что ИБ хорошо управляется Результативность ИБ в зависимости от роли Ценность снижения рисков и затрат ROI: улучшение бизнес результата Ценность изменения «правил игры» Ценность удержания позиции Подготовленность ИБ Результативность ИБ

21 Изменяющаяся природа ИБ ценности Предложение ИБ Бизнес спрос Точка перегиба

22 Изменение роли ИБ Предложение ИБ Бизнес спрос ИБ создает ценность путем внедрения и поддержки безопасных технологий (решений) Роль ИБ меняется: от предложения технологии (исполнителя) к спросу (заказчику) на основании требований бизнеса

23 Где ИБ может создать добавочную стоимость Бизнес возможности и соответствующие выгоды (соответствие бизнесу) Обещанные выгоды Бизнес метрики ИБ Процессный менеджмент Информация Портфельное управление

24 Показывай свою работу – или «умри» ИБ отчеты, как правило, слишком «техничны», неясны и слишком детальны чтобы использоваться бизнесом Выживание ИБ напрямую зависит от отчетности, т.к. в последние годы заявляемые преимущества от использования технологий ИБ подвергаются сильному скептицизму Поэтому, отчеты о работе ИБ должны быть регулярными, правдивыми и подготовленными с точки зрения бизнеса.

25 Коммуникации, коммуникации и коммуникации Бизнес взгляд на отчетность ИБ? –ISO это еще одно «пустое» название для высшего руководства, –Отличный ИБ-менеджер, как НЛО – внеземная форма жизни. Коммуникация с бизнесом должна быть приоритетом для всех ИБ менеджеров –Следует подготовить план коммуникации –Выстроить коммуникационный процесс и определить роли –Не забывайте делать это! –Пожалуйста

26 ВОПРОСЫ И ОТВЕТЫ Спасибо за внимание! Денис Муравьев, генеральный директор + 7 (499) (499)