А вам нравится «BIS Journal»?

Присоединяйтесь к обществу профессионалов по информационной безопасности.

«BIS Journal» рекомендует!
Нажмите МНЕ НРАВИТСЯ!

6 февраля, 2017

Воронова Мария

ведущий эксперт по информационной безопасности, руководитель направления консалтинга (ГК InfoWatch)


Как безопасность содействует бизнесу?

Снижает риски

Очень часто на вопрос «Какова цель информационной безопасности?»  можно услышать классический ответ: «Обеспечение конфиденциальности, целостности и доступности бизнес-процессов». В принципе, это и верно, и неверно одновременно. Верно, потому что это одно из классических определений термина «информационная безопасность». Неверно, поскольку современный подход к ведению бизнеса требует иных специфик.
 

Итак, глобальная цель информационной безопасности – поддержание бизнес-стратегии, обеспечение должного развития бизнеса, снижение рисков, связанных с потенциальным нарушением данного развития. И информационные технологии, и информационная безопасность просто обязаны в текущей действительности оказывать существенное влияние на рост бизнеса и его сопутствующих процессов и процедур. Стратегии в области информационных технологий и информационной безопасности строятся на основе бизнес-стратегии и никак иначе.
 
 Если одна из бизнес-целей стратегии компании, например банка – развитие цифровых технологий дистанционного банковского обслуживания, то какие же бизнес-цели должны быть поставлены перед информационной безопасностью? Во-первых, конечно же, обеспечение доверия клиентов, пользующихся цифровыми банковскими технологиями. За счет чего это может быть достигнуто? Превентивное обеспечение безопасности банковских сервисов, оперативное реагирование на инциденты информационной безопасности, если они все-таки произойдут. Во-вторых, обеспечение высокого уровня доступности банковских цифровых сервисов. Отказоустойчивость, стойкость к DDoS-атакам, отсутствие критичных ошибок в приложениях и сервисах. В-третьих, можно говорить о такой цели, как снижение экономических последствий от проблем с безопасностью в принципе: обеспечение должного, необходимого и достаточного, уровня зрелости процессов информационной безопасности, внедрение комплексного антифрод-процесса и направления защиты от утечек и других внутренних угроз, комплексное реагирование на изменения, опять же – проактивное управление потенциальными угрозами информационной безопасности.
 
А теперь немного подробней про цели, KPI (Key Performance Indicators, ключевые показатели эффективности) и индикаторы. Если целью бизнес-стратегии является обеспечение доверия клиентов, пользующихся цифровыми сервисами, она же транслируется как высокоуровневая бизнес-цель для стратегии информационной безопасности. Ее интерпретация - наращивание количества клиентов банка, пользующихся цифровыми технологиями, и обеспечение их доверия. Индикатором может служить количество клиентов, упущенных в результате проблем с информационной безопасностью. А KPI могут быть примерно следующие:
  • процент предотвращенных случаев утечки данных клиентов по электронным каналам;
  • процент предотвращенных случаев хищения денежных средств клиентов;
  • количество заявленных случаев потери клиентских данных (не более чем);
  • сумма потерянных денежных средств в результате хищения (не более чем);
  • количество случаев потери клиентских денежных средств (не более чем).
Конкретные показатели устанавливаются в соответствии с текущим уровнем информационной безопасности банка и планами/ожиданиями по его развитию.
 
Другой пример. Бизнес-цель, интерпретированная в цель для информационной безопасности - снижение экономических последствий от проблем с информационной безопасностью. Подцелями тут могут являться снижение влияния экономических последствий от проблем с информационной безопасностью и инвестирование в информационную безопасность с учетом бизнес-рисков. Индикаторы соответственно: снижение рисков, связанных с имеющимися уязвимостями и минимизация последствий от уязвимостей с учетом уровня бизнес-рисков. Возможные KPI:
  • закрытых уязвимостей, прямо связанных с экономическими последствиями;
  • средняя сумма возмещения издержек в результате инцидента (не более чем);
  • уязвимостей, прямо связанных с влиянием на бизнес (не более чем). 
На информационную безопасность в бизнесе влияет множество факторов – это как необходимость соответствия требованиям законодательства, всевозможным отраслевым стандартам, обеспечение должного уровня рисков информационной безопасности, прогнозирование и предотвращение внешних и внутренних угроз, также - соответствие уровня информационной безопасности потребностям бизнеса, обеспечение его роста: полная готовность к масштабированию в случае появления такой необходимости. Это наиболее вероятно с точки зрения реализации, когда руководство (стейкхолдеры) вовлечено в существующие проблемы в области информационной безопасности и активно принимает участие в формировании соответствующей стратегии.  В свою очередь, подобное тесное сотрудничество и понимание бизнес-целей помогает службам информационной безопасности эффективней для общих бизнес-целей распределять имеющиеся в их распоряжении ресурсы, обеспечивая при этом необходимый уровень безопасности и снижая действительно критичные для бизнеса риски, которые могут затормозить или даже отбросить назад его развитие.

Поделитесь с друзьями:

Мы в социальных сетях

События

Пн
Вт
Ср
Чт
Пт
Сб
Вс
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
К ближайшим мероприятиям...