Информационная безопасность в условиях кризиса
Многие компании стоят перед непростой задачей - сократить неприоритетные затраты с целью повышения своей устойчивости и обеспечить восстановление роста и развития бизнеса в случае улучшения экономической ситуации на рынке. Одним из направлений, которое часто подвергается сокращению, является информационная безопасность (ИБ). Многие предприятия либо уже сократили бюджет на эту деятельность, либо находятся в ожидании соответствующих распоряжений со стороны топ-менеджмента. В ряде компаний пошли еще дальше и урезают не только бюджеты, но и персонал, которого и так не хватает.
Регулярно сталкиваясь в повседневной жизни с проявлениями кризиса, мы можем выделить из них наиболее распространенные и опасные:
- Заканчивается эпоха изобилия, и финансовых ресурсов перестает хватать.
- Переход от эпохи изобилия к эпохе экономии сопровождается снижением операционных и капитальных затрат.
- Замораживание долгоиграющих проектов или отказ от проектов с неочевидной выгодой.
- Финансирование проектов с быстрой отдачей.
- Сокращение «непрофильного» персонала или сотрудников, отдача от которых отсутствует или неочевидна.
Что делать в условиях нестабильной экономической ситуации службам информационной безопасности и их руководителям?
Сокращение затрат
Согласно исследованию компании Ernst & Young, проведенному в июле 2007 года, руководители большинства опрошенных компаний, несмотря на уверенность в том, что расходы надо оптимизировать, подтвердили, что принятые меры часто не приносят результатов. Вся причина в том, что якобы лежащие на поверхности решения о сокращении затрат были приняты слишком поспешно, направлялись на быстрый результат в ущерб достижению стратегических бизнес-целей.
Желание быстро сократить затраты и отчитаться перед руководством, как и практика равномерного снижения затрат по всем направлениям в компании, неэффективны и часто приводят к тому, что руководители служб ИБ закрывают важные долгосрочные проекты. Кажущиеся мало- или неэффективными проекты, которые могут принести существенную выгоду через год-другой, тоже лучше не сокращать. Это искушение надо побороть, т.к. вы можете оказаться в условиях, когда, вернувшись в нормальное русло, вам придется начинать все с нуля, что потребует еще больших затрат, чем до кризиса.
Сокращение затрат - это важная задача, но не надо ставить ее во главу угла и делать «идеей-фикс». Иногда дополнительные расходы могут сыграть положительную роль в бизнесе компании. Например, обучение сотрудников может ускорить те или иные процессы и процедуры, а использование технологий удаленного доступа позволит существенно как сэкономить на аренде площадей, так и высвободить дополнительное время, ранее растрачиваемое в пробках по дороге на работу.
Можно выделить 7 потенциальных областей сокращения расходов:
-
Оптимизация ассортимента продукции
-
Изменение стратегии продаж
-
Сокращение затрат на персонал
-
Повышение производительности
-
Аутсорсинг
-
Офшоринг
-
Оптимизация использования и стоимости привлечения ресурсов.
Практически каждый из этих пунктов (кроме, может быть, оптимизации ассортимента) имеют прямое отношение к информационной безопасности.
Изменение стратегии продаж
Информационная безопасность нечасто рассматривается как инструмент, способствующий изменению стратегии продаж и увеличению выручки. Каким способом ее можно увеличить? Например, за счет роста числа клиентов, которого можно достичь, осуществив экспансию и продажу продукции в ранее неохваченных местах. Именно так, в частности, действуют банки, выносящие точки продаж кредитных продуктов в торговые центры. Но можно ли в столь незащищенном месте массового скопления народа обойтись без защиты тех сведений, которые доверяют будущие заемщики? Особенно если точка продаж имеет удаленный доступ к центральной сети банка. С одной стороны такая точка приносит доход, а с другой - без информационной безопасности вы неспособны обеспечить банковскую тайну и защиту персональных данных, требуемых по закону. Иными словами, безопасность способствует получению дохода и защищает от штрафов за несоблюдение законодательства.
Другой способ увеличения выручки - увеличение числа сделок за тот же интервал времени. Иными словами, мы должны ускорить процесс совершения сделок. Возьмем, к примеру, страхового агента, который приезжает к клиенту и заключает сделку прямо на месте, не возвращаясь в офис. Потом он едет к другому клиенту, затем к третьему. При этом информация обо всех сделках попадает в центральную базу данных, и также через нее страховой агент проверяет клиента, его страховую историю и другие требуемые для заключения договора параметры. Как обеспечить связь агента с корпоративной сетью? С помощью смартфона, подключенного к Интернет. И вновь мы не можем обойтись без информационной безопасности в лице VPN-технологий, защищающих все передаваемые данные от перехвата и модификации.
Третий пример влияния ИБ на стратегию продаж - это появление новых, ранее недоступных каналов продаж, ярким примером которых является Интернет. Интернет-магазин, Интернет-банк, Интернет-трейдинг... Все это примеры, в которых защищенное подключение к Интернет позволяет одновременно решить сразу несколько бизнес-задач - увеличить выручку за счет роста числа новых клиентов, числа сделок с существующими клиентами и ускорения сделок, а также за счет снижения себестоимости таких сделок. Ведь работа через Интернет обходится значительно дешевле, чем содержание офисов, в которые клиенты вынуждены ходить лично.
Оптимизация использования ресурсов
Возьмем, к примеру, обычный восьмичасовой рабочий день рядового сотрудника отечественной компании. Его утро начинается со стояния в автомобильной пробке - на дорогу на работу он тратит не менее полутора часов в один конец. Приехав обозленным в офис, сотрудник проходит на свое рабочее место общей площадью не менее 6 квадратных метров. В обеденный перерыв он принимает пищу в корпоративной столовой. В течение дня руководитель не раз пьет чай или кофе на офисной кухне, а вечером он едет домой. И так ежедневно компания расходует свои деньги по следующим статьям бюджета:
-
Аренда площадей
-
Питание сотрудников
-
Оплата канцтоваров
-
Оплата проездных, бензина или автомобиля (в случае компенсации этих расходов компанией)
-
Оплата электричества, отопления, водоснабжения и т.п.
-
Оплата Интернет
-
И др.
Можно ли попытаться оптимизировать эти затраты? Разумеется. Достаточно перевести сотрудников на работу из дома, предоставив им подключение к корпоративной сети с помощью защищенного удаленного VPN-доступа и защитив их компьютеры от возможных атак из Интернет.
Другой пример влияния информационной безопасности и вообще информационных технологий на использование ресурсов заключается в реализации задачи уменьшения складских запасов, но так, чтобы не увеличивать сроки поставки продукции потребителю. Сделать это можно следующим путем - предоставить удаленный доступ к информационной системе склада логистическим компаниям и поставщикам с тем, чтобы они самостоятельно отслеживали складские запасы и пополняли их при фиксации заранее заданных пороговых значений. В данном проекте на первое место выйдут технологии Identity & Entitlement Management (помимо уже упомянутых ранее технологий VPN, обеспечения доступности и защищенности Интранет-портала складской информационной системы и т.п.).
Оптимизация ресурсов и информационная безопасность стыкуются и еще в одном направлении - оплата средств защиты информации. Если раньше этот процесс не вызывал никаких проблем, то в условиях отсутствия свободных денег и отказа многих банков в выдаче кредитов по приемлемым ставкам вопрос оптимизации финансовых затрат становится очень важным. Какие варианты существуют на сегодняшний день? В первую очередь это финансовый или оперативный лизинг, который не только позволяет снизить финансовое бремя приобретения решений по информационной безопасности, но и перевести их из разряда капитальных затрат в операционные и улучшить показатели EBITDA. Второй распространенный вариант покупки защитных средств - оплата в рассрочку, которая позволяет не только отложить первые выплаты, но и зафиксировать стоимость проекта в рублях на день заключения договора (что защищает от негативного изменения курса).
О повышении производительности
Может ли информационная безопасность способствовать повышению производительности? Причем как производительности сотрудников, так и оборудования? Безусловно. Начнем с того, что сотрудник, работающий из дома, не опаздывает на работу и не стремится уйти «пораньше». Во-вторых, помимо финансовой стороны вопроса, существует еще и психологические моменты. Учитывая темп жизни современного человека, он всегда стоит перед дилеммой - работа или семья? И он вынужден разрываться между домом и офисом. А это, в свою очередь, стресс, что влияет на все стороны жизни человека, в т.ч. и работу. Концепция NVO является компромиссом, т.к. она дает возможность подключаться к корпоративной сети в любое удобное время и в любом удобном месте. Но мобильность несет с собой и угрозу, т.к. сотрудник уже не находится под защитой корпоративных систем защиты. В этом случае мы должны оснастить персональными средствами безопасности лэптопы сотрудников, а также модернизировать периметр сети для поддержки концепции NVO.
Удаленный доступ к корпоративным ресурсам может быть не только из дома, но и из любой точки пространства - из кафе, из офиса клиента, из аэропорта во время ожидания самолета. Эта задача может быть решена по-разному; один из вариантов - внедрение концепции Network Virtual Organization, которая гласит, что «офис там, где сотрудник», а не «сотрудник там, где офис». Эта концепция подразумевает, что сотрудник находится все время «в поле», как можно ближе к своим проектам, клиентам, партнерам и т.п. Но, чтобы быть эффективным, он должен быть не только все время на связи, но и иметь доступ к корпоративным информационным ресурсам. При такой постановке задаче каждый сотрудник оснащается лэптопом или КПК с различными интерфейсами подключения к сети (CDMA, GPRS, UMTS, Wi-Fi и т.п.), встроенным клиентом IP-телефонии, почтовым клиентом и другими полезными приложениями. В итоге сотрудник становится мобильным, но для всех он как будто по-прежнему находится на своем рабочем месте. По разным оценкам, рост продуктивности сотрудника при использовании этой концепции может составлять от 10 до 40 процентов.
Где еще найти резервы времени у сотрудников? Интернет и электронная почта. В первом случае контроль действий сотрудников в Интернет и блокирование доступа к непрофильным сайтам позволяет высвободить массу времени. Например, по статистике, сотрудники тратят в день не менее часа в социальных сетях «одноклассники.ру», «вконтакте.ру», «мой круг» и т.п. С электронной почтой тоже все просто. Сотрудники, особенно в крупных компаниях, немало времени тратят на чистку своего почтового ящика от спама. Умножив это время на стоимость рабочего времени, мы получим не только существенный резерв времени, но и немалые потери, которая несет компания от спама. В качестве примера возьмем оценку эффективности Kaspersky Anti-Spam Enterprise Edition, внедренного в компании Вымпелком:
-
Число почтовых ящиков - свыше 7000;
-
Объем корреспонденции - 70 тыс. сообщений в сутки;
-
Объем спама - 60% или 42 тыс. сообщений в сутки;
-
Время обработки одного спам-сообщения - 10 сек.
-
Суммарные дневные затраты на спам - 14,583 человеко-дня;
-
Усредненная стоимость сотрудника - $ 1500.
Реальная экономия от внедрения антиспама составила:
-
в день - $ 1 093,75.
-
в месяц - $ 32 812,5.
-
в год - $ 393 750.
В любой компании есть определенный состав людей, которые регулярно ездят и летают в командировки, проводя в них по несколько дней. Это приводит к существенным затратам - на авиа- или железнодорожные билеты, гостиницы, питание, командировочные расходы, страховку (для заграничных командировок) и т.п. Как оптимизировать ресурсы и, сократив затраты на поездки, обеспечить тот же уровень взаимодействия с удаленными клиентами, партнерами и иными контрагентами? Один из вариантов - использовать концепцию NVO, позволяющую работать даже в аэропорту, на вокзале, в месте командировки и т.п. Второй вариант - внедрить унифицированные коммуникации в виде видеоконференцсвязи или системы Telepresence, которые заменяют личное общение виртуальным. И нам опять не обойтись без защитных систем, предотвращающих несанкционированный доступ к переговорам.
Об аутсорсинге
В условиях нестабильной экономической ситуации многие предприятия начинают задумываться не только о сокращении персонала, но и о передаче части функций аутсорсинговым компаниям. Это логично, и информационная безопасность не является исключением из правила. Почему-то считается, что защиту информации нельзя отдавать на откуп внешним подрядчикам. Но это только на первый взгляд. Ведь доверяете вы свои секреты консультантам аудиторских, юридических, финансовых компаний? Доверяете вы перевозку своих денег внешним инкассаторам? Доверяете охрану своих физических активов и топ-менеджмента нанятому ЧОПу? Почему ИБ должна быть исключением?
Что дает аутсорсинг информационной безопасности? Ключевых преимуществ пять:
1. Круглосуточная защита ваших ресурсов.
2. Решение задачи нехватки специалистов ИБ (особенно в условиях сокращения персонала).
3. Разгрузка существующего персонала по ИБ или его переориентация на более важные задачи.
4. Получение «в штат» высококлассных специалистов.
5. Экономия за счет отказа от приобретения непрофильного оборудования.
Разумеется, при аутсорсинге есть свои тонкости, своя область применения, свои достоинства и недостатки. Но если компания приняла решение о переходе на аутсорсинг информационной безопасности, надо четко понять, что любое взаимодействие требует тщательной проработки контракта, а в условиях кризиса это правило становится важным, как никогда. Необходимо не только защитить себя от возможных конфликтных ситуаций, но и получить максимум выгод от такого сотрудничества.
Для начала необходимо оценить, что и в каком объеме вы готовы отдать на аутсорсинг. От ответа на эти вопросы зависит, к какой компании обратиться. Одно дело - передать внешней компании несложные задачи, например, поддержку антивируса. В этом случае вы можете без серьезного ущерба для себя поменять одного провайдера услуг на другого. Гораздо серьезнее выглядит задача управления инцидентами. Аутсорсинговую компанию в данном сценарии приглашают не столько ради экономии, сколько из-за наличия компетенции или повышения уровня удовлетворенности внутренних заказчиков. Тут потребуется более серьезная интеграция вашего бизнеса и аутсорсинговой компании, и ее замена выглядит уже не такой простой (хотя и возможной). И уже совсем другое дело - внедрение системы сбалансированных показателей и KPI по информационной безопасности или полная поддержка всей инфраструктуры ИБ. Поменять такого аутсорсера - дело практически безнадежное, т.к. он настолько тесно интегрирован с вами и погружен в ваш бизнес, что найти ему замену становится невозможным.
Не раз уже упоминая про переход к пониманию бизнеса, мы должны договориться с аутсорсинговой компанией не только об измеримом уровне качества предоставляемых услуг, но и о метриках, показывающих влияние переданных в чужие руки процессов, на ключевые бизнес-показатели.
Заключаемый контракт должен предусматривать возможный его пересмотр или даже прекращение в случае серьезных финансовых проблем у аутсорсинговой компании. В этом же разделе необходимо предусмотреть возможность перехода контроля информационной безопасности к другой компании (желательно без существенных дополнительных затрат).
О сокращении персонала
Не секрет, что многие предприятия начинают бороться с кризисом с сокращения персонала, и не в последнюю очередь - за счет ИТ/ИБ-персонала. И хотя это самое последнее, о чем стоит думать при сокращении затрат, такая практика существует. Она порочна по двум основным причинам:
-
Как правило, никто не знает, кого уволят следующим. Следовательно, люди больше начинают думать не о том, как улучшить свою работу, а о том, как не попасть под сокращение, где найти «запасной аэродром», кто виноват... Начинается недобросовестная конкуренция между сотрудниками, препятствующая достижению поставленных перед отделом целей.
-
Сотрудники начинают думать: «Если меня рано или поздно уволят, то зачем я буду напрягаться?» Продуктивность сотрудников падает и желание работать на благо компании пропадает.
Почему в первую очередь сокращают отделы ИТ и маркетинга? Потому что руководство не видит их место в цепочке создания ценности для организации и ее бизнеса. Покажите свое место, и сокращение вас минует или затронет не так сильно. А для этого надо повернуть к бизнесу лицом и связать свои проекты с его целями, демонстрировать свое влияние на бизнес-показатели и всеми силами идти в русле бизнес-стратегии, а не рядом с ней, и уж тем более не против нее.
Надо понимать, что сокращение - это самое последнее, что нужно делать. Если уж компания приняла решение экономить за счет персонала, то сокращению персонала есть ряд альтернатив, с внедрения которых и лучше начать:
-
Неоплачиваемый отпуск.
-
Сокращение рабочей недели.
-
Уменьшение соцпакета.
-
Снижение переменной части зарплаты или бонусов.
-
Снижение фиксированной части зарплаты.
Все эти шаги неприятны, но они позволяют оставить за собой рабочее место, что в условиях нестабильной ситуации и избытка свободных специалистов на рынке труда уже немало. Если же все варианты исчерпаны, и руководитель службы ИБ встает перед непростой задачей увольнения своих подчиненных, то можно воспользоваться следующими простыми рекомендациями.
Не секрет, что во многих компаниях существуют люди, которые пришли пересидеть сложные времена, которых взяли по знакомству, но загрузить нечем, которые выполняют никому не нужную работу. Такие люди всем известны, но во времена процветания они никому не мешают. Сейчас надо отдавать себе отчет в том, что именно они являются первыми кандидатами на сокращение. Да, их жалко! Но гораздо больнее увольнять ценных для компании сотрудников, которые обязательно понадобятся после стабилизации экономики и возврата бизнеса в нормальное русло.
В крупных компаниях и службы информационной безопасности достаточно велики, и включают несколько уровней иерархии - департамент, управление, служба, отдел, группа и т.д. В эпоху изобилия среднее управленческое звено росло, как на дрожжах; в условиях сокращения им необходимо пожертвовать с целью удаления звеньев, удлиняющих цепочку создания стоимости. В конце концов, многие такие псевдо-руководители занимаются только тем, что защищают большого начальника от подчиненных, а подчиненным передают указания Большого Босса, снабдив их еще и своими комментариями, зачастую полностью меняющими смысл первоначального распоряжения.
Самое главное - не увольняйте специалистов только потому, что вы закрыли проекты, в которых они участвовали; потом может быть очень трудно найти им замену. Лучше дать им другой фронт работ, временно переведя на другие позиции или даже в другие, смежные подразделения.
Что же делать, если сокращение затронуло службу ИБ вашей компании (особенно часто это возникает в региональных представительствах и филиалах)? Необходимо рассмотреть следующие возможности:
-
Передача части функции ИБ внешним подрядчикам (аутсорсинг).
-
Автоматизация задач, ранее выполнявшихся вручную. К их числу могут быть отнесены анализ защищенности, установка патчей, управление инцидентами, управление политиками безопасности для средств защиты, их обновление, управление конфигурацией, опечатывание USB-портов компьютеров и т.п. Для каждого из этих классов задач на рынке существуют средства защиты, которые в среднесрочной перспективы могут обойтись дешевле, стоимости одного сотрудника для компании.
-
Распределение человеческих ресурсов.
-
Рост производительности для оставшихся сотрудников за счет высвобождения времени (при переходе на модель NVO) или автоматизации рутинных задач.
Также надо понимать, что сегодня, когда рынок труда переполнен высоковалифицированными кадрами, существует отличная возможность подыскать себе классных специалистов с редкими талантами. Если топ-менеджмент сегодня не готов перераспределить сокращаемые штатные единицы и принять на работу ценные кадры в условиях кризиса, то вы можете оставить эти резюме «до лучших времен», и вам не придется после кризиса заново осуществлять поиск специалистов, тратя на это месяцы своей работы.
Если все-таки, несмотря на все вышеперечисленные рекомендации, дело дошло до сокращения, то неправильно было оставлять все «как было раньше». Необходимо пересмотреть свою работу с оставшимися людьми. Нельзя работать по-старому, как в докризисные времена. Нужны новые организационная структура, инструкции, процессы, технологии, средства автоматизации. Более того, почему бы не подумать об увеличении сотрудникам зарплаты? Вы сократили персонал, у вас высвободился фонд оплаты труда. Разделите его часть между оставшимися кадрами, и вы получите сплоченную и лояльную команду, которой будет не страшен любой кризис.
О защите бизнеса
Еще одно направление, в котором информационная безопасность может помочь в условиях кризиса, - это защита активов компании. Не секрет, что при увольнении некоторые сотрудники могут попытаться нанести ущерб своему работодателю, попытавшись вывести из строя какие-либо элементы инфраструктуры, внося вредоносные закладки в программное обеспечение или крадя важную и конфиденциальную информацию. Все эти действия наносят серьезный ущерб бизнесу компании, который выливается в:
-
затраты на восстановление выведенного из строя оборудования,
-
затраты на восстановление стертой информации,
-
затраты на оплату претензий со стороны клиентов, пострадавших от утечек информации,
-
затраты на оплату исков со стороны регулирующих органов,
-
удар по репутации предприятия,
-
снижение стоимости акций на фондовой бирже (в ряде случаев),
-
затраты на устранение иных последствий негативных факторов.
Подразделение информационной безопасности совместно с юридической службой и отделом кадров - единственные, кто способны бороться с такими злонамеренными действиями сотрудников.
О лидерстве
В условиях нестабильности как никогда важны лидерские качества у руководителя службы информационной безопасности. Из всех существующих рекомендаций можно выделить 3 ключевых:
1. Начальник здесь Я! Не существует самой лучшей схемы управления государством. Все схемы имеют свои достоинства и недостатки. Тоталитаризм хорош тем, что решение принимает один человек, и никто ему не мешает. Но минус тоталитарного государства в том, что и в обсуждении решения принимает участие только один человек, а значит, он может упустить из виду множество мелочей и альтернативных действий. В демократическом обществе ситуация обратная - обсуждение того или иного решения открыто для всех, что позволяет найти большое количество различных выходов из проблемы. Но вот принятие решения в условиях демократии обречено на провал - очень трудно найти консенсус при большом числе участников. В условиях кризиса, когда надо быстро принимать трудные решения, руководитель подразделения ИБ должен прислушиваться к мнению подчиненных, но право принятия окончательного решения должно принадлежать только одному человеку.
2. Я отвечаю за результат! Руководитель службы информационной безопасности должен быть не только примером для сотрудников, но и персонально отвечать за принимаемые решения и за результат всех преобразований.
3. Я не боюсь открыто говорить о проблемах! В условиях кризиса многие российские компании предпочитают стратегию улитки, которая предполагает сокрытие от сотрудников всех новостей. Любое закрытое собрание руководства всегда вызывает тревогу и вопросы: «Зачем они собрались?», «Нас уволят?», «Нам порежут зарплату?» и т.п. Сокрытие ответов на эти вопросы приводит к росту недовольства, ухудшению психологического климата, снижению продуктивности и т.д. Основная причина кризиса - недоверие. Необходимо прямо и открыто говорить с подчиненными обо всех непростых задачах, вставших перед подразделением защиты информации. Отсутствие коммуникаций повышает недоверие и порождает фантазии; открытые коммуникации управляемы.
О реальных и мнимых бизнес-преимуществах
Надо понимать, что при оценке эффективности очень часто смешиваются два понятия - непосредственные, прямые результаты от внедрения мер информационной безопасности и преимущества с точки зрения бизнеса. Первые - получаются сразу после внедрения того или иного решения или процесса. Вторые - требуют участия бизнеса. Допустим, внедрение системы удаленного доступа позволит нам перевести часть сотрудников компании на дистанционную работу из дома, тем самым сократив арендуемые площади и сэкономив на этой, достаточно весомой в бюджете любой компании, статье расходов. Выгода для бизнеса налицо, но... Преимущества, которые организация получает от такого снижения арендной платы, зависят от менеджеров, которые, собственно, и решают, воспользоваться ли такой возможностью или нет. Может сложиться такая ситуация, что на систему удаленного доступа деньги потрачены, а работники на дом не переведены, арендуемые площади не сокращены, и компания по-прежнему тратит столько же, сколько и раньше. Так стоила ли овчинка выделки? В данной ситуации проект удаленного доступа не только не принес никаких выгод (ведь ими не воспользовались), но и даже увеличил расходы компании.
Возьмем другой пример - внедрение системы контроля сетевого доступа Network Admission Control (NAC), которая позволяет автоматизировать процесс проверки и приведения узла в соответствие с требованиями ИТ-политики и политики информационной безопасности. По оценкам компании Cisco, такое решение позволяет сэкономить время и усилия следующим образом - идентифицировать несоответствующие устройства, определять их местоположение и приводить в соответствие. Итого мы сэкономили 4 человек/часа на одно рабочее место. Но как мы воспользовались этой экономией? И воспользовались ли вообще? В данном примере экономия времени - это как раз непосредственные результаты от внедрения системы защиты. А вот бизнес-преимущества зависят от руководства, которое может воспользоваться дарованным резервом времени, а может и не воспользоваться.
Таблица 1. Экономия от внедрения NAC-решения
|
Статья экономии
|
Человека/часов
|
Цена*
|
|
Идентификация несоответствующих компьютеров
|
1.0
|
$12.00
|
|
Определение местоположения несоответствующих компьютеров
|
1.0
|
$12.00
|
|
Приведение в соответствие
|
2.0
|
$24.00
|
|
Потенциально сэкономленные затраты на 1 компьютер
|
$48.00
|
* - указана стоимость часа исходя из среднемесячной зарплаты ИТ-специалиста в две тысячи долларов.
Иными словами, в условиях кризиса нужно не только демонстрировать, что служба ИБ может эффективно работать в контексте существующей бизнес-стратегии, предлагая те или иные бизнес-решения, но и добиваться внедрения этих решений в жизнь.
Заключение, или резюме для стратегии выживания службы ИБ в условиях кризиса
Вкратце рассмотрев возможные сценарии и действия службы информационной безопасности предприятия в условиях непростой экономической ситуации, можно резюмировать все вышесказанное в следующих пунктах:
-
Выработка стратегии подразделения ИБ в условиях кризиса. Логично предположить, что раз поменялась окружающая среда, то необходимо менять и правила работы, и действия подразделения ИБ внутри компании. Причем желательно учесть как оптимистические сценарии развития событий, так и пессимистические.
-
Бизнес-ориентация. При запуске проектов больший акцент необходимо делать на его бизнес-составляющую. Что даст бизнесу запуск проекта? И что компания потеряет при его остановке? Как он повлияет на основные бизнес-показатели - доходы, прибыль, себестоимость, расходы и т.д.? Не случайно на Западе все чаще звучит термин «бизнес-технологии» (BT) вместо «информационные технологии». Без понимания этой связи ИБ обречена на неудачу. Сейчас настал именно тот момент, когда службы ИБ должны все больше усилий тратить на связь с бизнесом.
-
Сохранение команды. В сложных экономических условиях необходимо не только сохранить команду высококвалифицированных сотрудников, но и повысить эффективность их работы, настраивая на результат. Не забывайте сообщать своим подчиненным последние новости на предприятии, разъясняя их смысл и последствия для бизнеса и сотрудников. Они не должны чувствовать себя брошенными на произвол судьбы, как это часто бывает.
-
Сокращение нецелевых затрат. Необходимо сократить нецелевые траты и прекратить финансирование убыточных проектов. Оставшийся портфель проектов необходимо пересмотреть с целью учета принятых на предприятии антикризисных мер. Приоритет должен быть отдан тем проектам, которые позволяют достичь прямых, а не косвенных преимуществ, и при этом реализуются в течение одного года.
-
Будьте драйвером изменений. Не забывайте, что одно дело предоставить возможность для бизнеса и другое - воспользоваться ею на практике. Будьте проводником предлагаемых вами изменений.
-
Взаимодействие. Как никогда важно привлекать все заинтересованные в безопасности службы и подразделения - юридическую, ИТ, HR и т.п.
-
Оценка эффективности. В процессе запуска и после него большое внимание надо уделить оценке эффективности проекта, позволяющей своевременно определить, насколько он отклонился от заданных показателей эффективности, можно ли достичь поставленных целей в поставленные сроки и уложиться в заложенный бюджет и т.д. Эффективность системы ИБ, результат работы персонала подразделения, отдача от проекта по ИБ... все это показатели, которые должны и могут измеряться. Настало время задуматься о том, как это сделать.
-
Стандартизация. Стандартизация систем ИБ и постановка процессов не позволяют отклоняться от намеченного курса и обеспечивают оптимизацию ресурсов.
-
Совершенствование системы управления. Внедрение системы эффективного управления инфраструктурой и приложениями информационной безопасности позволяет не делать скоропалительных решений, увязывать все действия и решения в единый комплекс и оптимально использовать выделенные ресурсы.
-
Общение с поставщиками. Рассмотрите новые варианты взаимодействия с поставщиками. Скорее всего, вы уже не можете платить так, как раньше. А они, как никогда, нуждаются в вас и в более крепком и прогнозируемом взаимодействии с вами. Договоритесь о новых способах оплаты приобретаемых продуктов и услуг, которые позволят снизить финансовое бремя вашего предприятия. Таким примером можно назвать лизинг или оплату в рассрочку, которые позволяют распределить финансовые выплаты во времени, сняв с себя часть налогового выплат и улучшив другие финансовые показатели (в частности, EBITDA).
-
Будьте готовы к неожиданностям. Ситуация на рынке меняется очень быстро. Вчера вы думали о том, как сохранить за собой рабочее место, а уже сегодня у вас появилась возможность нанять новый персонал и запустить ряд отложенных проектов по ИБ. Готовьтесь к неожиданностям заранее - это позволит не упустить возможности, которые вам дает рынок и компания.
-
Перестаньте бояться будущего!
Автор: Алексей Лукацкий, бизнес-консультант по безопасности, Cisco. Источник: Банкир.ру
Дополнительная информация
Посмотреть каталог продукции IP-телефония >>
Посмотреть статью по IP-телефонии >>
Посмотреть все антивирусы Лаборатории Касперского >>
Посмотреть каталог антивирусных программ, доступных на российском рынке >>
Посмотреть каталог Web-камер >>
Посмотреть статью Удаленное управление компьютером >>
Посмотреть каталог программного обеспечения для Бизнеса >>
Посмотреть каталог оборудования для обеспечения безопасности Вашего Бизнеса >>
Посмотреть статью: Защита информации на совещаниях >>
.gif){kind=small}
Сенсорные мониторы Elo
