Почти все умные стандарты по кибербезопасности говорят о том, что для успеха ИБ нужна поддержка топ-менеджмента. Но никто не говорит, как эту поддержку получить. А в других умных книжках говорится, что с бизнесом надо говорить на его языке.

Но опять же мало где учат этому языку. Можно пойти, конечно, на курсы MBA или EMBA, но это долго и дорого. Да и не всегда полезно с точки зрения получения знаний (нетворкинг, да, штука полезная). Иногда хочется быстро, в режиме блиц, получить знания, которые помогут, если не говорить с бизнесом на равных, то хотя бы понять его чаяния, его боли, его задачи, и приблизить к ним кибербезопасность.

И вот тут, как мне кажется, очень хорошо может зайти такое понятие, как бизнес-модель. Я много лет назад наткнулся на книжку «Построение бизнес-моделей» (Алекс Остервальдер, Ив Пинье), в которой, конечно же, в картинках, описывался процесс построения бизнес-модели любого предприятия — как частного, так и государственного. Как и любая модель, этот процесс был достаточно упрощен, чтобы не глубоко погружаться во все детали, и достаточно конкретен, чтобы не грести всех под одну гребенку. А самое главное, что с помощью этого подхода можно гораздо лучше разобраться в том, чем живет ваш бизнес, и понять, как ИБ может ему помочь, а не мешать.

Идея этой книги проста — любой бизнес строится на основе 9-ти блоков:

  1. Потребительский сегмент или клиенты. Это те, для кого работает ваша компания и кто приносит вам деньги (если вы компания частная). Вы можете работать на массовый рынок или только для VIP-клиентов, ваша целевая аудитория — это только юридические лица или физическим у вас тоже есть что предложить. Если вы работаете на «физиков» и средний чек составляет для вас 1000 рублей, то вряд ли вы готовы будете тратить больше этой суммы на безопасность, что ограничивает вас в выборе защитных средств и мер. С другой стороны, фокусируясь на VIP-клиентах, каждый из которых вам приносит десятки миллионов рублей в год, вы можете раскошелиться и на более серьезные меры противодействия угрозам.
  2. Ценностное предложение. Это то, почему клиенты понесут вам деньги и почему вы в их глазах предпочтительнее конкурентов. И это то, на что могут быть нацелены противоправные действия хакеров, нанятых вашими конкурентами. Допустим, ваша ценность в конфиденциальности ваших услуг (вы помогаете выводить денежные средства за рубеж или вы интим-шоп). Очевидно, что раскрытие данных по вашим клиентам (утечка информации) нанесет крупный удар по вам и вашему бизнесу и вам надо этому противопоставлять какие-то защитные меры.
  3. Каналы сбыта. Это то, как вы продаете свои продукты и услуги клиентам. Банальный пример — если вы Интернет-магазин и все клиенты к вам приходят через Интернет, то вам в первую очередь нужно думать о доступности сайта и его защите от DDoS-атак, чем задумываться об установке PAM-решений.
  4. Взаимоотношения с клиентами. Как вы общаетесь с клиентами? Это персональное обслуживание или автоматизированное? Это самообслуживание или работа через сообщества? Как можно нарушить эти взаимоотношения? Удалить личный кабинет клиента или замедлить работу онлайн-кассы? А как тогда их защищать?
  5. Потоки поступления доходов. За что клиенты платят и как? Продажа активов или интеллектуальной собственности? А может вы продаете подписки или лицензии? Сдаете вы свои продукты в аренду/лизинг или отдаете в бессрочное пользование? Что будет, если кто-то украдет генератор лицензий на ваш флагманский продукт или взломает систему приема платежей, подменив скрипт на сайте (реальный кейс)? Допустим, вы продаете подписку на музыку на вашей платформе, но кто-то ее взломал и выкачал весь ваш аудиоархив, выложив его в открытый доступ. Вы не сможете больше продавать доступ к нему, но будете обязаны выплачивать заранее оговоренные роялти авторам и композиторам. Вы готовы к защите каналов поступления денег или будете тратить всю энергию на выполнение ФЗ-152?
  6. Ключевые ресурсы. Что позволяет вам создавать ваши продукты и услуги? Люди? Материальные и интеллектуальные ресурсы? Финансы? Что если злоумышленник выведет из строя цифровую подстанцию, что приведет к останову вашего производства? А если он прервет цепочку поставок и вы не сможете вовремя поставить произведенный товар покупателю, попав не только на штрафные санкции, но и на снижение лояльность клиентов?
  7. Ключевые виды деятельности. Это те действия, без которых невозможно функционирование бизнес модели. Разработка ПО, управление отношения с поставщиками, логистика, разрешение проблем, функционирование платформы… Примеров таких видов достаточно много и на каждый из них можно повлиять в информационном пространстве, что потребует вашего пристального внимания.
  8. Ключевые партнеры. Кто ваши поставщики и кто партнеры? Благодаря кому вы снижаете риски, получаете ресурсы или оптимизируете свои бизнес-модели? Например, вы разрабатываете ПО и вам точно нет смысла еще и самостоятельно разрабатывать ПО для сборки, компиляции, тестирования исходников. Вы, скорее всего, возьмете какой-нибудь MS Visual Studio. А что если он вам стал недоступен по причине блокирования доступа к облаку Microsoft? А если вы не хотите хранить все ваши данные у себя в ЦОДе (потому что у вас его нет) и заключаете договор с облачным провайдером, которого взломают?
  9. Структура издержек. Это расходы, связанные с функционированием вашего бизнеса. Все, что описано выше, требует расходов, которые надо снижать. Допустим вы лоукостер и ваше преимущество в том, что ваши пассажиры долго не ждут в аэропорту, не тратят время на регистрацию багажа и нахождение в залах ожидания, сразу проходя в самолет и улетая в точку назначения. Это позволяет экономить на издержках, не платить аэропортам и т.п. Но что если хакеры вывели из строя систему регистрации пассажиров? У вас сразу увеличивается время ожидания, издержки растут и вы начинаете нести убытки, которые снижают вашу прибыль.

Да, этому не учат в институте и тем более не описано в документах наших (да и любых) регуляторов. Но это именно то, что стоит изучать в первую очередь, приходя на новое место работы или желая заручиться поддержкой бизнеса и поднять свой статус в его глазах. Тогда вам придется изучать не 378-й приказ ФСБ, ГОСТ 57580.1 или Указ Президента №250, а то, как функционирует ваш бизнес, на чем он зарабатывает, и, самое главное, что ему может помешать в информационном пространстве, за устойчивость функционирования которого вы и отвечаете как ИБшник.

А самое интересное, что ровно по той же модели работает и киберпреступность, о чем мы поговорим в следующих заметках. Да и сама служба ИБ подчиняется этой же схеме — у нее есть свои потребители (клиенты и сотрудники) и свои ключевые партнеры (например, ИТ и юристы), свои ключевые виды деятельности (например, защита от DDoS и повышение осведомленности) и свои ценностные предложения (удобство или конфиденциальность), своя структура издержек (бюджет-то вы считаете) и свои потоки поступления доходов (вот тут с оговорками и зависит от используемой модели функционирования ИБ) и т.п. Иными словами, изучение бизнес-моделей — вещь полезная и, самое главное, незанимающее много времени.

Так что берите нижеприведенный шаблон и попробуйте его заполнить применительно и к своему работодателю и к своей службе ИБ — вас ждет увлекательнейшее занятие и гораздо лучшее понимание вашего бизнеса и места ИБ в нем.

 

Источник: Бизнес без опасности 

2 ноября, 2023

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

03.10.2024
ООО на смарт-контрактах. Минфин даст дорогу киберпредпринимателям
03.10.2024
Банк России прописал требования по работе с ГИС электронного правительства
03.10.2024
В госсекторе удвоился спрос на серверы для работы с ИИ
03.10.2024
Банкиры будут проверять ментальное состояние потенциальных заёмщиков?
03.10.2024
Девиз кибергода в Европе — ThinkB4UClick. На повестке — борьба с социнженерами
03.10.2024
Мошенничество с приложением ЕМИАС набирает обороты
02.10.2024
Антискам-госплатформа «ТелекомЦерта» обойдётся в шесть миллиардов рублей
02.10.2024
ЛК и ИСП РАН создадут Центр КИБ. Что значат все эти аббревиатуры
02.10.2024
Дуров: Telegram раскрывает данные пользователя только при наличии легитимного запроса
02.10.2024
«Произошла забавная путаница». Rutube выпал из орбиты Google

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных