BIS Journal №1(24)/2017

6 февраля, 2017

Как безопасность содействует бизнесу?

Очень часто на вопрос «Какова цель информационной безопасности?»  можно услышать классический ответ: «Обеспечение конфиденциальности, целостности и доступности бизнес-процессов». В принципе, это и верно, и неверно одновременно. Верно, потому что это одно из классических определений термина «информационная безопасность». Неверно, поскольку современный подход к ведению бизнеса требует иных специфик.
 

Итак, глобальная цель информационной безопасности – поддержание бизнес-стратегии, обеспечение должного развития бизнеса, снижение рисков, связанных с потенциальным нарушением данного развития. И информационные технологии, и информационная безопасность просто обязаны в текущей действительности оказывать существенное влияние на рост бизнеса и его сопутствующих процессов и процедур. Стратегии в области информационных технологий и информационной безопасности строятся на основе бизнес-стратегии и никак иначе.
 
 Если одна из бизнес-целей стратегии компании, например банка – развитие цифровых технологий дистанционного банковского обслуживания, то какие же бизнес-цели должны быть поставлены перед информационной безопасностью? Во-первых, конечно же, обеспечение доверия клиентов, пользующихся цифровыми банковскими технологиями. За счет чего это может быть достигнуто? Превентивное обеспечение безопасности банковских сервисов, оперативное реагирование на инциденты информационной безопасности, если они все-таки произойдут. Во-вторых, обеспечение высокого уровня доступности банковских цифровых сервисов. Отказоустойчивость, стойкость к DDoS-атакам, отсутствие критичных ошибок в приложениях и сервисах. В-третьих, можно говорить о такой цели, как снижение экономических последствий от проблем с безопасностью в принципе: обеспечение должного, необходимого и достаточного, уровня зрелости процессов информационной безопасности, внедрение комплексного антифрод-процесса и направления защиты от утечек и других внутренних угроз, комплексное реагирование на изменения, опять же – проактивное управление потенциальными угрозами информационной безопасности.
 
А теперь немного подробней про цели, KPI (Key Performance Indicators, ключевые показатели эффективности) и индикаторы. Если целью бизнес-стратегии является обеспечение доверия клиентов, пользующихся цифровыми сервисами, она же транслируется как высокоуровневая бизнес-цель для стратегии информационной безопасности. Ее интерпретация - наращивание количества клиентов банка, пользующихся цифровыми технологиями, и обеспечение их доверия. Индикатором может служить количество клиентов, упущенных в результате проблем с информационной безопасностью. А KPI могут быть примерно следующие:
  • процент предотвращенных случаев утечки данных клиентов по электронным каналам;
  • процент предотвращенных случаев хищения денежных средств клиентов;
  • количество заявленных случаев потери клиентских данных (не более чем);
  • сумма потерянных денежных средств в результате хищения (не более чем);
  • количество случаев потери клиентских денежных средств (не более чем).
Конкретные показатели устанавливаются в соответствии с текущим уровнем информационной безопасности банка и планами/ожиданиями по его развитию.
 
Другой пример. Бизнес-цель, интерпретированная в цель для информационной безопасности - снижение экономических последствий от проблем с информационной безопасностью. Подцелями тут могут являться снижение влияния экономических последствий от проблем с информационной безопасностью и инвестирование в информационную безопасность с учетом бизнес-рисков. Индикаторы соответственно: снижение рисков, связанных с имеющимися уязвимостями и минимизация последствий от уязвимостей с учетом уровня бизнес-рисков. Возможные KPI:
  • закрытых уязвимостей, прямо связанных с экономическими последствиями;
  • средняя сумма возмещения издержек в результате инцидента (не более чем);
  • уязвимостей, прямо связанных с влиянием на бизнес (не более чем). 
На информационную безопасность в бизнесе влияет множество факторов – это как необходимость соответствия требованиям законодательства, всевозможным отраслевым стандартам, обеспечение должного уровня рисков информационной безопасности, прогнозирование и предотвращение внешних и внутренних угроз, также - соответствие уровня информационной безопасности потребностям бизнеса, обеспечение его роста: полная готовность к масштабированию в случае появления такой необходимости. Это наиболее вероятно с точки зрения реализации, когда руководство (стейкхолдеры) вовлечено в существующие проблемы в области информационной безопасности и активно принимает участие в формировании соответствующей стратегии.  В свою очередь, подобное тесное сотрудничество и понимание бизнес-целей помогает службам информационной безопасности эффективней для общих бизнес-целей распределять имеющиеся в их распоряжении ресурсы, обеспечивая при этом необходимый уровень безопасности и снижая действительно критичные для бизнеса риски, которые могут затормозить или даже отбросить назад его развитие.
Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

17.01.2025
Шейкин: Минцифры регулярно проверяет программы в реестре
17.01.2025
Apparatus найдёт всех нужных homo. ИИ-система мониторинга Telegram-чатов вошла в свою новую эпоху
17.01.2025
Минцифры бьёт по телефонному мошенничеству офлайн-практиками
17.01.2025
2024 — год Жука. Сколько заработали «белые шляпы» на поиске брешей
17.01.2025
День знаний в январе. Скамеры проникли даже в сферу «Сферума»
16.01.2025
Импортозамещение бьёт по крыльям?
16.01.2025
«Такие угрозы в прошедшем году были одними из самых распространённых»
16.01.2025
Утечки ПДн по РКН: число кейсов сокращается, число записей — растёт
16.01.2025
Тихоокеанская триада против похитителей «крипты» из КНДР
16.01.2025
Система быстрых платежей расширяет географию. Но есть нюанс

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных