Как безопасность содействует бизнесу?
Очень часто на вопрос «Какова цель информационной безопасности?» можно услышать классический ответ: «Обеспечение конфиденциальности, целостности и доступности бизнес-процессов». В принципе, это и верно, и неверно одновременно. Верно, потому что это одно из классических определений термина «информационная безопасность». Неверно, поскольку современный подход к ведению бизнеса требует иных специфик.
Итак, глобальная цель информационной безопасности – поддержание бизнес-стратегии, обеспечение должного развития бизнеса, снижение рисков, связанных с потенциальным нарушением данного развития. И информационные технологии, и информационная безопасность просто обязаны в текущей действительности оказывать существенное влияние на рост бизнеса и его сопутствующих процессов и процедур. Стратегии в области информационных технологий и информационной безопасности строятся на основе бизнес-стратегии и никак иначе.
Если одна из бизнес-целей стратегии компании, например банка – развитие цифровых технологий дистанционного банковского обслуживания, то какие же бизнес-цели должны быть поставлены перед информационной безопасностью? Во-первых, конечно же, обеспечение доверия клиентов, пользующихся цифровыми банковскими технологиями. За счет чего это может быть достигнуто? Превентивное обеспечение безопасности банковских сервисов, оперативное реагирование на инциденты информационной безопасности, если они все-таки произойдут. Во-вторых, обеспечение высокого уровня доступности банковских цифровых сервисов. Отказоустойчивость, стойкость к DDoS-атакам, отсутствие критичных ошибок в приложениях и сервисах. В-третьих, можно говорить о такой цели, как снижение экономических последствий от проблем с безопасностью в принципе: обеспечение должного, необходимого и достаточного, уровня зрелости процессов информационной безопасности, внедрение комплексного антифрод-процесса и направления защиты от утечек и других внутренних угроз, комплексное реагирование на изменения, опять же – проактивное управление потенциальными угрозами информационной безопасности.
А теперь немного подробней про цели, KPI (Key Performance Indicators, ключевые показатели эффективности) и индикаторы. Если целью бизнес-стратегии является обеспечение доверия клиентов, пользующихся цифровыми сервисами, она же транслируется как высокоуровневая бизнес-цель для стратегии информационной безопасности. Ее интерпретация - наращивание количества клиентов банка, пользующихся цифровыми технологиями, и обеспечение их доверия. Индикатором может служить количество клиентов, упущенных в результате проблем с информационной безопасностью. А KPI могут быть примерно следующие:
- процент предотвращенных случаев утечки данных клиентов по электронным каналам;
- процент предотвращенных случаев хищения денежных средств клиентов;
- количество заявленных случаев потери клиентских данных (не более чем);
- сумма потерянных денежных средств в результате хищения (не более чем);
- количество случаев потери клиентских денежных средств (не более чем).
Конкретные показатели устанавливаются в соответствии с текущим уровнем информационной безопасности банка и планами/ожиданиями по его развитию.
Другой пример. Бизнес-цель, интерпретированная в цель для информационной безопасности - снижение экономических последствий от проблем с информационной безопасностью. Подцелями тут могут являться снижение влияния экономических последствий от проблем с информационной безопасностью и инвестирование в информационную безопасность с учетом бизнес-рисков. Индикаторы соответственно: снижение рисков, связанных с имеющимися уязвимостями и минимизация последствий от уязвимостей с учетом уровня бизнес-рисков. Возможные KPI:
- закрытых уязвимостей, прямо связанных с экономическими последствиями;
- средняя сумма возмещения издержек в результате инцидента (не более чем);
- уязвимостей, прямо связанных с влиянием на бизнес (не более чем).
На информационную безопасность в бизнесе влияет множество факторов – это как необходимость соответствия требованиям законодательства, всевозможным отраслевым стандартам, обеспечение должного уровня рисков информационной безопасности, прогнозирование и предотвращение внешних и внутренних угроз, также - соответствие уровня информационной безопасности потребностям бизнеса, обеспечение его роста: полная готовность к масштабированию в случае появления такой необходимости. Это наиболее вероятно с точки зрения реализации, когда руководство (стейкхолдеры) вовлечено в существующие проблемы в области информационной безопасности и активно принимает участие в формировании соответствующей стратегии. В свою очередь, подобное тесное сотрудничество и понимание бизнес-целей помогает службам информационной безопасности эффективней для общих бизнес-целей распределять имеющиеся в их распоряжении ресурсы, обеспечивая при этом необходимый уровень безопасности и снижая действительно критичные для бизнеса риски, которые могут затормозить или даже отбросить назад его развитие.