Экономическая оценка целесообразности модернизации ИТ-обеспечения

Экономическая оценка целесообразности модернизации ИТ-обеспечения

Алексей Лукацкий, бизнес-консультант по безопасности, Cisco Systems

СУЩЕСТВУЕТ мнение, что информационная безопасность (ИБ) никак не влияет на доходы компании. Отчасти это так. Если взять любую компанию, то, согласно мнению Дага Энгельбарта (американского ученого, создателя компьютерной мыши), все ее функции и процессы можно разделить на 3 категории:

• Основная деятельность предприятия -"зарабатывание денег". Например, выпуск продукта, предоставление услуг и т.п.
• Функции улучшения основной деятельности. Например, управление эффективностью поставок, оптимизация издержек и т.п.
• Функции совершенствования предыдущей категории. Например, менеджмент качества. Причем качество - не как соответствие неким формальным требованиям, а как ценность для потребителя.

Как ни прискорбно это отмечать, но ИБ в 99% случаев не относится к первой категории функций. Только в двух случаях безопасность напрямую приносит деньги. В первом -компания занимается разработкой средств защиты; во втором - предоставляет услуги по безопасности своим клиентам. Однако число таких компаний не так велико, и не они являются предметом рассмотрения этой статьи. Мы поговорим о тех компаниях, для которых ИБ не является статьей дохода.

Бизнес-цель компании

Любая деятельность в компании так или иначе должна быть направлена на достижение бизнес-целей. Безопасность здесь не исключение.

Если ИБ не относится к функциям первой категории, то логично предположить, что она относится ко второй категории, но и тут не все так просто. Далеко не каждый может показать, как безопасность влияет на снижение издержек или рост эффективности того или иного процесса. Кстати, управление И Б, о котором сейчас так много говорят, относится скорее к третьему типу функций. Сразу надо заметить, что бизнес-целью компании далеко не всегда является увеличение ее доходов. Нередки случаи, когда в конкретный момент времени на первый план выходят совсем иные приоритеты. Например, повышение лояльности клиентов, соответствие регулятивным требованиям, экспансия и т.п. И к каждому из них может быть "привязана" информационная безопасность. Однако в рамках данной статьи будет рассмотрена только денежная сторона вопроса, а также каким образом безопасность может влиять на финансовые показатели компании.

Что может увеличить доходы компании?

Доходы компании растут за счет числа сделок или увеличения их объема. Обычно российский бизнес концентрируется на первой задаче, упуская из виду, что вторая является гораздо более важной. Лояльный клиент приносит гораздо больше денег, чем новый. Кстати, то же самое обычно происходит и в управлении кадрами -все силы бросают на поиск новых сотрудников, а не на удержание старых.

Рост числа сделок может быть достигнут за счет:

• увеличения непосредственного числа сделок;
• увеличения числа клиентов;
• выпуска новых продуктов;
• ускорения цикла продаж или разработки нового продукта.

Каким образом можно решить, например, первую и вторую задачи? Вариантов достаточно много. Один из них -пространственная экспансия, позволяющая расширить рынки сбыта. Такой сценарий может включать наряду с созданием филиала в новом регионе вынос точек продаж в торговый центр или оснащение торговых (например, страховых) агентов карманными компьютерами. В любом случае все элементы должны быть объединены в единое информационное пространство, что невозможно реализовать без технологий информационной безопасности и, в частности, VPN. А для вынесенных "в поле" точек продаж (Point of Sale, POS) помимо VPN необходимо применение межсетевых экранов (в том числе и персональных), антивирусов, систем предотвращения атак и т.п. Отсюда вытекает пусть и не прямая, но связь - "VPN -> приближение точек продаж ближе к клиентам -> рост числа клиентов -> рост доходов".

Теперь попытаемся решить последнюю задачу (ускорение цикла продаж или разработки нового продукта). Сейчас очень часто открываются границы корпоративной сети для партнеров, поставщиков и контрагентов. Это не просто веяние моды, это позволяет решить достаточно важную задачу. Поставщики и логистические компании могут самостоятельно отслеживать наличие деталей и запчастей на складах, своевременно пополнять запасы, не дожидаясь соответствующих сигналов от вас. Такое открытие границ позволяет уменьшить число людей в цепочке и время на принятие управленческих решений. Соответственно уменьшается время на выпуск продукции, поэтому за прежний период времени можно выпустить большее число продуктов, которые при налаженном процессе сбыта будут все распроданы.

Все вышесказанное подразумевает реализацию серьезной системы защиты, включающей в себя:

• VPN для удаленного доступа контрагентов и поставщиков;
• аутентификацию, авторизацию и разграничение доступа к нужной информации;
• защиту Интернет-границ от злоумышленников.

Здесь прослеживается связь между безопасностью и ростом прибылей - "система защиты -> доступ поставщиков и контрагентов к корпоративной сети -> уменьшение времени на выпуск продукта -> рост числа сделок -> рост доходов".

Влияние ИБ на финансовые показатели

Посмотрим на эту проблему с другой стороны. Как отсутствие безопасности негативно влияет на финансовые показатели?

Для примера возьмем крупный банк, реализовавший систему Интернет-банкинга. Чтобы сделать систему "ближе к потребителю", разработчики пошли на беспрецедентный шаг: всю видимую безопасность возложили на однократный механизм аутентификации при входе в систему Интернет-банкинга. Введя пароль и логин, пользователя больше не донимали запросами на подтверждение каждой транзакции. Однако за этой простотой и кроется основная проблема. Злоумышленники быстро узнали про такую особенность Интернет-банкинга одного из крупнейших российских финансовых институтов и смогли разными способами (перехват, подбор, кража) заполучить пароли и логины многих пользователей банка. А после этого начались несанкционированные переводы денежных средств на подставные счета. Банк серьезно пострадал как с финансовой точки зрения, так и с точки зрения репутации, вследствие чего последовал крупный отток клиентов. В результате банк понес серьезные финансовые потери. Таким образом, мы снова убеждаемся, что между безопасностью и прибылью существует связь, которая прослеживается во многих вопросах, на первый взгляд не имеющих отношения к безопасности. Надо только уметь их видеть. Если мы научимся это делать, то сможем помочь закрыть различные бреши в бизнес-процессах и способствовать достижению поставленных бизнес-целей. А это, в свою очередь, позволит не только сохранить, но и приумножить прибыль организации.

Комментарий эксперта

Михаил Орешин, директор московского филиала "Ноликом Про"

ОТДЕЛ информационной безопасности в компании играет немаловажную роль. Убирая общие слова о необходимости И Б плотно взаимодействовать с бизнесом, дружить с ним и "держать нос по ветру", хотелось бы обратить внимание на то, что теперь И Б можно рассматривать не только как сущность, обеспечивающую текущие бизнес-процессы, но и как отдел, который может предложить новые услуги как для внешних клиентов компании, так и для внутренних. К примеру, вопрос организации удобной работы удаленных пользователей (по сути, это возможность из любой точки получить доступ ко всем ресурсам из офиса) относится именно к отделу ИБ, но это напрямую влияет на эффективность работы, следовательно, позволяет повысить доходы компании.

Особое внимание в статье уделяется тому, что отделам И Б имеет смысл говорить не только про риски и возможные потери (разговоры об этом вгоняют в тоску любого руководителя), но и о новых возможностях, которые можно представить рынку или внутри самой компании.