В России с терминологией беда! И вместо того, чтобы, казалось бы, внести ясность, все наоборот только усложняется. Такой осадок остался у меня после круглого стола организованного ассоциацией «DLP-эксперт» и ГК InfoWatch. Широкая тема «Эффективное управление Информационной Безопасностью», как и следовало ожидать, свелась к эффективности ИБ.
Я сам не раз поднимал эту тему и чем больше я задаюсь вопросами оценки эффективности ИБ, тем меньше понимаю, что это такое. Я могу понять, что такое уровень защищенности, оценка состояния ИБ или на крайний случай уровень соответствия требованиям ИБ. Но эффективность… Фраза, после которой финансовый директор должен видеть себя в списке Forbes «расходы на ИБ снизились в этом году на 3-5%», с точки зрения ИБ не говорит ровным счетом не о чем. Когда вспоминают про эффективность ИБ? При выборе решения и обосновании бюджета ИБ и ИТ, при подготовке отчетов для руководства, регулярно по рекомендациям стандартов ИБ, при анализе инцидентов и просто от скуки.
Для обоснования бюджета показывают ценность ИБ для бизнеса в терминах денег, вспоминая полученную выгоду, оптимизацию рисков и ресурсов. Приводят аргументы про инциденты, требования, а еще лучше предписания регуляторов, аналоги по отрасли, соответствие стратегии ИТ и может быть «лучшие практики». Например, добровольная сертификация по ISO 27001 дает маркетинговое преимущество. Посчитать это сложно, но можно, например, проведя опрос потребителей. Но еще сложнее продвигать с точки зрения специфичных компетенций сейлзов. Риски оцениваются вероятностью и ущербом (простой оборудования, процессов, персонала, восстановлением, расследованием, штрафы, санкции регуляторов и пр. потери). А вот, сколько стоит утечка информации? Как ее оценить без явного лукавства? На ее стоимость влияет отрасль и состав информации. По оценкам аналитиков в США средняя стоимость одной записи 200$, а в Индии 40$. Но какое это имеет отношение к вашему конкретному бизнесу?
В общем, метрик может быть очень много, но все они имеют смысл только в сравнении с планом, эталоном, прошлыми оценками. Повышение безопасности означает снижение частоты определенных нежелательных событий и уменьшения ущерба от них. По мнению Андрея Прозорова, ведущего эксперта по ИБ, InfoWatch, до тех пор, пока вы не начнете регулярно измерять ИБ, рано переходить к оценке эффективности ИБ!
Точка зрения автора может не совпадать с позицией редакции.