Friday, November 21, 2008

Продать Безопасность

Условия задачи.
Есть крупный холдинг Х. Услуги ИТ он покупает у безальтернативного поставщика Т на основе сервисной модели - т.е. набор продаваемых Т услуг по поддержке ИТ инфраструктуры и прикладных приложений определен, имеются известные параметры, определяющие качество оказываемых услуг.

Т имеет в своем составе подразделения ИБ, которые должны отвечать за "свою часть", причем "своя часть" тоже формально детерминирована как набор сервисов ИБ, определены метрики по этим сервисам.

Х представляет собой набор отдельных предприятий. Предприятия разбросаны по разным частям мира - регионам. Каждое предприятие контрактуется с Т отдельно на определенный перечень ИТ-услуг.

Корпоративная безопасность представлена либо в виде представителя на предприятии, либо представителем в регионе. В его обязанности, помимо всего прочего, входит обеспечение соблюдения корпоративных стандартов уровня холдинга, в том числе и в области ИБ.

Найти.
Необходимо найти эффективный способ продажи услуг безопасности.

Проблема.
Сложность заключается в том, что продать услуги ИБ предприятию в "чистом виде" (с использованием прямых договоров на обеспечение ИБ между Т и Х, как это делается в случае сервисов ИТ) достаточно проблематично по ряду причин:

1. Сложно объяснить руководству предприятия необходимость обеспечения "заданного уровня" ИБ. ИБ - это затраты, как и ИТ. Логично желание любого предприятия сократить непрофильные затраты. Но с ИТ еще более или менее понятно: надо чтобы компьютер работал, rbc.ru открывался, телефон дозванивался... А вот необходимость ИБ надо объяснять, рассказывая о том, как ИБ предотвращает утечки данных и т.п. Согласитесь, такой ликбез - не функция подрядчика Т, но, вместе с тем, логично, что это - функция регионального представителя.

1'. "Заданный уровень ИБ" приходит из корпоративного центра Х, но объяснить это из подрядной организации практически невозможно. Тут аналогия такая, - например, вы приходите к парикмахеру и заказываете стрижку в Н рублей, а парикмахер вам отвечает, что вам, уважаемый, нужна стрижка за К рублей (К > Н) и прибавляет: "Мне ваше начальство сказало". Разумно возмущение с вашей стороны, мол, почему ваше руководство не сказало это вам, но сказало парикмахеру?!

2. Очень часто услуги ИБ и ИТ оказываются в рамках одного и того же сервиса, и ,как следствие, тяжело разделимы. Ну, например, возьмем сервис "Поддержка рабочей стации пользователя". Вполне возможно, что наряду с типовыми офисными приложениями и ОС, которые традиционно поддерживает ИТ, на рабочих станциях развернуты еще какие-либо системы безопасности, централизованно управляемые со специализированных консолей. Вот эти системы безопасности уже поддерживаются командой ИБ из состава Т. Причем, вполне возможно, что администратор ИБ - администратор приложения, а ОС и другое системное ПО поддерживается службами ИТ. Как отмечалось в условиях, внутри Т нет конфликта управления, и кто что делает по поддержке рабочей станции известно командам ИТ и ИБ. В итоге, как мне кажется, продать отдельно составляющие безопасности здесь более чем нелогично.

3. Безопасность сама по себе не имеет смысла. Это - сугубо прикладная деятельность. Т.е. она всегда предполагает, что есть некий бизнес-процесс, безопасность которого обеспечивается. Бизнес-процсс можно рассматривать как некий множитель безопасности. Если множитель - 0, то и эффект от безопасности - тоже нулевой. Безопасность ради безопасности - пустая трата денег.

Решение.
Учитывая все вышесказанное, разумным представляется продажа услуг/компонент ИБ внутри услуг ИТ. Это, на мой взгляд, абсолютно логично, так как каждый процесс ИТ имеет составляющую ИБ, и не надо пытаться ее вырезать и продавать отдельно. В итоге Т будет продавать услуги ИТ, обеспечивая "заданный уровень ИБ", спущенный из корпоративного центра Х.

2 comments:

Unknown said...

Вообще говоря, выделение бюджета на ИБ из общего бюджета ИТ считается в ряде методологий оценки рисков правильным шагом.

Что касается оценки размера затрат - тут как раз и необходимо сначала оценить риски, связанные с бизнес-процессами. Поэтому правильным шагом, видимо, будет перевод разговора с руководством в область цифр. т.е. нужно настоять на аудите.

Александр Бодрик said...

Мне кажется проблема в том, что налицо недостаточное взамодействие служб внутри холдинга.

Предлагаю такой вариант:
1) в середине года корпоративная безопасность договаривается с корпоративными финансами, что те не утвердят финансовый план предприятия без наличия статьи затрат "на ИБ"
2) в конце следующего года корпоративная безопасность проверяет сколько было освоено из статьи затрат "на ИБ", и в случае слишком больших или маленьких затрат по факту делает документарный аудит ИБ-программ и проектов на предприятии, и по его результатам направляет в корпоративные кадры оценку деятельности регионального представителя безопасности
3) в случае категорического отказа представителя региональной безопасности тратить деньги "на ИБ" фиксируется нарушение корпоративных стандартов, невыполнение служебных обязанностей и тут уже дело кадров что с ним делать дальше