В ITIL есть одна замечательная идея - Continual Service Improvement (CSI, непрерывное улучшение услуг). Про нее пишут много, одноименная книга библиотеки ITIL содержит порядка 250+ страниц.
По ITIL:
"Основная цель CSI заключается в непрерывном "выравнивании" услуг в соответствии с изменяющимися требованиями бизнеса путем поиска и реализации возможностей улучшения услуг, которые поддерживают бизнес-процессы."
Интересно то, что если мы слово "услуга" заменим на "ИБ", а CSI расшифруем как "Continual Security Improvement", то идея будет полезна и для специалистов по ИБ.
Читаем дальше.
"Основная цель CSI заключается в непрерывном "выравнивании" ИБв соответствии с изменяющимися требованиями бизнеса путем поиска и реализации возможностей улучшения ИБ, которая поддерживает бизнес-процессы."Здорово, не правда ли?!
Читаем дальше.
"Результаты улучшений (постоянное совершенствование) ИБ обычно определяется в следующих терминах:Улучшения (Improvements). Результаты, которые при сравнении предыдущим состоянием могут показать увеличение желаемой или уменьшение нежеланной метрики . Выгоды (Benefits). Результаты, достигнутые в результате реализации улучшений, обычно, но не всегда, выраженные в финансовых терминах. ROI (Return on Investment, возврат инвестиций). Разница между выгодой, полученной от улучшения, и затратами на его реализацию, выраженное в процентах. VOI (Value on Investment, добавленная ценность от инвестиций). Дополнительная ценность, включающая дополнительно нематериальные выгоды и долгосрочные преимуществами. ROI является частью VOI."
Таким образом ITIL дает ответ на глобальный спор о том, как измерять ИБ: "Считать метрики или бенефиты (выгоды)?". Можно так и так... А для обоснования нематериальных выгод ITIL рекомендует использовать "бизнес-кейсы" (я об этом упоминал вот в этой презентации ).
А еще из ITIL можно взять CSI model (модель непрерывного совершенствования), но это уже другая история...
