Как оценить экономическую эффективность DLP-решения в контексте деятельности службы HR

Как оценить экономическую эффективность DLP-решения в контексте деятельности службы HR
Дмитрий Мананников (CISO СПСР-Экспресс) на своих выступлениях часто приводит кейс, когда DLP-решение может помочь департаменту HR в решении его задач. Не задач ИБ, а именно в решении HR-задач. В частности, DLP-решение позволяет своевременно обнаружить и, временами, предотвратить, увольнение людей, которых требуется впоследствие заменить. Учитывая, что на поиск и найм кандидата на замещение вакантной должности уходит около 2-3 месяцев, а увольняющийся уходит максимум через 2 недели с момента озвучивания своего решения, то заблаговременное предупреждение HR-службы со стороны службы ИБ, эксплуатирующей DLP-решение, способствует тому, что либо HR успевает поговорить с увольняющимся и отговорить его, либо своевременно найти ему замену, чтобы кандидат на замещение вакантной должности вышел одновременно с уходом сотрудника.

Вот собственно из этого примера я попробовал вытащить вполне конкретные и измеримые показатели, которые, суммировав, можно заложить в кейс по оценке финансовой эффективности DLP-решения, решающего задачи HR. Кстати, эту задачу может решать не только DLP-система, мониторящая почту, но и система контроля доступа в Интернет (система контентной Web-фильтрации), которая позволяет отслеживать доступ к сайтам поиска работы и выявлять превышения неких стандартных значений. Эту же задачу может решить и функция URL-фильтрации в современных NGFW.



Итак, какие затраты могут быть учтены в рамках данного кейса:
  1. Финансовые потери от недоработки. Человек, готовящийся к увольнению и принявший такое решение, может работать в полсилы. Если на предприятии ведется учет определенных показателей деятельности сотрудников, то по ним можно судить о том, насколько человек недорабатывает, а значит компания теряет деньги.
  2. Временные и финансовые потери на увольнение человека (выплаты пособия, оформление бумаг, возврат оборудования и иных активов и т.п.).
  3. Временные и финансовые затраты на запуск процесса поиска нового кандидата (самостоятельно или через внешний рекрутинговый сервис или компанию).
  4. Временные и финансовые затраты на отбор и собеседование кандидатов.
  5. Временные и финансовые затраты на прием кандидата на работу.
  6. Финансовые потери от момента приема работника до его полного включения в рабочий процесс. Нередко в компании есть норма выработки на одного сотрудника. Очевидно, что новичок не всегда способен с ходу влиться в коллектив и начать приносить пользу, на которую рассчитывает работодатель. Процесс выхода на плато продуктивности может занимать до полугода, а это вполне конкретные потери (или недополученные доходы) для компании.
  7. Финансовые затраты на обучение нового сотрудника.
  8. Временные и финансовые затраты на менторство нового сотрудника со стороны "старожилов", которые будут отвлекаться от своей основной работы на помощь новичку.
  9. Временные и финансовые потери на заведение новой учетной записи и время простоя от отсутствия синхронизации учетной записи со всеми системами (вот в этой презентации это более подробно описано - слайды 29-37).
  10. Финансовые и временные затраты на PR. Если сотрудник был высокопоставленный или публичный, то может понадобиться объяснить или опубликовать официальный пресс-релиз о произошедшем событии.
  11. Временные и финансовые затраты на получение сертификатов, которые "висели" на ушедшем сотруднике. Например, потеря сертификата по результатам обучения 500 часов или сертификата CCIE может повлечь за собой потерю лицензии ФСБ или статуса золотого партнера Cisco соответственно.
Измерять эффективность DLP-систем по числу уволенных сотрудников, как это на мероприятиях говорит SearchInform, тоже можно. Только вот данная эффективность никак не связана с бизнес-задачами предприятия, на котором данная система работает или должна работать.

Не все указанные показатели могут быть легко вычислены. Не по всем служба ИБ имеет исходные данные (или не может их получить). Не всегда HR воспримет такой способ "выманить" у них деньги или, иными словами, заручиться их поддержкой. Да и сама служба ИБ тоже не всегда готова уйти от традиционного взгляда на DLP, как на систему контроля утечек информации. Но попробовать стоит. А вдруг получится?..
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину