Утром, 17 мая, довелось мне выступать на 10-й юбилейной сессии Высших курсов CIO. В прошлые года я рассказывал ИТ-директорам о том, почему у нас в России все так непросто с ИБ, откуда у нее торчат ноги и почему ибшникам сложно жить между молотом регуляторов и наковальней бизнеса. В этот раз меня попросили рассказать про то, как увязать требования регуляторов с требованиями бизнеса. За основу взял свою презентацию по финансовой эффективности ИБ с добавлением ряда новых слайдов на базе материалов Дмитрия Мананникова. И вот что интересно. Когда эту тему рассказываешь безопасникам - часто слышишь про то, что это шаманство и оно не работает и вообще все это фигня - оценивать ИБ рублем. Мол, продажа страха и compliance были, есть и будут основными и единственными драйверами ИБ. А вот в среде руководителей ИТ, которые уже сталкивались с темой измерения эффективности ИТ, эта тема находит живейшее понимание и отклик. Появляются вопросы, комментарии, как на самом мероприятии, так и после него. Видимо нужно время и набитые шишки, чтобы эта тема вошла в жизнь и простых ИБшников. И именно поэтому многие аналитики последнее время заводят разговор о том, что роль CISO скоро вымрет. Вымрет не сама задача ИБ, а ее текущее наполнение и отсутствие привязки к бизнесу-потребностям.
На высших курсах CIO мне выдали тестовый доступ к онлайн-системе kartoteka.ru, которая позволяет анализировать финансовую устойчивость компаний, аффилированность, учредителей и т.п. информацию. Раньше особо не интересовался данными вопросами по игрокам отечественного рынка ИБ. А тут дали доступ и я решил, а почему бы и не посмотреть, что в таких системах обычно есть. Залип :-) Столько нового узнаешь об игроках рынка :-) Неожиданные товарные знаки, которые никогда (возможно пока) не всплывали у того или иного игрока. Другие компании, учредителем которых являются известные всем люди. Причем, некоторые компании совсем неожиданные (не из области ИБ и даже близко не лежали). Бухгалтерские балансы. Госконтракты и госзакупки. Интересное чтиво; не ожидал.
В конце 2014-го года я выступал на BISA с прогнозами на ближайшее будущее, иллюстрируя это картинами Васи Ложкина. Тогда я сделал предположение (лежащее на поверхности), что некоторым игрокам ИБ будет становиться сложнее выживать на рынке. И вот доступ к kartoteka.ru этот очевидный вывод лишний раз подтвердил, что доказывает изменение структуры финансов у ряда игроков рынка.
Иногда смотришь на компанию, которая заявляет о себе как о лидере рынка, бешеном росте, найме новых сотрудников, колоссальных прибылях. А в бухгалтерском отчете цифра всего в несколько сотен тысяч долларов выручки (даже не прибыли). У кого-то баланс и вовсе отрицательный.
И возникают вопросы... Сама система тут, кстати, помогает оперативно разобраться в финансовом положении тех или иных игроков, давая экспресс-оценку и уровень риска для той или иной компании.
У многих игроков риск умеренный, а местами и средний (ближе к красной границе). Но и есть очень высокорискованные компании, по которым прогноз просто неутешителен :-(
Но немало компаний, которые чувствует себя достаточно уверенно, улучшая год от года финансовые показатели. Тут можно вспомнить известное изречение Черчилля, что кризис - это новые возможности. Кто-то их видит и использует, кто-то пропускает мимо, а кто-то пускается во все тяжкие и проигрывает.
Еще одной интересной возможностью системы является построение карты связей между юрлицами и физлицами - тоже интересно смотреть на эти хитросплетения. Есть даже кипрские оффшоры среди учредителей, причем у тех, о ком даже и не думал. Разговоры о том, что Лаборатория Касперского зарегистрирована в Лондоне идут давно и уже ни для кого не являются секретом. А вот о кипрских корнях компании <имярек> я и не задумывался даже.
В Cisco есть отдельная компания Cisco Capital, которая занимается финансированием различных проектов, в которых участвует наше оборудование, включая и решения по безопасности. Кредитование, лизинг, отсрочка платежа и так далее. Бывают случаи, когда Cisco Capital отказывает в финансировании даже несмотря на казалось бы хорошую репутацию компании, ее PR и другие внешние признаки. После использования kartoteka.ru начинаешь по-иному смотреть на эту тему и начинаешь понимать, почему наши финансисты отказывают и не хотят рисковать.
Подытоживая, хочется отметить два момента, которые могли бы стать отчасти и рекомендациями. Во-первых, изучайте экономику для того, чтобы уметь показать свой вклад в бизнес своего предприятия. А во-вторых, не забывайте про необходимость анализа контрагентов/поставщиков/партнеров с точки зрения их финансового положения. Мне казалось, что я про эту рекомендацию уже писал в блоге, но что-то не смог найти (может и не писал, а только в презентации упомянул). Знание экономики сильно помогает, в том числе и в будущем.
ЗЫ. Никогда не думал, что в России 100 с лишним Инфотексов :-) Причем львиная их доля относится к текстильной промышленности, а не к защите информации :-)
ЗЗЫ. На некоторые компании и людей теперь смотришь совсем по другому...
ЗЗЗЫ. Коллеги говорят, что СПАРК лучше :-)