И вновь об экономике и информационной безопасности: два мира, два взгляда

И вновь об экономике и информационной безопасности: два мира, два взгляда
Утром, 17 мая, довелось мне выступать на 10-й юбилейной сессии Высших курсов CIO. В прошлые года я рассказывал ИТ-директорам о том, почему у нас в России все так непросто с ИБ, откуда у нее торчат ноги и почему ибшникам сложно жить между молотом регуляторов и наковальней бизнеса. В этот раз меня попросили рассказать про то, как увязать требования регуляторов с требованиями бизнеса. За основу взял свою презентацию по финансовой эффективности ИБ с добавлением ряда новых слайдов на базе материалов Дмитрия Мананникова. И вот что интересно. Когда эту тему рассказываешь безопасникам - часто слышишь про то, что это шаманство и оно не работает и вообще все это фигня - оценивать ИБ рублем. Мол, продажа страха и compliance были, есть и будут основными и единственными драйверами ИБ. А вот в среде руководителей ИТ, которые уже сталкивались с темой измерения эффективности ИТ, эта тема находит живейшее понимание и отклик. Появляются вопросы, комментарии, как на самом мероприятии, так и после него. Видимо нужно время и набитые шишки, чтобы эта тема вошла в жизнь и простых ИБшников. И именно поэтому многие аналитики последнее время заводят  разговор  о том, что роль CISO скоро вымрет. Вымрет не сама задача ИБ, а ее текущее наполнение и отсутствие привязки к бизнесу-потребностям.



На высших курсах CIO мне выдали тестовый доступ к онлайн-системе kartoteka.ru, которая позволяет анализировать финансовую устойчивость компаний, аффилированность, учредителей и т.п. информацию. Раньше особо не интересовался данными вопросами по игрокам отечественного рынка ИБ. А тут дали доступ и я решил, а почему бы и не посмотреть, что в таких системах обычно есть. Залип :-) Столько нового узнаешь об игроках рынка :-) Неожиданные товарные знаки, которые никогда (возможно пока) не всплывали у того или иного игрока. Другие компании, учредителем которых являются известные всем люди. Причем, некоторые компании совсем неожиданные (не из области ИБ и даже близко не лежали). Бухгалтерские балансы. Госконтракты и госзакупки. Интересное чтиво; не ожидал.

В конце 2014-го года я выступал на BISA с прогнозами на ближайшее будущее,  иллюстрируя  это картинами Васи Ложкина. Тогда я сделал предположение (лежащее на поверхности), что некоторым игрокам ИБ будет становиться сложнее выживать на рынке. И вот доступ к kartoteka.ru этот очевидный вывод лишний раз подтвердил, что доказывает изменение структуры финансов у ряда игроков рынка.



Иногда смотришь на компанию, которая заявляет о себе как о лидере рынка, бешеном росте, найме новых сотрудников, колоссальных прибылях. А в бухгалтерском отчете цифра всего в несколько сотен тысяч долларов выручки (даже не прибыли). У кого-то баланс и вовсе отрицательный.



И возникают вопросы... Сама система тут, кстати, помогает оперативно разобраться в финансовом положении тех или иных игроков, давая экспресс-оценку и уровень риска для той или иной компании.



У многих игроков риск умеренный, а местами и средний (ближе к красной границе). Но и есть очень высокорискованные компании, по которым прогноз просто неутешителен :-(





Но немало компаний, которые чувствует себя достаточно уверенно, улучшая год от года финансовые показатели. Тут можно вспомнить известное изречение Черчилля, что кризис - это новые возможности. Кто-то их видит и использует, кто-то пропускает мимо, а кто-то пускается во все тяжкие и проигрывает.

 




Еще одной интересной возможностью системы является построение карты связей между юрлицами и физлицами - тоже интересно смотреть на эти хитросплетения. Есть даже кипрские оффшоры среди учредителей, причем у тех, о ком даже и не думал. Разговоры о том, что Лаборатория Касперского зарегистрирована в Лондоне идут давно и уже ни для кого не являются секретом. А вот о кипрских корнях компании <имярек> я и не задумывался даже.

В Cisco есть отдельная компания Cisco Capital, которая занимается финансированием различных проектов, в которых участвует наше оборудование, включая и решения по безопасности. Кредитование, лизинг, отсрочка платежа и так далее. Бывают случаи, когда Cisco Capital отказывает в финансировании даже несмотря на казалось бы хорошую репутацию компании, ее PR и другие внешние признаки. После использования kartoteka.ru начинаешь по-иному смотреть на эту тему и начинаешь понимать, почему наши финансисты отказывают и не хотят рисковать.

Подытоживая, хочется отметить два момента, которые могли бы стать отчасти и рекомендациями. Во-первых, изучайте экономику для того, чтобы уметь показать свой вклад в бизнес своего предприятия. А во-вторых, не забывайте про необходимость анализа контрагентов/поставщиков/партнеров с точки зрения их финансового положения. Мне казалось, что я про эту рекомендацию уже писал в блоге, но что-то не смог найти (может и не писал, а только в презентации упомянул). Знание экономики сильно помогает, в том числе и в будущем.

ЗЫ. Никогда не думал, что в России 100 с лишним Инфотексов :-) Причем львиная их доля относится к текстильной промышленности, а не к защите информации :-)

ЗЗЫ. На некоторые компании и людей теперь смотришь совсем по другому...

ЗЗЗЫ. Коллеги говорят, что СПАРК лучше :-)
Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Alert! Зафиксирована утечка экспертных знаний!

Собираем и анализируем опыт профессионалов ИБ

Подключитесь к потоку конфиденциальной информации!