Вносит ли ИБ вклад во внутренний продукт предприятия?

Вносит ли ИБ вклад во внутренний продукт предприятия?

Тут в одном чатике по безопасности АСУ ТП зашла очередная дискуссия про безопасность и ее место в бизнесе. И, если отбросить долгую прелюдию, то традиционная позиция ИБшников звучит обычно так: «Мы находимся в стороне от бизнеса и к нам неприменимы общие правила и подходы». Я же сторонник прямо противоположной идеи, что ИБ — эта такая же бизнес-функция, как и любая другая, как бухгалтерия, финансы, ИТ, продажи, производство и т.п. И подходить к ней надо с точки зрения вклада ИБ в создание внутреннего продукта компании.

Важное замечание. Когда я говорю про внутренний продукт, это не термин из ИТ-разработки, когда речь идет о разработке некой системы для внутреннего потребителя. Скорее это близко к классическому пониманию продукта в экономике, то есть когда нечто обменивается потребителем на деньги или иную ценность. Только в отличие от обычного продукта, продаваемого внешним клиентам, мы говорим о том, что предлагается внутри — бухгалтерское обслуживание, рекрутинг персонала, доступность внутренней инфраструктуры, документооборот и т.п.

Каждое подразделение что-то делает и, как правило, результат этой деятельности и является внутренним продуктом, вкладом в внешний продукт/сервис компании, продаваемый на рынке. Например, в Apple вклад делают все — разработчики, создающие iPhone, сейлы, продающие его крупным заказчикам, партнерские менеджеры, ищущие каналы сбыта, дизайнеры, создающие эффект «вау», юристы, пишущие такие лицензионные соглашения, что не придерешься, ИТшники, обеспечивающие работоспособность сайта, с которого идут продажи и т.п. И в нефтедобыче тоже самое, и в производстве автомобилей на конвейере. И вообще везде.

Сумма всех внутренних продуктов представляет собой внешние продукты компании.

Бывает и бесполезная с точки зрения общей цели внутренняя деятельность. Про подразделения или людей, которые ее генерят, говорят «дармоеды».

Я считаю, что любое подразделение (от его руководителя до рядового сотрудника) должно знать, какой они внутренний продукт или продукты производят и какой вклад в общий продукт компании они вносят. У кого-то он больше, у кого-то меньше, но у всех он должен быть.

А иначе накойхер нужны дармоеды, которые ничего не привносят?!

Давайте посмотрим на компанию, которая занимается добычей полезных ископаемых, и на то, какой вклад вносят ее подразделения в то, что затем продается на рынке. Итак, при добыче полезных ископаемых у вас есть:

  1. горняки, их добывающие,
  2. продавцы, их продающие,
  3. юристы, обеспечивающие чистоту/защиту сделок по их продаже,
  4. ИТшники, обеспечивающие функционирование инфраструктуры их продажи,
  5. ремонтники, обеспечивающие работоспособность оборудования по их добыче,
  6. маркетологи, обеспечивающие их продвижение,
  7. уборщицы, обеспечивающие чистоту в помещениях, где работают все остальные (перестаньте чистить туалет и вы очень быстро,
  8. увидите результат и вклад уборщицы в общее дело),
  9. охранники, обеспечивающие их сохранность до момента продажи,
  10. ИБшники, обеспечивающие защиту информации о сделках и об их ценах, доступность инфраструктуры, которая их продает,
  11. бухгалтера, которые выставляют счета на них,
  12. финансисты, которые определяют цены на них,
  13. завхозы, которые обеспечивают топливо для автомобилей, перевозящих их,
  14. водители, которые перевозят их,
  15. и т.п.

Их всех и нанимают для производства и реализации продукта. А иначе зачем они все нужны? То, что ИБшники часто вообще не понимают, что они делают в своей компании, не понимают, на чем компания зарабатывает деньги и на чем теряет, говорит только о том, что ИБшник плох в бизнес-вопросах, а не о том, что он не вносит вклад в рост доходов, снижение расходов, увеличение маржинальности, рост доли рынка, снижение себестоимости, рост капитализации и иные цели, которые может ставить перед собой бизнес. При этом в ИБ-вопросах ИБшник может разбираться на уровне Ландау в математике или Капицы в физике.

Я соглашусь с тем, что многие сотрудники многих компаний ни хрена не понимают, какой вклад они вносят в бизнес-результаты своего работодателя. Многие себя считают всего лишь винтиками, забывая, что и от винтика многое зависит (вспомним свежую историю с неприкрученной дверью у Боинга, что привело к приостановке полетов и потенциальным искам к производителю самолетов).

Расходы на содержание всех этих работников, помимо прочих расходов, обычно включаются в себестоимость выпуска продукта/услуги компании. То есть вклад есть как минимум на уровне зарплаты специалистов, которых учли при расчете себестоимости, то есть минимальной стоимости продукта/услуги.

Дальше мы можем (другой вопрос — умеем ли) считать добавочную ценность, которую подразделения привносят в деятельности компании, которая продает свои продукты не по себестоимости, а в 2, 5, 10, 100 раз выше. И происходит это потому, что у продукта офигенный дизайн (например, благодаря дизайнерам Apple), потому что он эксклюзивный (например, благодаря маркетологам Tiffany), потому что он безопасный (например, благодаря конструкторам и маркетологам Volvo), потому что он инновационный (например, благодаря разработчикам ChatGPT) и т.п. И вот на этом этапе ИБшники отходят в сторону и говорят: «А мы не как все, мы только реализуем требования регуляторов».

Ну так если вы их реализуете, так и идите работать к регуляторам. Накойхер вы в бизнес пошли? А если уж вы в бизнесе работаете, то будьте добры разделять его интересы и понимать свою роль в достижение его бизнес-целей. Или хотя бы попытайтесь это сделать.

Дальше уже возникнет вопрос, а как оценивать свой вклад в бизнес. Через риски? Через недопустимые события? Через негативные или нежелательные последствия? Через ROI или ROSI? Через систему сбалансированных показателей? Да, как угодно. Можно попробовать любой из этих методов, если бизнес его примет или уже сам использует. Главное, задаться краеугольным вопросом:

Какой вклад ИБ вносит в бизнес?!

Поиск ответа на него — уже половина успеха в деятельности ИБшника, которого не устраивает текущее положение дел, когда он на задворках и финансируется по остаточному принципу, а то и вовсе по тому, что осталось от остаточного принципа. Рекомендую начать с просмотра небольшого моего выступления о том, как влияет ИБ на бизнес-модель предприятия:


PS. Внизу даны ссылки на некоторые записи про бизнес-ориентированную ИБ.

Заметка Вносит ли ИБ вклад во внутренний продукт предприятия? была впервые опубликована на Бизнес без опасности .

Alt text
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.

Ваша цифровая безопасность — это пазл, и у нас есть недостающие детали

Подпишитесь, чтобы собрать полную картину