Есть области ИТ, в которых возврат на инвестиции неочевиден, а то и вовсе отсутствует. К таким областям, например, относятся сохранность информации, ее защита и информационная безопасность. Ведь затраты на защиту (информационную, а также физическую, страховую, юридическую) подавляющему большинству компаний прямых доходов не приносят. Между тем, если долгое время не происходит никаких катастроф или серьезных инцидентов, топ-менеджмент и акционеры нередко выдвигают два взаимоисключающих требования: с одной стороны, снижать затраты, с другой — повышать защищенность бизнеса и надежность работы информационных систем. Что делать в такой ситуации?Во-первых, нужно тщательно и объективно оценить риски и возможный ущерб от них. Увы, пожары, наводнения и землетрясения не такая большая редкость, и если катастрофа произойдет, разрушение информационной системы может оказаться фатальным для бизнеса. Таким же разрушительным может оказаться вторжение в информационную систему, совершенное по заказу конкурентов или рейдеров.
Очень важно при оценке рисков учитывать особенности конкретного предприятия, в первую очередь влияние различных ИТ-компонентов, а также ИТ-рисков на его бизнес. «Абстрактная» оценка может сильно навредить, поскольку введет всех в заблуждение.
Во-вторых, крайне желательно довести оценки рисков до руководства предприятия. Если руководители требуют кардинального снижения затрат на информационную безопасность, то они должны взять на себя или, по крайней мере, разделить ответственность за возможные последствия этого шага.
В-третьих, следует продемонстрировать руководству положительные аспекты поддержания информационной безопасности на высоком уровне, имея в виду не только защиту и сохранность конфиденциальной информации, но и укрепление репутации в бизнес-сообществе: поставщики и клиенты предпочтут иметь дело с той компанией, которая способна защитить не только свою собственную информацию, но и ту, что предоставят ей партнеры. Если предприятие готово поставить под удар свою информацию, как же ей можно доверять чужую?
Впрочем, есть проверенные способы, позволяющие снижать затраты на обеспечение защиты и сохранности информации. Вот некоторые: совершенствование ИТ-процессов и повышение внутренней дисциплины ИТ-службы; внутренняя стандартизация ИТ; использование решений от минимального числа поставщиков; приобретение только тех решений, которые включают развитые средства управления, интеграции, масштабирования и консолидации; минимизация расходов на управление ИТ-компонентами (в том числе — на их обслуживание); тщательная оценка совокупной стоимости владения имеющихся и приобретаемых ИТ-компонентов и технологий (включая новые версии продуктов).
Следует очень внимательно оценивать коммерческие предложения ИТ-поставщиков. Если они утверждают, что некая технология способна снизить совокупные затраты, нужно тщательно изучить, за счет чего достигается эта экономия и не требует ли технология дополнительных расходов, о которых поставщики скромно умалчивают. Уже известно, например, что использование Windows-терминалов снижает требования к пользовательским устройствам и каналам передачи данных, но зато резко увеличивает ресурсоемкость серверов, на которых эти решения работают; применение виртуальных машин резко повышает требования к весьма дорогостоящим ресурсам систем хранения. Предприятию — и в первую очередь его ИТ-службе — еще не раз придется делать сложный выбор между удобствами, которые несет технология, и сопутствующими расходами.