Традиционная оценка деятельности предприятия основывается на классических стандартах бухучета, квартальной и финансовой отчетности. В 90-х годах появился подход, который позволил скомбинировать сразу несколько направлений деятельности предприятия в рамках единой системы оценки. Он был предложен Робертом Капланом и Дэвидом Нортоном и получил название «сбалансированная система показателей» (Balanced Scorecard, BSC). Согласно этому подходу, важнейшую роль в деятельности предприятия играют совершенно иные, нежели раньше было принято, элементы и критерии: персонал, интеллектуальный капитал, инновации, оптимальные и управляемые процессы, удовлетворенность и лояльность заказчиков, отношения с регуляторами и т.п.
Методология BSC позволяет взвешенно оценить деятельность предприятия (именно сбалансированность является ключевым преимуществом данного подхода) по четырем направлениям: финансы, заказчики, внутренние процессы и персонал (его обучение и рост).
Основная задача BSC — уйти от непонятной и сложно формализуемой миссии компании в сторону конкретных, измеряемых и достижимых целей. При этом сбалансированы должны быть не только оценки материальных и нематериальных активов, но и текущей деятельности и будущих перспектив.
В последние годы специалисты, внедрявшие BSC на предприятиях, предложили для отражения специфики отдельных компаний дополнить изначальный набор измерений новыми, такими как пользователи, поставщики, регуляторы и т.п.
Уход от чисто финансовой оценки деятельности позволяет использовать BSC в различных областях деятельности компании, особенно в тех, которые напрямую не влияют на денежный поток. К ним относится и информационная безопасность.
Безопасность в деятельности предприятия
Информационная безопасность — одна из важнейших, но не очень зримых областей в деятельности почти любой компании. Высший приоритет она имеет в организациях, в которых информационные и нематериальные активы превалируют над материальными.
Несмотря на это, отношение к службе информационной безопасности со стороны остальных подразделений оставляет желать лучшего. Причина в том, что успешная деятельность подразделения как раз и не видна — невозможно увидеть отсутствие атак, эпидемий, претензий со стороны регуляторов, бесперебойную работу инфраструктуры. Но как тогда продемонстрировать свою необходимость? Службы начинают заниматься несвойственной для них работой (читать чужую почту, закрывать доступ на «нужные» сайты, вызывая не всегда позитивную реакцию, и т.п.) потому, что не могут правильно выбрать методы оценки своей деятельности.
Безопасность Balanced Scorecard
В своем исходном варианте BSC не очень подходит для применения в информационной безопасности, но, внеся небольшие изменения, можно адаптировать этот подход к нашим целям.
Показатель «заказчики» оставим как есть, поскольку у любого отдела информационной безопасности его заказчиками являются внутренние пользователи. Дополнительно в эту категорию могут попасть и внешние пользователи — это правило работает для Internet-магазинов, Web-серверов электронного голосования и других аналогичных ресурсов, в которых требуется защищать в первую очередь данные внешних клиентов.
Финансовое направление поменяем на «ценность для бизнеса», так как прямая финансовая выгода от информационной безопасности не очевидна и не всегда легко вычисляется. С другой стороны, правильное позиционирование информационной безопасности на предприятии способно помочь открыть новые направления для бизнеса, ускорить отдельные бизнес-процессы, повысить продуктивность сотрудников и т.п. Это и есть ценность для бизнеса. «Внутренние процессы» заменяем на «операционную эффективность», а «обучение и рост» — на «ориентацию на будущее».
Учитывая зарегулированность информационной безопасности в России, мы добавим еще один показатель, по которому будем оценивать деятельность службы информационной безопасности, — compliance (соответствие требованиям регуляторов). Придерживаясь принципов, заложенных в оригинальную версию BSC, таким образом транслируем эту методику на область информационной безопасности.
Ориентация на заказчика
Пользователи обычно не очень позитивно относятся к подразделению, читающему чужую почту, устанавливающему правила защиты, заставляющему выбирать длинные и незапоминающиеся пароли, блокирующему доступ к разным нужным сайтам и т.п. А так как именно от пользователей зависит, насколько эффективно будет работать программа информационной безопасности в компании, нужно иметь возможность оценивать деятельность подразделения информационной безопасности с этой точки зрения.
Помимо классического показателя «уровень удовлетворенности пользователей», в данной области BSC измеряется и ряд других параметров (см. табл. 1).
Самый важный критерий оценки — партнерство с бизнес-подразделениями, без которого невозможно понять их потребности, уяснить, какие проекты запускает бизнес и как их защитить. Невозможно выстроить партнерские отношения для повышения защищенности бизнеса. Партнерство с бизнес-подразделениями обычно реализуется путем создания специальных управляющих комитетов, на заседаниях которых обсуждаются вопросы совместной деятельности, бюджетирования проектов, оценки их эффективности и т.п.
Второй важнейший критерий — выполнение проектов, ориентированных на бизнес. Один и тот же проект в зависимости от формулировки может быть либо исключительно внутренним для службы информационной безопасности, либо ориентированным на бизнес. Возьмем, к примеру, такой часто реализуемый службами информационной безопасности проект, как внедрение межсетевого экрана. В такой постановке эта задача никому не интересна, но если говорится о защите Internet-банкинга, то это проект, ориентированный на бизнес-задачу. Наличие таких проектов и определяет уровень проникновения службы информационной безопасности в бизнес и ориентированность на заказчика.
Следует заметить, что служба информационной безопасности — это не «черный ящик», не подразделение, которое делает нечто на свое усмотрение; это служба, работающая в рамках бизнес-стратегии предприятия и нацеленная на пользователей. И она должна
реагировать на их потребности и запросы. Для контроля ситуации и был введен критерий «реакция на запросы бизнес-подразделений», который при работе с внешними заказчиками позволяет отследить реакцию на их запросы. Отслеживать выполнение SLA необходимо в первую очередь по отношению к внешним заказчикам, с которыми заключается соглашение об уровне обслуживания (что в области информационной безопасности у нас пока редкость).
Ценность для бизнеса
Измеряя ценность для бизнеса, мы должны оценить, как топ-менеджмент (включая совет директоров) относится к информационной безопасности. Мы должны научиться оценивать вклад службы информационной безопасности в достижение целей компании, синергию, управление инвестициями в информационную безопасность, получение ценности, прямую финансовую выгоду (если возможно) и т.п.
Это один из самых непростых для информационной безопасности показателей, так как именно тут специалисты в этой области всегда были не на высоте и не могли продемонстрировать, что же они дают бизнесу, какая от них польза и что они вообще несут пользователям, кроме препятствий. Однако и тут есть подходы, которые помогают этим специалистам (см. табл. 2). Например, управление инвестициями — давно известная и хорошо проработанная дисциплина. Есть и методики оценки инвестиционной привлекательности проектов, которые могут быть перенесены и на область информационной безопасности. Достичь синергетического эффекта также возможно, например, за счет отказа от дублирования систем, интеграции отдельных частей в единое целое можно снизить затраты на выполнение каких-либо задач, капитальные и операционные затраты и т.п.
Содержание таблицы 2 может вызвать вопросы. Например, неочевидна связь между безопасностью и выручкой от запуска нового канала продаж. Но если рассмотреть проект по запуску Internet-банка, то станет понятно, что этот новый канал продаж не может обойтись без решения вопросов защиты — злоумышленники быстро завладеют виртуальными деньгами клиентов банка, и он не только не заработает, но и понесет убытки, связанные с финансовыми потерями и ударом по репутации, не говоря уже об оттоке клиентов к конкурентам (вторая и третья строки таблицы).
Операционная эффективность
Обеспечив операционную эффективность, служба информационной безопасности достигает всех остальных целей в других направлениях. Неэффективное достижение целей может поставить крест на всех начинаниях. В понятие «операционная эффективность» включено несколько важных составляющих: процессный подход, адаптивность и реагирование на изменения, управление проектами и внутренняя безопасность (не должно быть сапожника без сапог).
Эффективность процессов деятельности службы информационной безопасности можно определить, измеряя частоту сбоев системы защиты, проверяя соответствие стандартам ISM3 или ISO 27001, оценивая уровень зрелости процессов управления информационной безопасности, их скорость и качество. Адаптивность и способность реагировать на изменения измеряются временем инициации проекта после первого запроса со стороны бизнеса, скоростью реакции на новые регулятивные требования, а также вычислением времени, необходимого на внедрение и настройку системы защиты для нового бизнес-приложения. В качестве одного из критериев оценки такого параметра, как «внутренняя безопасность», можно использовать уровень текучки кадров в службе информационной безопасности. Очень важно внедрить методики управления проектами, которые позволят полностью контролировать все работы на благо бизнес-подразделений и выполнять их с заданным результатом, в срок и в полном соответствии с бюджетом.
Ориентация на будущее
Оценить, насколько служба информационной безопасности ориентирована на операционную деятельность и готова ли поддержать проекты, инициируемые бизнесом, можно, используя показатель «ориентация на будущее». В нем можно выделить три основных параметра: кадры, информация и культура, каждый из которых может быть измерен по-своему. Например, кадры можно оценить по проценту руководителей, в оценку эффективности деятельности (Master of Business Objectives, MBO — измерение эффективности деятельности каждого сотрудника) которых включены пункты по информационной безопасности; а также по проценту сотрудников службы информационной безопасности, имеющих планы профессионального развития, и по проценту трудовых договоров, включающих пункты о соблюдении политики в области информационной безопасности, коммерческой тайны и правил конфиденциальности.
Культура информационной безопасности может быть измерена числом сотрудников, понимающих миссию службы, отвечающей за эти вопросы, а также индексом зрелости этой культуры и числом задокументированных лучших практик или историй успеха в области информационной безопасности. Наконец, критерий «информация» может быть оценен по числу компаний, с которыми заключены контракты, числу систем защиты на аутсорсинге, факту наличия архитектуры информационной безопасности, уровню стандартизации процессов, технологий и систем, а также по соотношению «будущее развитие/текучка» в бюджете службы информационной безопасности.
Ориентация на регуляторов
Отличительной особенностью предложенной интерпретации сбалансированной системы показателей является появление пятого измерения, ориентированного на регуляторов, которые играют очень большую роль в деятельности служб информационной безопасности в России. Необходимо соблюдать СТР-К, PCI DSS, требования по защите персональных данных и коммерческой тайны, стандарт Банка России СТО БР ИББС, отраслевые требования и многое другое. Все эти требования необходимо не только выполнять, но и зачастую приглашать регуляторов-аудиторов для независимой проверки.
В качестве критериев оценки данной перспективы можно выделить два: соответствие стандартам и взаимодействие с регуляторами. Первый можно измерить по факту успешного завершения аудита на соответствие международному стандарту PCI DSS, получению аттестата ФСТЭК на соответствие информационной системы требованиям СТР-К, получению сертификата соответствия международному стандарту ISO 27001. Второй критерий может оцениваться по-разному, например, по числу претензий регулирующих и надзорных органов, числу проверок с их стороны и т.п.
Как трансформироваться?
Любая трансформация начинается с осознания задачи — существующих проблем, о которых мы уже вскользь поговорили — недооценка службы информационной безопасности топ-менеджментом, советом директоров, руководителями бизнес-подразделений, рядовыми сотрудниками, внешними пользователями и т.п. И, разумеется, должно быть желание меняться — без этого все дальнейшие шаги будут не просто сложно реализуемыми, а совершенно бессмысленными.
Второй, не менее важный, но более сложный этап заключается в понимании бизнес-контекста — того бизнес-окружения, в котором приходится работать службе информационной безопасности. Какие цели стоят перед всей компанией? Какие приоритеты у бизнес-подразделений? Какие инициативы запущены в этом году и запланированы на следующий? Чего опасаются акционеры и иные заинтересованные лица? Какова ситуация в экономике страны и в конкретной отрасли? Планируется ли экспансия в новые районы или новые рынки? Ответы на эти вопросы помогут понять, чем живет компания и как соотнести с этим знанием свою деятельность.
Мы знаем, куда идти, но знаем ли мы, где находимся? Хватает ли у нас ресурсов? Достаточно ли людей и компетенций для движения в правильном направлении? Для оценки текущей ситуации можно воспользоваться моделью зрелости информационной безопасности, которая покажет положение службы информационной безопасности. Таких моделей существует несколько — от публично доступной SEI CMM до платных моделей Gartner, Forrester и других аналитиков.
Поняв, где мы находимся и куда нам нужно идти, мы выстраиваем оптимальный путь (дорожную карту) нашего движения. В качестве примера приведем фрагмент такой карты, спроецированной на систему сбалансированных показателей (см. табл. 3).
В данном примере мы видим ряд целей, показателей для них, выбранных целевых значений, а также инициатив для их достижения. Что интересно, в данной дорожной карте почти нет пунктов, традиционных для служб информационной безопасности: внедрения антивируса, системы управления паролями, создание Security Operations Center и т.п. Все это внутренняя «кухня», которая мало интересна за пределами службы информационной безопасности; к тому же она никак не связана с бизнес-контекстом.
BSC в помощь
Сбалансированная система показателей — это инструмент, который может помочь оценить свою деятельность не только организациям. Его полезно применять и службам информационной безопасности, которым необходимо оценивать не только эффективность своей работы с различных точек зрения, но и демонстрировать свою ценность топ-менеджменту, интегрируясь в структуру предприятия и больше не выглядя «белой вороной». Особенно хорошо этот подход работает, если BSC уже активно используется на предприятии. В противном случае он поможет продемонстрировать ценность информационной безопасности топ-менеджменту организации.
Алексей Лукацкий — бизнес-консультант по безопасности компании Cisco; alukatsk@cisco.com
Табл. 1. Оценка деятельности службы информационной безопасности с точки зрения пользователей
Табл. 2. Оценка деятельности службы информационной безопасности с точки зрения ценности для бизнеса
Табл. 3. Пример дорожной карты