Читаем CIO новый лидер. Постановка задач и достижение целей полностью

Постоянно контролируйте мероприятия по безопасности и их стоимость

В заключение, мы хотим еще раз повторить, что безопасность – это процесс, а не состояние. Безопасность – это не цель, которую вы можете достичь. Это нечто такое, к чему вы можете стремиться в постоянно изменяющемся окружении.

Контролируйте все ваши меры в области обеспечения безопасности, прежде всего, для того, чтобы убедиться в том, что они сохранили свою эффективность, а, во-вторых, чтобы убедить себя и всю компанию в том, что они стоят вложенных в них средств. Вам также надо повторять весь процесс регулярно, поскольку риски и цена их снижения быстро меняется. Вы должны быть уверены в том, что вы по-прежнему защищены от самых серьезных рисков самым надежным и эффективным способом. Мы считаем, что очень скоро от большинства компаний правительственные агентства будут требовать информации о статусе своей безопасности. Меры по обеспечению безопасности в компаниях будут становиться все более серьезными и начнут потреблять до 15 % бюджета.

Применяя методы анализа, разработанные в компании Gartner, мы пришли к выводу, что стоимость снижения потерь от успешной атаки по крайне мере на 50 % выше, чем стоимость ее предотвращения. Компании, которые концентрируют внимание на реальных рисках и контролируют программы эффективности снижения рисков, получат самый высокий процент возврата от своих вложений в сферу безопасности. Лучше всего и дешевле всего в долгосрочной перспективе разработать работоспособную программу вместо того, чтобы в один прекрасный момент стать жертвой настоящей атаки.

Нормы отрасли для трат на безопасность и персонал, обеспечивающий ее, может дать представление об уровне расходов на защиту от рисков. Расходы на безопасность в промышленности выросли от 3,3 % ИТ-бюджета в 2001 году до 5,4 % бюджета в 2003 году. Более того, аналитики Gartner предсказывают, что этот процент будет расти вплоть до 2006 года. По мере продолжающегося роста расходов на безопасность многие СЕО будут спрашивать: «Наши расходы на обеспечение безопасности растут на 20 % в год. Улучшается ли ситуация?» Компании, которые увеличивают расходы на безопасность, но не следят за изменяющимися угрозами и не отслеживают показатели атак и защит, будут вынуждены под давлением отграничить или снизить свои расходы на безопасность.

Управление риском для компании, а не только для ИТ, будет частью ежедневных обязанностей нового CIO-лидера. Если вы не научились управлять всеми методиками и процедурами управления риском, то начинайте обучение сегодня. Вы именно тот человек, которому скорее всего придется обучать и вести за собой своих коллег в сфере рисков, связанных с технологией. В то же самое время вы должны активно изучать основную область корпоративного риска, за которую несете прямую ответственность – информационную безопасность. Как управление рисками информационной безопасности, так и управление общими корпоративными рисками очень важно для создания доверия к новому CIO-лидеру.

Представьте на минуту (если у вас достаточно воображения), что вы – CIO компании с многомиллиардным оборотом. Вы только что закончили презентацию плана крупной ИТ-инициативы в одном из бизнес-подразделений на совете директоров. В программе совета был объявлен небольшой перерыв, а вас пригласили остаться поговорить.

После того, как вы подумали, что уже уволены, один из членов совета, глава большого государственного пенсионного фонда, основного инвестора вашей компании, подходит к вам с пирожком в руке и говорит «Отличная презентация».

И не слушая ваших благодарностей, сразу переходит к делу.

«Я все поняла в вашем плане. Он разумен с точки зрения бизнеса. Теперь скажите мне вот что. Расходы на ИТ уже выросли с 7 % до 11 % за последние три года, после того, как вы стали у нас работать. А что мы получили от этого? Я имею в виду, какие реальные выгоды для бизнеса мы получаем от ИТ?»

Быстро! Что вы ответите?

Я думаю большинство CIO предпочтут две недели провести дома у СЕО, налаживая его домашнюю компьютерную сеть, нежели оказаться в подобной ситуации.

Есть ли у вас убедительный и исчерпывающий ответ на вопрос акционеров именно в этот момент? Новый CIO-лидер просто обязан иметь его.

Даже если ваши расходы на ИТ снизились, вам все равно необходим сжатый и четкий ответ, который бы демонстрировал ценность ИТ для бизнеса в вашей компании. Если снижение расходов на ИТ – ваш единственный аргумент (концентрация на снижении издержек, а не на предоставлении реальных выгод), то у вас будут проблемы, поскольку естественным будет предложение продолжить снижать их дальше.

На самом деле, то, о чем мы говорим – готовы ли вы к ответу на запрос акционеров о ценности ИТ? – можно понимать двояко: