Основная мысль такая - нас должны воспринимать не просто как админов, настраивающих непонятные железки, или людей, пишущих непонятные невыполнимые документы, а как людей, понимающих специфику бизнеса и этому бизнесу помогающие.

Соответственно, грамотное управление киберрисками, эффективное расходование бюджета на ИБ сокращает недополученную прибыль и позволяет бизнесу получать больше денег.
Больше денег у бизнеса – больше денег у ИБ, выше зрелость.

На КодИБ в Воронеже мы с коллегами эту тему мы в рамках моего доклада активно обсуждали и составили небольшой план, как процессы ИБ перевести в деньги.

Последовательность достаточно простая. 1. Определить объект защиты(провести всестороннюю инвентаризацию) 2. Оценить угрозы 3. Определить контрмеры 4. Самое главное - оценить, насколько эти контрмеры дорогие. 5. Далее разработать стратегию внедрения контрмер 6. Наладить непрерывный процесс управления рисками

Причем при оценке финансовой рентабельности контрмеры некоторые забывают оценить внутренние трудозатраты, а оценивают только работу подрядчиков

И что самое важное - в одиночку мы это не сделаем. При выполнении подобных мероприятий надо обязательно привлекать бизнес-подразделения, владельцев процессов.

Привет, а где тут эффективность? Вижу расходы и процессы.

Система/средство/мера ИБ не является инструментом заработка, но она помогает достичь приемлемого уровня риска, который может быть выражен в деньгах. Эта последовательность поможет определать текущее состояние и текущий уровень риска, определить приемлемый и составить дорожную карту, как его достичь.

Принцип разумной достаточности :)

Добавляем в стройную картину требования регуляторов - и получаем в чистом виде часть "центра затрат".

Что понимается под эффективностью, поясните, пожалуйста.
Есть ли формула подсчёта эффективности? Поделитесь, пожалуйста.

Оценку последствий несоответствия требованиям регуляторов, выраженную, в первую очередь, в деньгах, тоже, естественно, надо оценивать.

Как родилась эта тема. На многих конференциях КодИБ возникал вопрос как обосновать руководству покупку того или иного СЗИ. И что руководство мыслит в первую очередь деньгами. Эффективность здесь - не выраженная в каком-то числе величина. Под эффективностью в данном случае мы понимаем наглядное доказательство того, сколько денег компания может потерять при реализации того или иного риск-сценария, и потери какого количества денег она может избежать использовав ту или иную контрмеру. При этом контрмера - не обязательно закупка сзи, это может быть, например, изменение бизнес-процесса без доп затрат на средства вычислительной техники или ИБ.

Вот и расскажи, как это считается

А проблема какая решается? Как продать проект ИБ руководству? То, что после более точных подсчетов стоимость проекта снизится — это хорошо, это сделает проект более конкурентным среди ему подобных, но не более того. Доказательств наглядных никаких не будет, они будут такими же гипотетическими, как и гипотетические потери бизнеса, которые, как вы правильно заметили, он может понести (ключевое слово может). Напоминает старую добрую продажу страха, хотя почему напоминает... Но вернёмся к эффективности, про неё что-нибудь будет или можно расходиться?

"Может" измеряется вероятностью, так что страх вполне себе измерим. А что, кстати, в вашем понимании эффективность?

Сегодня ваш звёздный час, не мой.

Здравствуйте!
Как ИБ может приносить реальную прибыль, когда денег на ИБ нет ?

По-хорошему, в расчетах долна быть учтена средняя вероятность наступления инцидента, взять ее можно из статистики инцидентов. По-хорошему они должны быть разделены по тяжести последствий. Но это чуть меньше, чем невозможно. Или нецелесообразно для закупки систем.

"Самое главное - оценить, насколько эти контрмеры дорогие" - что значит дорогие? 100 000 рублей - это дорогие? А 100 000 $ - это дорогие или ещё нет?