Коллеги, по поводу обоснования затрат и донесения до руководства, что это нужно. У вас есть автомобили? А подушка безопасности? Какова вероятность, что попадёте в ДТП? Хотелось бы в этом случае сидеть в автомобиле, где есть полный комплект мер безопасности? Так же и с бизнесом...есть критичная информация, потеря которой может «покалечить» и потребуется много времени и денег на «выздоровление» или вовсе «привести к летальному исходу». Причём это далеко не всегда зависит от атак из вне, хватает «водятлов» и внутри. Поэтому всякий раз, когда руководство противится тратить деньги на защиту - спросите, готовы ли они даже с вероятностью 5-10% лицезреть как их бизнес «покалечится» или «издохнет». А для оценки в помощь: 1. Выявляем КИ и делим её на 2 типа («покалечит» и «летальный исход») 2. Берём у фин.дира или даже у самого собственника инфу о хотябы примерной стоимости бизнеса (точную цифру вам вряд ли кто даст). 3. Считаем в % вероятность наступления «неблагоприятных ситуаций» (утечка, атака и т.д.) 4. Считаем сумму этого % от стоимости бизнеса. Если сумма потерь больше суммы затрат на защиту - вменяемый Руководитель примет предложение по ЗИ.
P.S. Это так... «на коленке» сварганил, к этому расчету можно подойти более тщательно, чтобы нокаутировать аргументами и цифрами руководство и финансистов, яро урезающих всевозможные расходы на то, чего не понимают.
Всем хороших выходных!)))
Вообще забавно с финансистами и прочими бухгалтерами. Первые для того, что бы финансировать, а не препятствовать финансированию, вторые к финансированию вовсе отношения не имеют. Но и те и другие пытаются влиять на производственные и любые другие подразделения, причём обычно деструктивно. Особенность российского менеджмента - центр расходов вертит центрами доходов.
Возвращаясь к эффективности, на стадии проектной инициативы посчитать эффективность невозможно, предположить при наличии статистики можно. Максимум - это показать предполагаемый возврат инвестиций, но и для этого нужно оперировать не гипотетическими а понятными руководству цифрами и параметрами. Вероятность обычно не работает, особенно, если речь про хакеров или регулятора, она всегда 50/50, и шансы получить финансирование такое же. Итого, выходит, что руководители по вашей оценке скорее не вменяемые, хотя у них просто хороший аппетит или ROI строили вокруг мифической КТ или штрафов РКН, а не вокруг понятного value.
