Перейти к содержанию

Как измерить эффективность своей СБ?


Рекомендуемые сообщения

Уважаемые господа собственники и предприниматели! У вас есть СБ, у вас богатый опыт в области обеспечения безопасности своего бизнеса. Наличие СБ стоит денег, стоит немало. А эта стоимость достаточная для вашей безопасности, когда вы сокращаете СБ у вас что-то прибавляется, кроме денег, и что вы теряете. Например, безопасность терятете? Умете вы измерять эффективность вложений в свою СБ? Поделитесь своими мыслями и практикой.

Ссылка на комментарий
Поделиться на другие сайты

  • Ответов 168
  • Создана
  • Последний ответ

Думаю, что вряд ли кто нибудь из тех кому задан вопрос, сможет конкретно сказать: потратил на сб ........руб. получил(сберег, предотвратил....) ......руб.

Прямой зависимости вообще нет. Понимание, к сожалению(иногда и для самой сб), происходит уже на этапе "потерь".

В России это обусловленно рядом причин, среди которых одна сформулированна в пословице про "русский гриль ".

Причем часто попытка обосновать затраты, иногда расценивается как набивание себе цены. Это тоже обусловленно их(предпринимателей и бизнесменов) опытом, т.к. есть и будут эсбешники, которые для оправдания себя сами создают проблемы.

Так, что как бы это не выспренно звучало, ваша(наша) миссия, задача в воспитании "правильного" отношения бизнеса к сб.

Ссылка на комментарий
Поделиться на другие сайты

Очень грубо и ориентировочно можно оценить по числу реализованных угроз и по соотношению реализованных рисков к их максимальной цене.

Но это только для определенных направлений деятельности, и только в части безопасности.

Что касается БР, то оценка, пожалуй, только по благодатной улыбке босса и размеру бонуса :)

Ссылка на комментарий
Поделиться на другие сайты

Как к примеру оценить работу системы безопасности если злоумышленник отказался от своих намерений увидев уровень защищенности объекта своего интереса? Или еще приземленнее: грабитель не стал грабить обменник ,хотя намеревался это сделать, увидев, что тот качественно защищен. Как в таком случае оценить работу СБ?

Ссылка на комментарий
Поделиться на другие сайты

Завести эталонный обменник - без охраны. И вести статистику...:)))

 

Риски-то все равно известны. И если риски нереализованы - это уже плюс, с точки зрения владельца. Другое дело, как ему доказать, что это заслуга СБ...

 

Организуйте контролируемое нарушение. Заодно сами слабые места увидите. Правда, по полной программе это накладно получится, но может того стоит.

 

И постоянный мониторинг и ведение статистики потенциальных угроз. Но это совсем накладно будет, если у вас не атомный реактор под охраной...

Ссылка на комментарий
Поделиться на другие сайты

СБ, КР, ДР - это прежде всего инструмент по добыванию информации. Результатом работы этих структур, по моему мнению, на 80-90 процентов является информация. Если с этим соглашаться, то СБ, КР, ДР должны принимать участие с момента постановки бизнес-цели, работать на подготовку и принятие бизнес-решения, а также на проверку полученного результата.

Ссылка на комментарий
Поделиться на другие сайты

"СБ, КР, ДР - это прежде всего инструмент по добыванию информации. Результатом работы этих структур, по моему мнению, на 80-90 процентов является информация. Если с этим соглашаться, то СБ, КР, ДР должны принимать участие с момента постановки бизнес-цели, работать на подготовку и принятие бизнес-решения, а также на проверку полученного результата."

 

Совершенно верно. Но вот каким образом измереть эффективность данных структур? Вопрос остается открытым. И что интересно никто пока четкого предложения не высказал.

Ссылка на комментарий
Поделиться на другие сайты

Возможно, не очень корректно (или слишком абстрактно) задан вопрос насчет оценки эффективности.

 

Если посмотреть по аналогиям, на любые другие поддерживающие основной бизнес процессы, увидим два крайних варианта:

 

1) "Мешок денег на мешок услуг". Заказчик не очень представляет, что именно ему надо, конкретные услуги не выделены, метрики не определены, работа делается "по понятиям". Оплата - тоже :)

2) Определены конкретные услуги, все услуги имеют метрики, измеримые параметры. Как сейчас модно, выделены процессы (кстати, иногда и правда полезно)

 

В первом случае оценить эффективность в случае КР/БР достаточно сложно. Можно только защиту периметра оценить, по числу состоявшихся "прорывов"

 

Во втором случае все параметры задаются заранее. Остается их померять. А сначала убедить заказчика/владельца, что именно эти услуги ему нужны, именно с таким соотношением цена/качество, и именно эти услуги снизят его риски на такую-ту величину в вечнозеленых президентах.

 

Т.е., возможно, имеет смысл поставить оценку с головы на ноги - не оценивать эффективность заранее неопределенной деятельности, а заранее такую деятельность формировать - вместе с методикой оценки.

 

Ссылка на комментарий
Поделиться на другие сайты

Заархивировано

Эта тема находится в архиве и закрыта для дальнейших ответов.


×
×
  • Создать...