Размер имеет значение

Логотип компании
Размер имеет значение
Численность персонала и оборот компании — это далеко не все, что даже теоретически различает малый и крупный бизнесы. Отличий гораздо больше, и в каждой отрасли свои. Например, отношение к вопросам информационной безопасности и технологий.

В рыночной, а значит в конкурентной среде, цели крупного и мелкого бизнесов одинаковы и от размеров не зависят — это получение прибыли. Однако возможности, средства и методы их достижения могут существенно различаться. Да и сам бизнес может быть либо безопасным, либо рискованным. А за безопасность надо платить. И платой здесь становятся накладные расходы, которые уменьшают прибыль бизнеса. Поэтому малый и больший бизнес по-разному реагируют на необходимость нести накладные расходы. Разумеется, крупный бизнес может позволить себе большие траты. К тому же крупный бизнес, как правило, подразумевает соответствующую организацию, с многочисленным персоналом. Но чем больше организация, тем сильнее она бюрократизирована, тем сложнее ей управлять и тем ниже ее подвижность и мобильность.
Когда речь заходит о крупном бизнесе, то появляются свои правила игры. В частности, в вопросах ИБ может представлять интерес не столько аудит информационной безопасности, сколько подтверждение соответствия определенному набору требований со стороны акционеров (если компания собирается выходить на IPO) или регуляторов. Как-то раз, в доверительной беседе, один из представителей крупной телеком-компании посетовал, что его несколько удивляет подход консалтинговых компаний. Им все равно, аудит какой компании проводить. Будь то аудит телеком-оператора, пищекомбината или горно-обогатительного комбината. Методики аудита не специфичны и не учитывают особенностей того или иного бизнеса. Однако более правильный подход к задаче автоматизации предприятия — вначале понять бизес-логику компании, изучить ее бизнес-процессы, выделить информацию, которая в ней циркулирует, понять с помощью представителей копании, какая из циркулирующей информации представляет собой логические блоки или единицы и пр. Не секрет, что в каждой компании бизнес-процессы специфичны. Например, для оператора сотовой связи можно выделить около пятнадцати бизнес-процессов. И в зависимости оттого, как и какая информация проходит по ним, следует решать, какими методами и средствами ее защищать. В то же время в компании, которая занимается сетевой дистрибьюцией, логика прохождения этой информации будет иной. Поэтому универсальную методику придумать нельзя. Каждый бизнес сохраняет свою специфику.

Малые радости

Бывает достаточно зайти на сайт консалтинговой компании, чтобы ознакомиться с набором необходимых требований для прохождения процедуры получения сертификата, скажем, на соответствие ISO 9000. Но особенность малого и среднего бизнеса в том, что ему не нужны формальные процедуры. На своем этапе развития бизнеса у них есть возможность работать, не придерживаясь стандартов и требований, которые поступают от внешнего потребителя, инвестора, аудитора и т. д. Они могут позволить себе работать, следуя сегодняшней логике развития собственного бизнеса.
Однако найти того, кто выполняет функции ИТ-директора в малом бизнесе, крайне сложно. Обычно эти вопросы решает директор — владелец бизнеса. Структура компаний малого и среднего бизнеса достаточно динамична, и ее излишняя формализация, введение завышенных требований стандартов, в том числе и в сфере ИТ, не отвечающих нуждам компании, не только не принесут пользы, но и лишат компанию такого преимущества, как возможность быстро реагировать на условия изменяющегося рынка. Введение внутренних стандартов, уровень и количество которых определяет сама компания, позволит ей играть по своим правилам, одновременно не допуская анархии и бесконтрольности. Главное, чтобы стандарты соответствовали уровню развития бизнеса. Не нужно забывать и о том, что в компаниях малого бизнеса коллектив сотрудников, как правило, более управляем и, можно сказать, вменяем с точки зрения необходимости выполнения различных требований и стандартов.
Кроме того, процедуры сертификации на получение международного стандарта достаточно дорогостоящее мероприятие, что может оказаться не под силу малому/среднему бизнесу. Но стоит заметить, что, как правило, этого им и не надо. А надо в первую очередь понять, что именно происходит в компании, причем за разумные деньги. Для этого важно изначально выстроить взаимоотношения с подрядчиком так, чтобы всю работу по ведению проектов в области ИТ или ИБ в компании можно было бы разбить на логические этапы. И чем они короче и понятнее с точки зрения ожиданий и критериев того, что должно быть на выходе, — тем лучше. Заплатить за один этап, а затем, не принимая на себя обязательства, посмотреть и решить, стоит ли продолжать и платить деньги дальше. И этих этапов может быть до четырех-пяти: понимание, описание, формирование отчета, проектирование и потом уже внедрение системы.{PAID}
В этом случае каждый законченный этап позволяет поменять поставщика услуг, если он почему-то не устраивает заказчика. Во-вторых, на каждом этапе создается логически завершенная картина. И в-третьих, компания может поэтапно оценивать и планировать свои расходы. Когда приходится ввязываться в процедуру по сертификации, то этих этапов как таковых нет: скорее всего, это некая предоплата вначале и остальные деньги по окончании сертификации. Но так как мы уже сказали, что малый бизнес в этом не нуждается, то он имеет возможность экономить деньги и в вопросах ИБ формировать объективную картину безопасности для себя, а не для инвесторов.

Мотивация реальная и придуманная

Теоретически инициатива проведения аудита ИТ-систем или ИБ-защиты в малых и средних компаниях может исходить от управляющего или владельца бизнеса, то есть от тех, кто понимает и оценивает риски от угрозы. Например, компания построила корпоративную локальную сеть, но по каким-то причинам сэкономила на защите сервера. Через некоторое время выяснилось, что машина была зомбирована вредоносными программами и через нее стали пропускать спам, породивший огромный трафик. В итоге компании пришлось оплачивать пришедшие счета. Но представить себе бизнес-лидера, способного так глубоко разобраться в проблеме, чтобы увидеть ее корни в ИТ-инфраструктуре, мне очень сложно. Не всякий ИТ-специалист на такое способен.
Поэтому другая, более реальная мотивация малого и среднего бизнеса — это те, кто уже информированы о каких-либо неприятных событиях, произошедших с другими, а следовательно, решили обезопасить себя. Не надо далеко ходить за примерами, когда в результате проверки соседей (друзей или конкурентов) с компьютера была изъята бухгалтерская документация фирмы. И тогда, на всякий случай, руководство решило обезопасить себя — ведь всегда дешевле защититься, нежели потом пытаться урегулировать последствия.
Но тут и возникает затруднение с реальной оценкой рисков. Дело в том, что методик их оценки, применимых для тех или иных компаний, в российских условиях нет! Существует около десятка наиболее известных методик для расчета рисков компаний. Часть из них может быть применена к оценке рисков, связанных с нарушением информационной безопасности, — оценка информационных ресурсов, выстраивание таблицы рисков, затем на их основе оптимизация рисков, учет остаточного риска и пр. Но проблема в том, что эти методики западные и они работают исключительно в условиях стабильной экономики и общества, предсказуемости выполнения законов. В этом случае можно иметь хорошую статистическую базу и строить прогнозы на будущее. За этими методиками стоит многолетний опыт использования ИТ для бизнеса и соответствующая статистика. В России, не во всех крупных компаниях подобной информации уделяется достойное внимание, а уж в малом и среднем — и подавно. Во-первых, нет понимания стабильности, как рыночной, так и политической. А следовательно, нет стабильности данного бизнеса на протяжении достаточно долгого времени, хотя бы 10–15 лет. Можно подставить какие-то значения в формулы, но поскольку за ними не стоит большой репрезентативной выборки, то методика может не сработать. Поэтому оценка рисков для малого и среднего бизнеса остается крайне важной и непростой темой.
Однако, на мой взгляд, любые результаты всегда лучше, чем информационных вакуум. Даже от условных расчетов можно отталкиваться и совершенствоваться — и это лучше, чем ничего! А потому в сложившихся условиях было бы правильнее говорить не о расчете, а о некотором «предсказании» рисков и, исходя из этого, определять свои приоритеты в вопросах ИТ и ИБ.

Диалог равных

Когда крупный интегратор и крупный заказчик ведут диалог, то в случае конфликтов они могут вступать в разбирательства между собой, кто и в чем виноват. Когда крупный заказчик начинает работать с мелким интегратором, то в определенных вопросах он вынужден допускать его до своих секретов. Но при этом себя обезопасить и защитить он сумеет, а вот как обезопасит себя от давления маленький партнер?
В то же время малый бизнес в качестве заказчика рассуждает с точностью до наоборот. Если крупный интегратор предлагает стандартный пакет услуг, то отношение к малым клиентам будет формальное. Это как в случае, если дома внезапно отключили телефон, а потом придется самому ходить и доказывать свою правоту.
Кроме того, владельцу бизнеса, обеспокоенному его сохранностью, было бы непростительно пренебрегать еще одним аспектом сложностей партнерских отношений! Построение информационной системы связано со значительными внутрикорпоративными работами по выяснению и согласованию технического задания, инсталляции разработанного решения, его настройки, обучению персонала и сопровождению. А значит, чем крупнее заказчик и меньше разработчик, тем больше шансов мелкому быть целиком поглощенным крупным. Специфика ИТ и ИБ только усугубляет данный процесс: поскольку компетенции специалистов уже подтверждены на конкретном проекте, до дальше начинается «охота за головами».
Для того чтобы бизнес крупного интегратора был прибыльным, штат его специалистов должен постоянно отрабатывать поступающие заказы. При этом проекты, требующие явного творческого подхода, как правило, будут неинтересны, так как занимают много времени для поиска решения и не могут принести большой прибыли. Поэтому, чтобы состоялся партнерский диалог, услуги должны предлагать равные по «весу» компании. Таким образом, все эти проблемы свидетельствуют о том, что на рынке складываются предпосылки для особого интеграторского бизнеса. Однако подобных практик на рынке, по крайней мере в явном виде, в изобилии не представлено. Возможно, в силу низкой рентабельности подобных инициатив. Если было бы иначе, то крупные интеграторы непременно заполнили этот рынок и вопрос можно было бы решить форматом управляющей компании. Подобные компании могли бы принять на себя обязательства по выполнению заказа, разложить его на составляющие и привлечь каждом этапе необходимых для этого специалистов из той или иной области.
Идея эта не нова, однако она так и не нашла достойной масштабной реализации на рынке. Разве что отдельные эпизодические примеры с участием экспертов, которые временно остались без крупных проектов. Словом, при наличии спроса со стороны малого и среднего бизнеса внятных решений так и не нашлось. Но природа не терпит пустоты, и природа бизнеса тоже. Решения непременно найдутся, и, скорее всего, в современных условиях развития бизнеса и технологий они будут опираться на возможности облачных сервисов. С экономической точки зрения публичные облака способны решить множество проблем в ИТ-нфраструктурах SMB-сегмента. Однако вопрос опять упирается в оценку вероятных рисков, исходящих из облаков, или в решение бизнеса пренебречь ими.

Опубликовано 25.02.2013

Похожие статьи