コンプライアンスの状況には、もう少し焦点が必要です。 明らかに、国家情報システムの保護に関するFSTECの17次は純粋にロシアの発明ですが、広大な祖国のすべての州および地方自治体の機関に適用できます。 そして、自動化されたプロセス制御システムの情報保護に関する法律は、世界の多くの国にありますが、それでも互いに異なっています。 FSTECおよびNERC CIP規格、ISA / IEC 62443規格、および重要なインフラストラクチャ向けのQatari安全規格の31次の要件は本質的には同じですが、適合性評価などの点で異なるため、実装のために提案されたソリューションは既に独自のものである必要があります詳細。
しかし、ここでは、現在の困難な経済状況において、 会社の経営陣はコンプライアンスに関心がありません。コンプライアンスが満たされない場合、罰せられる場合はそれほど重要ではないからです。 そのような会社の存続の問題と比較してあまりない。 そして、脅威は時々神話的です。 そして確かに、彼らは彼ら自身や取引相手の破産の脅威、信用の拒否、通貨の変動、その他のビジネス指向の脅威と比較してそれほど怖くない。 したがって、情報セキュリティ技術の進歩を促進する3番目の要因である経済学と金融が前面に出てきます。 セキュリティソリューションが会社の利益の増加、コストの削減、顧客ロイヤルティの向上、製品のリリースの加速、および他のビジネスタスクの達成を支援する方法を示すことができるのは、彼らの助けによってです。
あなたがそれについて考えるなら、経済的/財政的正当化は置き換えられず、むしろ以前の2つを補完します。 さらに一歩進めたいだけです。 たとえば、DDoS攻撃。 その結果を単に怖がらせることができます(どの結果は言うまでもありません)、またはDDoS攻撃が何につながるかを管理者に考えて説明することができます。 ダウンタイムへ! そして、ダウンタイムはお金です。 失われたお金(ダウンタイム中にスタッフに給与を支払います)。 未稼得のお金(ダウンタイム中は、サービスを提供したり商品を販売することはできません)。 追加の費用(システムを攻撃前の状態に復元するため)。 そして、ロシア銀行の382-Pの失敗は何ですか? これは、銀行監督による違反を排除するための命令であるだけでなく、潜在的に、活動の停止、さらには銀行サービスを提供するライセンスの取り消しでさえあります(残念ながら、まだそのような例はありません)。 繰り返しますが、理解できる脅威から、情報セキュリティを金融とビジネスの言語に移すことができました。 また、ISの脅威が正確にビジネス指標に影響を与えるような例は数多くあります。
私たちはお金の言語で情報セキュリティについてビジネスと話すことができたので、この言語を製品ラインに移行することができます。 製品の技術的特性から経済的効果の方向に逃れます。 これはほんの一例です。シスコからのインターネットアクセスを保護および制御するためのソリューションです。 スケールの片側には、...いいえ、訪問したサイトの脅威の数、Webメールで防止されたリークの数はありません。 ビジネスの観点から情報セキュリティについて話している。 したがって、私たちは生産性について、または仕事のために不必要なサイトを訪問することによる損失について話します。 また、著作権侵害の法律に違反し、会社を犠牲にして海賊版コンテンツをダウンロードすることもできます。これにより、インターネットチャネルが詰まり、顧客がWebサイトにアクセスしたり、重要なメールを送信したりできなくなります。 そして、これらはすべてお金に変換され、それをスケールの片側に置きます。 Cisco Webセキュリティアプライアンス(WSA)、FirePOWERサービスを備えたCisco ASA、CiscoクラウドWebセキュリティ(CWS)、ISR向けCisco FirePOWER Threat Defenseなど、シスコのさまざまなソリューションから選択できます。 2つの金額を比較し、シスコソリューションに投資することが有益かどうかを理解するだけで十分です。
そして、そのような例はたくさんあります。 シスコの情報セキュリティソリューションを使用することの有効性を経済的に立証するためのさまざまなオプションのデモのために、プレゼンテーションを準備して発声し、YouTubeの企業チャンネルに投稿しました。 シスコのソリューション(Cisco Web Security、ISE、VPN、Cisco Capital、Cisco Email Security、Cisco TrustSecなど)を脅威の観点からではなく示す方法を示す10の異なるシナリオについて説明します(多数と戦っています)。法的要件への準拠の観点からではなく(ここで説明することもあります )、財務効率とビジネスタスクの実装の観点からです。
最後に、私たちの仕事は、情報セキュリティを従来の脅威と規制の観点だけでなく、金融の観点からも見ることです。 「金融収支」の一方には、保護対策の実施の失敗(罰金、ダウンタイム、調査と回収のコスト、顧客の流出)による損失があり、他方には、保護対策の実施から受けるビジネス上の利益(取引サイクルの短縮、地理的拡大、新規販売チャネル、顧客ロイヤルティの成長、収益の増加)。
そして、必要なセキュリティソリューションを取得するだけでなく、社内での成長のためにも、チャンスが大幅に増加します。 経営陣は、ビジネスのニーズを理解しているピアと通信することを常に喜んでおり、インターネットへのアクセスをブロックし、他人の通信を読むだけの人々とは通信しません。 つまり、情報セキュリティは多くの企業でよく認識されています。
PS。 プレゼンテーションへのリンク-http ://www.slideshare.net/CiscoRu/cisco-50704113