На главную страницу
На главную страницу Карта сайта Поиск по сайту Обратная связь
На страницы учебного центра
Организационно-правовые вопросы
Экономическая безопасность
Безопасность КИС
Защита речевой информации
Техническая защита объектов
Сертификация и лицензирование
Кадровая безопасность
Преступления в сфере высоких технологий
Нормативные документы
Полезные ресурсы

Безопасность – бесполезная трата денег или их выгодное вложение?

 

И. М. Гостев

igor_i13@mail.ru

(окончание)

 

Оценка вероятности угроз

Угрозы различаются по своей природе, а потому и вероятность их наступления различна в различных условиях. Важно понимать, что не всегда возможно оценить вероятность проявления той или иной угрозы, однако для большинства из них такая оценка реальна.

Естественные природно-климатические угрозы поддаются достаточно объективной оценке на основании накопленного массива данных о сроках и периодах их наступления. Но, как показали события последних лет на Кубани, в Сибири, на Северном Кавказе, нельзя исключать и возрастающую угрозу подобных катастроф, вызванных как природными факторами, так и деятельностью, а зачастую бездеятельностью человека. В этом случае статистическая оценка прошлых лет должна быть скорректирована эмпирическим путем с поправкой на возможную динамику событий.

Внешние политические и экономические угрозы также поддаются оценке специалистов, но с меньшей вероятностью. В этом случае погрешность необходимо учитывать в той или иной степени, в зависимости от направления бизнеса.

Внешние и внутренние угрозы, вызванные деятельностью конкретных людей, как криминальные, так и конкурентные, поддаются непосредственной регистрации, оценке и регистрации их систематичности. Здесь при работе специалистов погрешность оценки вероятности их проявления минимальна.

Частота проявления угроз может быть оценена соответствующими коэффициентами по специальной таблице (табл. 2).

Табл. 2

Частота проявления
Коэффициент
Более одного раза в день
1
Один раз в день
0,9

в три дня

0,8

в неделю

0,7

в две недели

0,6

в месяц

0,5

в четыре месяца

0,4

в год

0,3

в три года

0,2
Менее одного раза
в три года
0,1

Допуская вероятность и даже необходимость эмпирического метода оценки, для уменьшения погрешности расчетов до допустимого предела необходимо оценивать весь возможный комплекс угроз в целом. Таким образом, оценка уровня угрозы – производное от показателя вероятности наступления угрозы и планового значения степени риска самостоятельного значения практически не имеет по рассмотренным нами причинам.

Получив коэффициент вероятности наступления различных угроз ( z ) и применив его в расчетах оценки уровней риска, мы корректируем рассмотренные нами формулы и получаем значение В z – суммы рисков для существования бизнеса при неблагоприятных ус ловиях с учетом вероятности их наступления:

B z = b 1 z + b 2 z + b 3 z + ... + b n z .

Это позволит нам получить наиболее объективный показатель P z, определяющий возможную сумму потерь при неблагоприятных условиях с учетом вероятности наступления угроз.

P z = B z · W.

Теперь, поняв, насколько возможные убытки превышают предел допустимого риска, то есть угрожают самому бизнесу, наглядно, на конкретных финансовых показателях увидев, что при наступлении комплекса угроз до банкротства недалеко, необходимо определить требуемый комплекс мер безопасности.

Выбор методов защиты

Определение мер по обеспечению безопасности дело настолько интимное, что остается в руках каждого хозяина бизнеса. Однако, как и в сексе, технику этого дела самому выдумывать бесполезно, ни к чему изобретать велосипед, а экспериментировать даже вредно. Интимным в нашем случае остается только сам процесс выбора и механизм реализации, а средства и методы останутся для всех одинаковыми, хотя субъективного подхода избежать не удастся.

Казалось бы, очевидно наличие прямой зависимости между размерами выделяемых средств на защиту и ее эффективностью, но не факт, что созданные на неограниченных средствах системы безопасности эффективно работают. К сожалению, в этом смогли убедиться многие. Грамотно построенные системы зачастую значительно дешевле безграмотных, но при этом на порядок эффективнее последних.

Этой теме посвящено самое большое количество книг и публикаций в специализированных журналах. Не будем здесь заниматься рекламой конкретных технических средств или систем, а остановимся лишь на основных принципах, которые должны лежать в основе выбора средств и методов защиты:

  • законность;

  • системность, динамичность и опережающее развитие;

  • приоритетность задачи обеспечения безопасности;

  • структурная оптимизация, комплексность подхода и интеграция систем;

  • максимально достижимый уровень защиты при предельно допустимых затратах;

  • абсолютная практическая и экономическая эффективность.

Прежде всего, необходимо понимать, что система обеспечения безопасности хозяйствующего субъекта – это совокупность сил и средств, направленных на создание атмосферы безопасности, с учетом правового, финансового, информационного и физического обеспечения на основании политики в области безопасности, принятой на предприятии.

Оценка экономического эффекта

Эффективность – понятие многогранное и взаимодополняющее. Так, если эффективность использования инфраструктуры безопасности зависит от успешной реализации стратегии бизнеса, то эффективность бизнеса напрямую зависит от успешно работающей службы безопасности предприятия.

Если хозяйствующий субъект создает полноценную систему безопасности на стартовом отрезке своей деятельности, то она является одним из мощных инструментов скорейшего достижения желаемого результата, и предотвращение потерь выступает лишь одной из функций системы. Если же компания уже заявила о себе на рынке и добилась определенных результатов, то создаваемая вдогонку система безопасности первоначально должна рассматриваться именно как инструмент для решения задачи по снижению рисков и предотвращению потерь. И не стоит требовать от нее невозможного, на наращивание «мускулов» потребуется время.

К сожалению, рассматриваемые сегодня в литературе по безопасности методы оценки эффективности систем безопасности или их отдельных элементов чрезвычайно усложнены и при этом страдают некоторыми погрешностями с точки зрения экономического анализа. Мы не будем изобретать велосипед и обратимся к методике оценки эффективности внедрения ERP-систем, очень близкой нам по своим задачам, лишь несколько адаптировав ее к нашим показателям.

Для того чтобы оценить эффективность внедрения новой системы обеспечения безопасности, необходимо использовать показатели возврата инвестиций (ROI – return on investment), совокупной стоимости владения (ТСО – total cost of ownership) и анализ выгодности затрат (СВА – cost-benefits analysis).

Совокупная стоимость владения (ТСО) – один из ключевых показателей, включающий в себя как первоначальные затраты на внедрение, так и затраты на эксплуатацию. Оценивая лишь расходы, этот показатель обычно и служит препятствием квнедрению новых систем. Именно вследствие этого он и не способен дать полного представления о целесообразности внедрения нового. Чем больше возможностей предполагает система, тем, как правило, будет выше ее ТСО. Некоторые современные авторы, лукавя, предлагают в расчетах не учитывать затраты на эксплуатацию, пытаясь несколько снизить совокупную стоимость. Стоит ли обманывать себя?

Именно для объективной оценки мы и должны получить показатель возврата инвестиций (ROI) по конкретной внедряемой новинке, то есть мы должны определить рентабельность системы. В упрощенном виде формула эта широко известна:

ROI = (Выгоды от внедрения системы – ТСО) / ТСО· 100 %.

В нашем случае «выгоды от внедрения системы» – это уже рассчитанный нами показатель P z , определяющий возможную сумму потерь при неблагоприятных условиях с учетом вероятности их наступления, что, казалось бы, достаточно. Предотвращенные потери можно и нужно рассматривать как экономический выигрыш предприятия – прибыль от внедрения системы безопасности.

Однако, объективности ради, заметим, что выгоды предприятия будут не только в предотвращении потерь, но и в сопутствующем этому экономическом эффекте, который будет достигнут благодаря улучшению взаимоотношений с клиентами, увеличению объема продаж, уменьшению времени на исполнение заказов, снижению производственных и операционных затрат, уменьшении инвестиций в складские запасы и пр. Эти выгоды можно будет ощутить со временем, а рассчитать их вам поможет планово-экономическая служба предприятия. В связи с неопределенностью сопутствующего экономического эффекта введем его в формулу под символом «Х».

Таким образом, в окончательном виде эта формула показателя возврата инвестиций в системы безопасности (ROIсб ), простая и удобная в практическом применении приобретает стройный и законченный вид:

P z + Х – ТСО

ROI сб = ------------------------ · 100 %.

ТСО

 

Один из примеров эффективного применения технических средств – антикражевые системы в магазинах самообслуживания. С их внедрением продавцы сумели минимизировать ущерб от краж из торговых залов и улучшить собственную работу. Статистика показывает, что в этом случае товарооборот книжных магазинов возрастает в среднем на 30 % за счет минимизации потерь от краж, переориентирования продавцов на помощь покупателю в консультировании и поиске необходимых книг, более рациональной планировке торговых площадей. Этот показатель был получен методом статистического анализа еще до публикации первых методик, однако он красноречиво свидетельствует об общих закономерностях и конкретных результатах внедрения систем обеспечения безопасности.

Казалось бы, предложенная формула универсальна, однако мы не рассмотрели такой показатель, как анализ выгодности затрат (СВА) . У каждого руководителя предприятия, владельца бизнеса (по крайней мере, он так считает) всегда существует альтернатива по снижению рисков и обеспечению безопасности. Одни считают панацеей страхование, другие, как мы уже говорили в самом начале, «крыши» из «братков» или сотрудников силовых ведомств.

Конечно, вольному воля. Однако показатель СВА может наглядно продемонстрировать и подсказать правильный путь. Пусть каждый посчитает самостоятельно возврат инвестиций от вложения денег в инфраструктуру безопасности и в криминальную «крышу» и сделает вывод сам.

В период первоначального накопления капитала многими мелкими и средними предприятиями процент средств, направленных на обеспечение безопасности, сокращался до минимума с целью наращивания капитала, что, может быть, и было оправдано в некоторых случаях. Но при этом риск потери всех имеющихся средств увеличивался с геометрической прогрессией. Именно поэтому из первой предпринимательской волны «на плаву» остались немногие, да и из оставшихся «в большое плавание» отправились единицы.

Однако до сих пор для многих руководителей убытки от воровства являются плановыми показателями хозяйственной деятельности, которые они покрывают повышением себестоимости продукции. Неужели они до сих пор не понимают, что тем самым они снижают ее конкурентоспособность, а следовательно, и собственный финансовый результат? Что это: незнание, как бороться с воровством, или элементарная жадность?

Хочется надеяться, что для многих читателей теперь очевидно, что создание и совершенствование системы обеспечения безопасности хозяйствующих субъектов – существенный элемент оптимизации бизнес-процессов, дающих значительный экономический эффект.

 

"Защита информации. Кофидент", №5, 2003

| Начало | Новости | О проекте | О ЦПР | Правовая информация | Сотрудничество | Наши партнеры | Координаты |

Copyright © 2004-2016 ЧОУ ДПО «ЦПР». Все права защищены
info@cprspb.ru