Benefits Dependency Network Валентин Сысоев Information Security Manager 1. Вступление Чтобы любой проект или инициатива информационной безопасности была успешной, необходимо полное понимание и поддержка бизнеса. Для этого нужно предоставить руководству веские, желательно финансовые аргументы, которые покажут финансовое обоснование и выгоды от внедрения той или иной инициативы в информационной безопасности. Для этого используются такие методы как ROSI (Return on Security Investment) или TCO (Total Cost of Ownership). ROSI - используется для расчета финансовой отдачи от инвестиций в информационную безопасность, на основе финансовых выгод и стоимости инвестиций. И рассчитывается на основе: не финансовых выгод, финансовых выгод и затрат, связанных с информационной безопасностью. (http://www.auditagency.com.ua/uk/?r=blog_01_rosi) TCO - методика, предназначенная для определения затрат на информационные системы, которые рассчитываются на всех этапах жизненного цикла системы. Оценка TCO определяет не только стоимость инвестиций, и все аспекты дальнейшего использования и технического обслуживания оборудования, устройства или системы. Это включает в себя: расходы на обучение обслуживающего персонала и пользователей системы, расходы, связанные с инцидентами, расходы на обеспечение безопасности, расходы на обеспечение готовности к стихийным бедствиям и восстановления, расходы на тестирование инфраструктуры, ввода в эксплуатацию, и многое другое. Но для успешного внедрения проекта или любой инициативы информационной безопасности, одной поддержки бизнеса и финансирования недостаточно! Есть немало примеров, когда проекты информационной безопасности были успешно утверждены и профинансированы бизнесом, но не были внедрены, из-за невозможности реализации или неготовности бизнеса изменять существующие бизнес процессы. Специалисты информационной безопасности должны рассмотреть все изменения в организации, необходимые для внедрения проекта. Такие изменения могут касаться процедур выполнения работы, организационной структуры, архитектуры информационных систем, бизнес процессов, и убедиться, что такие изменения возможны. 2. Что такое Benefits Dependency Network? BDN служит основой для понимания полного масштаба изменений, необходимых для достижения инвестиционной цели. BDN работает в обратном порядке от цели инвестирования. Это гарантирует, что инвестиции определяются бизнес требованиями, а не необходимостью реализации ИТ-решений. Benefits Dependency Network состоит из следующих компонентов: Ресурсы - это описание существующих (или ожидаемых) ресурсов, которые могут быть использованы для достижения результатов Изменения ресурсов - описание необходимых изменений в ресурсах для достижения результатов Изменения процессов - описание необходимых изменений в организации и бизнес процессах для достижения результатов Выгоды - описание выгод и преимуществ для заинтересованных лиц от инвестиций Цели - цели для достижения, согласованные в рамках проекта 3. Как выглядит BDN? Benefits Dependency Network показывает цепи причинно-следственных связей между используемыми ресурсами и целями, которые нужно достичь: Ресурсы Изменения Изменения ресурсов процессов Выгоды Цели Ресурс 1 ИР 1 ИП 1 В1 Ц1 Ресурс 2 ИР 2 ИП 2 В2 Ц2 Ресурс 3 ИР 3 ИП 3 В3 Ц3 Ресурс 4 ИР 4 ИП 4 В4 Ц4 Ресурс 5 ИР 5 ИП 5 В5 Ц5 Большим преимуществом BDN, является то, что он показывает, как много изменений и усилий будет необходимо для достижения цели. 4. Как использовать BDN? BDN очень полезна при планировании проектов. Диаграмма BDN показывает для чего внедряется проект, какие цели ставятся, какие для этого нужны изменения в организации, и какие действия необходимо предпринять для достижения поставленных целей. Если читать BDN слева направо, мы задаем тактический вопрос «Для чего?» – «Для чего нам этот проект?». BDN покажет бизнес обоснования для осуществления проекта, и какие действия необходимо осуществить для достижения данных бизнес целей. Ресурсы Изменения ресурсов Изменения процессов Выгоды Цели Если читать BDN справа на лево, мы задаем стратегический вопрос «Как?» - «Как мне достичь поставленных целей?» BDN покажет логику разработки проекта, с указанием условий, необходимых для достижения поставленных целей Ресурсы Изменения ресурсов Изменения процессов Выгоды Цели BDN позволяет определить критические ресурсы и действия, и может быть использована в качестве основы для создания плана действий. BDN дает возможность принимать правильные решения, когда дело доходит до выделения ресурсов на внедрение проекта. 5. Как построить Benefits Dependency Network? Построение BDN необходимо начинать с понимания того, почему должны быть изменены бизнес процессы с помощью определения целей и выгод. Далее следует определить, что необходимо будет изменить, чтобы реализовать преимущества. Также понять, где эти изменения будут происходить в организации. И наконец, нужно определить, как сделать изменения бизнес процессов и технологий, которые будут их поддерживать. Во всем этом, мы также можем идентифицировать кто является заинтересованными сторонами. Кто будет нести ответственность за демонстрацию преимуществ, которые будут достигнуты: кто владеет бизнес процессами, которые должны быть изменены, и кто будет вести проекты? Как правило, BDN разрабатывается с помощью рабочих встреч с заинтересованными сторонами. Для подготовки таких рабочих встреч необходимо правильно определить список участников рабочих встреч, то есть тех, кто обладает необходимыми знаниями и соответствующими полномочиями. Участие всех ключевых заинтересованных сторон имеет решающее значение успешности проекта. Значительное преимущество таких встреч состоит в процессе переговоров, обсуждения, выработки консенсуса и обмена знаниями. Так же, повестка дня должна быть хорошо спланирована, участники проинформированы перед встречей, что от них ожидается. 6. Примеры Benefits Dependency Network Источник: Contoso Bank Источник: TATA Consultancy Services