Analiza ta umożliwi nam odpowiedź na kilka pytań. Czy są w naszej firmie usługi, produkty, procesy biznesowe silnie uzależnione od dostępności systemów IT? Czy dostępność, jakość, wiarygodność, poufność danych oraz funkcjonalności przetwarzanych w systemach teleinformatycznych wpływa na atrakcyjność produktu lub usługi oraz na pozyskanie i utrzymanie klientów? Jaki jest niewykorzystany potencjał biznesowy/dochodowy informacji i funkcjonalności istniejących systemów teleinformatycznych? Czy umielibyśmy oszacować zwrot z aktywów IT ROAIT (Return on Information Technology Asset), tzn. określić, czy i ile procent majątku IT pracuje na przychody z usług i jaka część majątku IT jest krytyczna dla osiągania 80% najbardziej rentownych usług firmy?

Polityka bezpieczeństwa

Biorąc pod uwagę trzy podstawowe źródła wartości przedsiębiorstwa, przy ocenie wartości bezpieczeństwa IT musimy opracować, wdrożyć i okresowo aktualizować ukierunkowaną biznesowo strategię rozwoju spółki w obszarze bezpieczeństwa informacji. Powinna ona stanowić spójną i integralną część strategii bezpieczeństwa informacji oraz strategię biznesową spółki. Jakość i konsekwencja tych strategii będzie stanowić trzecie źródło wartości przedsiębiorstwa - strategię rozwojową. Powinno się w nich znaleźć odniesienie do aktualnego i docelowego wpływu strategii bezpieczeństwa IT na strategię biznesową przedsiębiorstwa.

Polityka bezpieczeństwa jest warunkiem koniecznym, ale nie wystarczającym, aby bezpieczeństwo IT generowało wartość dla przedsiębiorstwa. Istota leży w operacyjnym wdrożeniu koncepcji opartej na zabezpieczaniu zasobów najbardziej dochodowych oraz uczynieniu z zabezpieczeń IT silnych stron kreujących różne szanse ich wykorzystania. Według tej perspektywy nie jest uwypuklona w normie strategia bezpieczeństwa, z której dopiero powinna wynikać polityka.

W zależności od firmy w jej strukturach organizacyjnych zawsze istnieje departament bezpieczeństwa teleinformatycznego lub bezpieczeństwa IT. Powinny one mieć w swoich szeregach ludzi dobrze rozumiejących biznes firmy. Osoba taka powinna być katalizatorem zarządzania przez wartość bezpieczeństwa IT. W zakres tych zadań mogą wchodzić biznesowe aspekty bezpieczeństwa, tj. budowanie ról z polityki bezpieczeństwa IT i struktur zorientowanych na budowanie świadomości dotyczącej bezpieczeństwa IT, kategoryzacja systemów IT, zarządzanie ryzykiem teleinformatycznym i jego ukierunkowanym raportowaniem wyrażonym poprzez wpływ naruszeń bezpieczeństwa na cele biznesowe - zamiast "wymagany maksymalny czas nieplanowanej niedostępności systemu X przekroczony dwukrotnie", mówimy o utracie przychodów rzędu 1 mln zł czy spadku wskaźnika satysfakcji klientów o 5%, co z kolei przekłada się na utratę określonych przychodów.

Zarządzanie aktywami

W przypadku zarządzania aktywami należy przyjąć założenie, że majątek powinien aktywnie pracować na pomnażanie przychodów. Z kolei w przypadku zarządzania pasywami kluczowym wyzwaniem jest to, by jak najtaniej pozyskiwać kapitał i finansować nim aktywa najbardziej dochodowe, pomnażające wielokrotnie wartość majątkową tychże aktywów, generując jak największe wolne przepływy gotówkowe, przy zapewnieniu takiej struktury kapitałów, która stwarza akceptowalne ryzyko operacyjne dla spółki. Łącznie zarządzanie aktywami i pasywami powinno z kolei prowadzić do optymalnej polityki w zakresie płynności finansowej. Obszar zarządzania aktywami jest kluczowy z perspektywy możliwego wpływu bezpieczeństwa IT na wartość przedsiębiorstwa.

Kategoryzacja aktywów IT (informacji i funkcjonalności systemów) pod względem skutków biznesowych naruszenia ich bezpieczeństwa i ich potencjalnej dochodowości jest warunkiem niezbędnym do racjonalnej priorytetyzacji działań zarówno w departamentach bezpieczeństwa IT, jak i w całym departamencie IT. O ile samo stworzenie strategii i polityki oraz powołanie odpowiedniej osoby nie wpływa jeszcze na wartość firmy, o tyle zarządzanie majątkiem IT wg powyższych kryteriów może już konkretnie przełożyć się na wartość przedsiębiorstwa, i to nawet w sposób niesformalizowany i nieświadomy.

Wiele osób w naszej firmie intuicyjnie wie, jakie systemy i informacje są krytyczne, ważne i nieistotne. Natomiast niewiele osób zastanawia się, do czego taka informacja o kategoryzacji może się przydać. Widzimy więc, że kategoryzacja systemów IT i informacji w szerszym rozumieniu oznacza swoistą inwentaryzację biznesową majątku IT (w tym jego potencjalnej dochodowości dla usług) i tak naprawdę umożliwia ona właściwie efektywną restrukturyzację całego obszaru bezpieczeństwa IT lub nawet całego IT.

Pozwala na optymalizację kosztów operacyjnych bezpieczeństwa IT (lub całego IT) pod względem krytyczności skutków biznesowych naruszenia bezpieczeństwa oraz potencjału dochodowego (możliwego zwrotu na majątku IT). Dotyczy ona bowiem dostosowania poziomu jakości utrzymania adekwatnie do krytyczności biznesowej systemów (np. poprzez weryfikację aktualnych umów utrzymaniowych względem wymagań biznesowych na bezpieczeństwo (m.in. czas reakcji, obejścia, rozwiązania problemu wobec RTO) i względem krytyczności biznesowej systemów. Z perspektywy wartości przedsiębiorstwa wpływa więc ona na możliwość optymalizacji marży wskutek zmniejszenia kosztów lub zwiększenia marży poprzez dostarczanie specyficznych i elastycznych funkcjonalności systemów biznesowych przekładających się na elastyczność, szybkość modyfikacji oraz unikalność oferty lub usługi). Zarządzanie aktywami wpływa zatem na optymalizację i priorytetyzację działań w zakresie pozyskiwania, rozwoju i utrzymania systemów teleinformatycznych.