Kategoryzacja systemów pod kątem polityki bezpieczeństwa umożliwia także optymalizację nakładów inwestycyjnych na IT (CAPEX IT), procesu rozwojowego adekwatnie do krytyczności biznesowej systemów i wymagań co do ich bezpieczeństwa oraz potencjału dochodowego danego systemu. Kategoryzacja pomaga wreszcie w uruchomieniu procesu odtwarzania po katastrofie dla poszczególnych systemów. Zebrane w trakcie kategoryzacji wymagania umożliwiają rozszerzenie umów SLA/SLI o tę opcję. Analiza następstw biznesowych (BIA) odnoszona do procesów oraz kategoryzacja odnoszona do systemów uczestniczących w tych procesach pozwala na priorytetyzację odtworzenia systemów, a więc w rezultacie optymalizację inwestycji w majątek trwały oraz optymalizację marży. Dzięki wdrożeniu tego typu polityki mogą bowiem zostać zoptymalizowane procesy i procedury, a także liczba systemów, w które warto inwestować i utrzymywać.

Komunikacja i zarządzanie operacyjne

Obszar ten obejmuje procedury operacyjne, relacje z osobami trzecimi, planowanie i akceptację systemów, ochronę przed kodami złośliwymi (wirusy, robaki, trojany), kopie bezpieczeństwa, zarządzanie bezpieczeństwem sieci, wymianę informacji wewnątrz i na zewnątrz spółki, bezpieczeństwo usług elektronicznych, monitorowanie).

W odniesieniu do informacji przetwarzanej w systemach teleinformatycznych, zabezpieczenie tego obszaru stwarza podwaliny do rozpoczęcia świadczenia usług z wyróżnikiem bezpieczeństwa. Silna strona tego obszaru oznaczać będzie dobre wdrożenie zarządzania operacyjnego bezpieczeństwa IT, przekładające się na jego realne zapewnienie, co w połączeniu z wiedzą kierowników produktów umożliwia rozpoczęcie tworzenia koncepcji marketingowych odnośnie do możliwej wartości dodanej do usług dzięki istniejącej bezpiecznej infrastrukturze IT zarówno wewnątrz firmy, jak i na styku z podmiotami zewnętrznymi. Sam z siebie obszar ten nie wpływa jeszcze na wartość przedsiębiorstwa, ale jest warunkiem niezbędnym do tworzenia wizerunku firmy godnej zaufania.

Wykreowanie usługi, w której wyróżnikiem jest bezpieczeństwo IT, może sprawić, że klient sięgnie po usługę właśnie dzięki przekonaniu o wysokiej jakości dotyczącej np. poufności transmisji jego danych, bezpiecznego ich backupowania, archiwizowania niezależnie od miejsca pobytu (np. w przypadku mobilnych klientów), co zwrotnie wpływa na popyt na samą usługę. Jeżeli jest to oferta, którą w trudny sposób skopiować, oznacza to, że oferujemy klientowi unikalną wartość dodaną. Wpływa to zarówno na wzrost przychodów, jak i wydłużenie okresu przewagi konkurencyjnej.

Kontrola dostępu - klasycznie rozumiane zarządzanie dostępem do systemów i informacji jest kluczowym obszarem dla bezpieczeństwa spółki w szczególności dla ochrony przed działaniami celowymi przez osoby nieuprawnione. Przyczynia się on do bieżącej ochrony wykreowanej wartości przez przedsiębiorstwo lub w przypadku centralizowania zarządzania dostępem (np. rozwiązania I@M - Identity & Access Management) do oszczędności finansowych, oszczędności czasu związanego z przyznaniem lub odebraniem dostępu.

Bezpieczeństwo informacji dla akcjonariuszy

Jeszcze jednym obszarem nie zawsze uwzględnianym w trakcie dyskusji na temat strategicznej wartości bezpieczeństwa IT w przedsiębiorstwie jest obszar związany z zarządzaniem wartością bezpieczeństwa informacji dla interesariuszy (np. akcjonariuszy) przetwarzanej w systemach teleinformatycznych i poza nimi.

Także w tym obszarze można znaleźć właśnie biznesowe aspekty bezpieczeństwa informacji, takie jak: analiza potencjału dochodowego aktywów IT - informacji i funkcjonalności systemów oraz ich zabezpieczeń, ocena zwrotu z aktywów IT i infrastruktury bezpieczeństwa wykorzystywanej w usługach; analiza możliwości silnych stron systemów i ich zabezpieczeń w kontekście wyróżnika oferty jako możliwego czynnika przewagi konkurencyjnej, które zwrotnie mogą wpływać na atrakcyjność oferty; analiza silnych stron zabezpieczeń w kontekście innych czynników przewagi konkurencyjnej.

ISO i nie tylko

Porównanie obszarów normy ISO 27001 i kluczowych czynników kształtujących wartość przedsiębiorstwa pokazuje wyraźnie, że norma nie uwypukla w pełni wszystkich korzyści biznesowych z zarządzania bezpieczeństwem IT. Nie akcentuje możliwego wpływu jakości zarządzania bezpieczeństwem informacji na wartość przedsiębiorstw. Nie mówi, po co nam dobrej jakości bezpieczeństwo i co z niego ma spółka. Można stwierdzić, że nie to jest celem tej normy. W dobie coraz ściślejszej integracji procesów informatycznych i biznesowych, wynikających z rozwoju produktów, odwołanie się do celów innych niż bezpieczeństwo informacji wydaje się jednak uzasadnione.

Brak odpowiedniego zaakcentowania tych biznesowych aspektów bezpieczeństwa ujawnia się już w definicji zasobu zawartego w normie. Zgodnie z nią "zasób to wszystko, co stanowi wartość dla przedsiębiorstwa". Z definicji tej nie wynika jeszcze, o jaką wartość chodzi i czym jest wartość (czy chodzi o wartość majątkową czy dochodową, materialną czy nie). Nacisk na definicję zasobu powinien zostać przesunięty od wartości dla przedsiębiorstwa w kierunku wartości dla akcjonariuszy tego przedsiębiorstwa. Mogłaby ona wtedy brzmieć następująco: "zasób - wszystko to, co może być wykorzystane do zwiększenia i kreowania wartości przedsiębiorstwa dla jego akcjonariuszy". Tak przeformułowana definicja ukierunkowuje ducha normy na ochronę zasobów, które wykorzystywane są do zwiększania i kreowania wartości przedsiębiorstwa, czyli na ochronę wypracowanej tymi zasobami wartości przedsiębiorstwa. Przy czym nie chodzi tylko o stronę kosztową, majątkową (tj. wartości niematerialne i prawne - oprogramowanie i licencje oraz sprzęt), ale o postrzeganie zasobów IT od strony dochodowej.

Warto byłoby uwypuklić w kolejnej edycji normy ISO 27001 wpływ zarządzania bezpieczeństwem na wartość przedsiębiorstwa. Bezpieczeństwo może pomóc w optymalizacji marży, usprawnieniu inwestycji w aktywa trwałe, a w zaawansowanej formie nawet wpłynąć na wzrost przychodów i wydłużenie okresu przewagi konkurencyjnej. Zmiana ta mogłaby doprowadzić do tego, że bezpieczeństwo przestanie być postrzegane jako cel sam w sobie, lecz w nowym znaczeniu właściwej ochrony zasobów IT.