Prawdziwa wartość bezpieczeństwa IT

Odpowiednio zarządzana sfera bezpieczeństwa może wpływać na wzrost wartości przedsiębiorstwa.

Odpowiednio zarządzana sfera bezpieczeństwa może wpływać na wzrost wartości przedsiębiorstwa.

Wiele mówi się ostatnio o IT Value Management (zarządzanie wartością IT), którego celem jest zarządzanie obszarem IT w taki sposób, aby stało się silnym partnerem dla strony biznesowej spółki. Wartość IT musi być jednak rozpatrywana w kontekście wartości przedsiębiorstwa. Podobnie jest także z obszarem bezpieczeństwa IT.

Przykładem biznesowego podejścia do problemu bezpieczeństwa IT jest podejście SABSA (Sherwood Applied Business Security Architecture). Jego celem jest odzwierciedlenie strategii biznesowej przedsiębiorstwa w cyklu IT, przy uwzględnieniu strategii projektowania, implementacji oraz zarządzania i operacji. Koncepcja ta jest oparta na tzw. atrybutach biznesowych. Umożliwia lepsze dostosowanie architektury bezpieczeństwa do wymogów danej firmy, przy równoczesnym zintegrowaniu bezpieczeństwa z pozostałymi usługami IT. Wśród atrybutów tych nie ma jednak odwołania się do kluczowych czynników kształtujących wartość przedsiębiorstwa. Tymczasem mógłby to być jeden z podstawowych atrybutów budujących wartość organizacji dla akcjonariuszy.

Przykłady podobnych zbiorów dobrych praktyk i standardów są inspiracją dla zarządów przedsiębiorstw. Oczywiście, pod warunkiem że ich wykorzystanie jest zorientowane na wartość firmy. Jako przedstawiciele działów odpowiedzialnych za bezpieczeństwo musimy nauczyć się udowadniać, że majątek IT, który chronimy, w istotnej mierze pracuje na przychody i wzrost rynku. Jak to zrobić?

Czynniki wpływające na wartość przedsiębiorstwa

Myśląc o zwiększaniu wartości przedsiębiorstwa, trzeba spojrzeć na nie oczami inwestora zadającego sobie pytanie: "Jak chciałbym żeby funkcjonowało przedsiębiorstwo, w które zainwestowałem swoje pieniądze?", właściciela lub pracownika, którzy pytają o to: "Co mogę zrobić, aby zwiększać wartość mojej firmy?". Aby jednak pokazać stronie biznesowej wpływ bezpieczeństwa IT na wartość wewnętrzną spółki, musimy sami zrozumieć, jakie są źródła wartości przedsiębiorstwa. Należą do nich: atrakcyjność rynku, na którym działa; pozycja rynkowa i strategia rozwojowa.

Potencjał dochodowy wspomnianych trzech źródeł wartości i jego odpowiednie wykorzystanie znajduje odzwierciedlenie we: wzroście przychodów ze sprzedaży; optymalizacji marży; zmniejszeniu obciążeń podatkowych; efektywnym zarządzaniu płynnością; efektywnym zarządzaniu majątkiem trwałym; zwiększeniu okresu trwałej przewagi konkurencyjnej poprzez unikalność dostarczanej wartości dla klienta, trudną do naśladowania ofertę usług, rozległą infrastrukturę techniczną, sieć dystrybucji, sprzedaży generującą efekty skali, relacje biznesowe; optymalizacji kosztu kapitału poprzez utrzymywanie odpowiedniej relacji pomiędzy kapitałem własnym i poziomem zadłużenia; zarządzaniu oczekiwaniami interesariuszy (inwestorów, klientów, kontrahentów).

Wszystkie efekty tych działań są w pełni mierzalne i mają wpływ na wielkość wygenerowanej w ciągu roku przez przedsiębiorstwo wartości dodanej wyrażonej realnymi przepływami pieniężnymi (gotówką). Urealnienie to uzyskuje się poprzez odpowiednie korekty zysku operacyjnego netto po opodatkowaniu przy uwzględnieniu kosztu kapitału (tj. oprocentowania wynikającego z alternatywnych możliwości inwestycyjnych w danym okresie i ryzyka z nimi związanego). Taki roczny wynik składa się na długoterminową wartość przedsiębiorstwa.

Bezpieczeństwo w wartości IT

Jak zatem w nośnikach wartości przedsiębiorstwa odnaleźć bezpieczeństwo IT? Wśród głównych czynników wpływających na wartość przedsiębiorstwa nie ma korzyści uzyskiwanych wprost z bezpieczeństwa IT (takich jak obniżenie ryzyka czy zgodność z wymaganiami prawa). Przy tradycyjnym podejściu do roli IT nośnikami wartości mogą być jednak potencjalne oszczędności z tytułu strat wskutek stosowania zabezpieczeń.

Niestety, używana przez nas tradycyjnie argumentacja dotycząca oszczędności, niskiego ryzyka czy spełniania wymagań prawa w trakcie procesu budżetowania o pozyskanie środków na projekty związane z bezpieczeństwem IT nie zawsze trafia do biznesu. I będzie tak nadal, dopóki nie przedstawimy konkretnych projektów z obszaru bezpieczeństwa IT, które mogą wpłynąć na główne nośniki wartości przedsiębiorstwa takie jak: wzrost przychodów, utrzymanie klientów, wzrost popytu na usługi lub ogólnie - na jeden z kluczowych jej mierników, takich jak ekonomiczna wartość dodana EVA (Economic Value Added), czyli mierząca wypracowaną wartość w skali roku, oraz rynkowa wartość dodana MVA (Market Value Added), oznaczająca gotówkę wypracowaną przez przedsiębiorstwo od czasu istnienia.

Aby tego dokonać, trzeba umiejętnie przetłumaczyć wpływ działań dotyczących obszaru bezpieczeństwa IT na główne czynniki wpływające na wartość przedsiębiorstwa. Należy przy tym wziąć pod uwagę fakt, że bezpieczeństwo IT zawiera w sobie nie tylko bezpieczeństwo informacji, ale i bezpieczeństwo funkcjonalności systemów umożliwiających przetwarzanie tych informacji.

Przed dokonaniem przełożenia kluczowych czynników wpływających na wartość powinno się ocenić, czy ma ono w ogóle sens w odniesieniu do naszego przedsiębiorstwa. W tym celu trzeba sobie odpowiedzieć na pytania: "W jakim stopniu przetwarzanie informacji i dostarczanie funkcjonalności per se jest istotą naszych usług? Czy dostępność, integralność i poufność informacji stanowią główny lub jeden z kluczowych czynników wyboru naszej oferty produktu lub usługi przez klientów?" Jeśli oprócz informacji i funkcjonalności umożliwiającej jej przetwarzanie występuje więcej czynników stanowiących o konkurencyjności naszej firmy, to należy ocenić wagę informacji i funkcjonalności wśród tych czynników. Musimy zatem sprawdzić, czy i w jakim stopniu bezpieczeństwo informacji jest czynnikiem decydującym o pozycji rynkowej naszego przedsiębiorstwa w sektorze jej działania.

Kluczowe dla dalszych działań jest przeprowadzenie analizy strategicznej pod kątem informacji i funkcjonalności systemów w naszych usługach, produktach oraz ich wadze wśród innych czynników przewagi konkurencyjnej. Powinniśmy przy tej okazji odpowiedzieć sobie również na pytanie, w jakim stopniu informacja posiadana przez przedsiębiorstwo jest przetwarzana w postaci elektronicznej, a więc przy użyciu funkcjonalności systemów teleinformatycznych, a w jakim stopniu poza nimi.


TOP 200