Услуги ИБ: Маркетинг. Часть 3 - Сравнение подходов и особенности ИБ в форме услуги

   В заключительной части цикла постов о маркетинге ИБ-услуг (часть 1, часть 2, часть 3) поговорим о выявленных подходах, их принципиальных различиях, общих чертах и различиях.

   Итак, изначально мы идентифицировали 2 глобально используемых подхода:

• т.н. "процессно-ориентированный" - когда ИБ-услуги = ИБ-процессы, при этом наш основной клиент CEO;
• т.н. "бизнес-ориентированный"  - ИБ-услуги являются частью ИТ-услуг\бизнес-процессов и наши клиенты - бизнес-направления.

   При этом у нас возникли следующие вопросы - как наш CEO убедится в том, что ему нужны именно эти ИБ-процессы (предоставляемые в виде ИБ-услуг)? Как бизнес-направления смогут принять результаты работ? И в том и в другом случае (т.е. и в процессно- и бизнес-ориентированных подходах) нужна будет некая компетенция в области ИБ для обеспечения полезности и качества потребляемых ИБ-услуг.
   И тут мы возвращаемся к понятию т.н. "управленческих" услуг, которые необходимы как раз для озвученной цели. Т.е. полностью трансформировать службу ИБ в сервис-провайдера без вышеозвученных рисков мы не можем, но если все же попытаемся то у нас могут быть следующие варианты:

• централизованная служба ИБ - "управленческие услуги" (служба заказчика ИБ) - заказчик и стейкхолдер - СЕО, "процессные услуги"\"вмененные" - заказчик служба заказчика ИБ\бизнес-направления, стейкхолдер - СЕО;
• децентрализованная служба ИБ - "управленческие услуги" (службы заказчика ИБ) - заказчик - бизнес-направления, стейкхолдер СЕО, "бизнес-услуги"\"добровольные" - заказчик служба заказчика ИБ\бизнес-направления, стейкхолдер - бизнес-направления, "процессные услуги"\"вмененные" - заказчик служба заказчика ИБ\бизнес-направления, стейкхолдер - СЕО.

   Более простой и безрисковой стратегией будет независимое от нашего сервис-провайдера небольшое подразделение службы заказчика ИБ (без оформления "управленческих услуг") + сервис-провайдер ИБ (соответственно "процессные" услуги либо "процессные" + "бизнес-услуги").
   Стоп, но почему же у нас прямо везде "процессные" услуги, если мы можем практически любую активность оформить как "бизнес-услугу"? Ответ простой - разные бизнес-направления организации имеют разные бизнес-потребности, но при этом используют общую бизнес-инфраструктуру - казначейство, сеть, иногда бренд организации... и вот эта общая инфраструктура должна защищаться единообразно для обеспечения единого уровня защищенности (что бы метод "гонят в двери - лезь в окно" был минимально эффективным).
   Итого, у нас получилось 2 аксиомы:

• трансформация ИБ в сервис-провайдера крайне рискованна без понимания кто будет заказывать и принимать ИБ-услуги, т.е. крайне желательно создание службы заказчика ИБ (очевидно, что таковой должен быть независим от провайдера ИБ-услуг, так что в случае формирования такового на основе концепции "управленческих" услуг придется создавать аж 2 сервис-провайдера..);
• ни одна организация не может полностью обойтись без т.н. "процессных" ИБ-услуг, т.к. она имеет единую бизнес-инфраструктуру.

   Но кроме общих черт подходов предоставления ИБ-услуг мы же собирались сравнить подходы;)
   Итак, "процессный" подход:

• + необходим каждой организации;
• + услуги легко управляемы из единого центра;
• + стоимость услуг легко считать;
• + низкие транзакционные издержки (время на выставление счетов и контрактование, себестоимость документооборота по счетам, договорам и актам);
• - отсутствие гибкости, любые изменения потребуют непропорционального роста стоимости и согласований с центром;
• - затраты на услуги относятся к общим, не зависящим от объёма производства постоянным затратам, т.е. уменьшают управляемость затратами организации;
• - для качественной и управляемой реализации требует организации отдельного управленческого учета внутри службы заказчика ИБ (для идентификации размера затрат на каждое бизнес-направление и обоснования бюджета)

   Подход "Бизнес-услуги":

• + гибок, легко управляем конкретным заказчиком (бизнес-направлением);
• + прозрачен, понятно вписывается в бизнес-процесс\ИТ-услугу;
• + затраты на услуги относятся к постоянным так и к переменным затратам, т.е. могут не уменьшать управляемость затратами организации в целом;
• - сложный и затратный расчёт себестоимости, сложное управление затратами;
• - высокие транзакционные издержки;
• - высокие коммерческие риски для сервис-провайдера в случае реализации нестандартным образом (например, организации "вмененных" бизнес-услуг);
• - сложность в управлении разнообразным набором компетенций, необходимость в наличии не только компетенций ИТ\ИБ но и компетенций маркетинга у сервис-провайдера;
• - риск возникновения перекрестного субсидирования, когда одни подразделения организации будут субсидировать другие за счет сложной системы тарифов и цен на "бизнес-услуги".

   Как видим, оба подхода имеют свои особенности. Какой избрать - зависит от конкретной ситуации, но для начала я бы все таки рекомендовать процессный подход, т.к. он в общем-то проще.