ЖАНРЫ

Как измерить все, что угодно [Оценка стоимости нематериального в бизнесе]
Шрифт:

ОПРЕДЕЛЕНИЯ НЕОПРЕДЕЛЕННОСТИ, РИСКА И ИХ ПОКАЗАТЕЛЕЙ

Неопределенность. Отсутствие полной определенности, то есть существование более чем одной возможности. «Истинный» результат (состояние, последствие, стоимость) неизвестен.

Показатель неопределенности. Ряд вероятностей, приписанных ряду возможностей. Например: «Есть 60-процентная вероятность того, что данный рынок за пять лет более чем удвоится, 30-процентная вероятность того, что он вырастет не так заметно, и 10-процентная вероятность того, что за тот же период рынок сократится».

Риск. Такое состояние неопределенности, когда в число возможностей входят убытки, катастрофы или другие нежелательные исходы.

Показатель риска. Набор возможностей с приписанными ими количественными вероятностями и количественно определенным ущербом. Например, «мы полагаем: существует 40-процентная вероятность того, что нефтяная скважина окажется сухой, и в результате мы понесем убытки в размере 12 млн дол. в виде затрат на разведочное бурение».

О том, как определяются эти вероятности, расскажем немного позже, а пока мы, по крайней мере, уточнили, что имеем в виду, то есть выполнили предварительный этап любого измерения. Мы выбрали именно такие определения как наиболее соответствующие той задаче, которую решаем в нашем примере, — задаче оценки информационной защищенности и стоимости безопасности. Но, как мы увидим, эти определения наиболее удобны и при решении любых встающих перед нами проблем, связанных с измерениями.

Будут ли другие и впредь использовать неоднозначные термины и вести бесконечные теоретические споры, мало интересует того, кто должен срочно решить поставленную задачу. Слово «сила», например, использовалось в английском языке задолго до того, как сэр Исаак Ньютон дал этому понятию математическое определение. Сегодня оно иногда используется как синоним терминов «энергия» или «мощность» — но только не физиками и не инженерами. Когда термин «сила» используют авиаконструкторы, они точно знают, что имеют в виду в количественном смысле (и те из нас, кто часто путешествует по воздуху, ценят их стремление быть точными).

Теперь, сформулировав, что такое неопределенность и риск, мы получили лучший инструментарий для определения такого понятия, как «безопасность» (или «защищенность», «надежность» и «качество», но об этом чуть позже). Говоря «безопасность повысилась», мы обычно имеем в виду, что отдельные риски снизились. Если исходить из данного нами определения риска, то его снижение должно означать уменьшение вероятности наступления нежелательных событий и (или) масштабов связанного с ними ущерба. Как я уже сказал ранее, именно этот подход позволил мне оценить целесообразность вложения Управлением по делам ветеранов крупной суммы (100 млн дол.) в ИТ с целью повышения надежности информационных технологий.

Примеры уточнения объекта измерения: чему бизнес может поучиться и у государства

Многие государственные служащие представляют себе бизнес как некий сказочный мир высокой эффективности и мотивации, где страх проиграть в конкурентной борьбе заставляет людей трудиться изо всех сил. Как часто можно услышать от них сожаления, что они не работают в бизнесе! А для представителей деловых кругов органы власти (федеральные, штата или иные) — синоним бюрократической неэффективности и немотивированности сотрудников, считающих дни, оставшиеся до пенсии. Мне доводилось консультировать и государственные учреждения, и частные компании, и я бы не назвал ни ту, ни другую точку зрения полностью правильной или абсолютно неверной. Многие представители этих двух сторон удивились бы, узнав мое мнение: бизнес мог бы поучиться у государства (или, по крайней мере, у некоторых государственных учреждений) очень многому. На самом деле, в крупных компаниях с их сложной внутренней структурой немало сотрудников, очень далеких от экономических реалий бизнеса, а их работа не менее бюрократизирована, чем у служащих любого государственного органа. И я готов прямо сейчас засвидетельствовать где угодно и перед кем угодно, что в федеральном правительстве США, хотя это, конечно, и самая крупная в истории бюрократическая машина, работает немало мотивированных и любящих свое дело людей. Поэтому я приведу здесь несколько весьма поучительных для бизнеса примеров из практики моих клиентов — государственных учреждений.

Расскажу подробнее о работе по оценке надежности информационных технологий, которую я выполнял для Управления по делам ветеранов и о которой говорилось в предыдущей главе. В 2000 г. Совет директоров по информационным технологиям при Федеральном правительстве США (Federal CIO Council) решил провести своего рода испытания, чтобы сравнить различные методы оценки эффективности. Как следует из его названия, Совет директоров по информационным технологиям — это организация, объединяющая руководителей информационных служб федеральных учреждений и их непосредственных подчиненных. У Совета есть свой бюджет, и иногда он финансирует исследования, представляющие интерес для всех директоров по информационным технологиям федеральных органов. Проанализировав несколько подходов, Совет решил, что должен испытать метод прикладной информационной экономики.

Было решено проверить этот метод на большом пакете мер по повышению информационной безопасности, который был предложен Управлению по делам ветеранов. Моя задача состояла в подборе показателей эффективности для каждой системы, связанной с безопасностью, и оценке самого пакета под пристальным наблюдением Совета. Всякий раз, когда я проводил семинар или презентацию своих результатов, на них присутствовало несколько наблюдателей от Совета — сотрудников разных федеральных органов. В конце каждого проекта они готовили свои отчеты, в которых сравнивали мой метод с другим популярным подходом, использовавшимся в то время в других организациях.

Прежде всего, я озадачил специалистов Управления по делам ветеранов вопросом, который задаю, приступая к решению большинства проблем по измерению: «Что именно вы подразумеваете под информационной безопасностью?» Иными словами, в чем должно будет проявиться усиление этой безопасности? Что нового мы увидим или обнаружим, если безопасность улучшится или ухудшится? Более того, что такое, по нашему мнению, «величина» безопасности?

Информационная безопасность, возможно, и не такое уж эфемерное, расплывчатое понятие, но участники проекта вскоре обнаружили, что не вполне уверены в том, какой смысл в него вкладывают.

Было очевидно, например, что уменьшение частоты и масштабов воздействия «пандемических» вирусных атак можно считать усилением безопасности, но что такое в данном случае «пандемические» и что такое «воздействие»? Также было очевидно, что несанкционированный вход хакера в систему — это нарушение информационной безопасности, но является ли таким нарушением кража ноутбука? А пожар в информационном центре, наводнение или торнадо? На первой же нашей встрече участники проекта установили один факт: хотя все они и считали, что безопасность могла бы быть выше, единого понимания того, что это такое, у них не было.

И дело было вовсе не в том, что разные стороны уже выработали свои, отличные от других представления о безопасности. Проблема заключалась в том, что до этого момента никто и не задумывался над смыслом слова «безопасность». Как только члены группы столкнулись с поиском специфических конкретных примеров информационной безопасности, они достигли согласия по поводу однозначной и полной ее модели.

Специалисты из Управления по делам ветеранов решили, что повышение безопасности означает снижение частоты определенных нежелательных событий и уменьшение ущерба от них. Они договорились, что в Управлении к таким событиям относятся вирусные атаки, несанкционированный доступ (логический и физический), а также некоторые другие происшествия (например, утрата центра обработки и передачи данных в результате пожара или урагана). Каждый из этих типов событий влечет за собой определенный тип издержек. В таблице 4.1 перечислены предложенные системы повышения безопасности, события, которые они были призваны предотвратить, и возможные последствия этих событий.

Каждая из предложенных систем уменьшала частоту или тяжесть воздействия конкретных событий. Каждое из этих нежелательных событий привело бы к ряду негативных последствий. Так, вирусная атака обычно снижает эффективность труда, в то время как несанкционированный доступ приводит одновременно к снижению эффективности, убыткам от мошенничества и даже возникновению юридических обязательств в результате неправомерного раскрытия частной информации, например медицинского характера, и т. п.

Выработав эти определения, мы добились более конкретного представления о том, что такое усиленная информационная безопасность, а значит, и о том, как ее можно измерить. На мой вопрос «Что вы замечаете, когда информационная защищенность повышается?» руководство Управления по делам ветеранов могло теперь ответить вполне конкретно. Специалисты поняли: наблюдая за усилением безопасности, они обнаруживают снижение частоты и тяжести последствий перечисленных в таблице 4.1 событий. Они реализовали первый этап измерения.

Поделиться с друзьями: