Модерировал. Опять. Вчера. Я. На IDC CIO Summit в Санкт-Петербурге. Надо сказать, что я не так часто посещаю чисто айтишные мероприятия (по сравнению с мероприятиями по ИБ). Нижегородский клуб ИТ-директоров (правда, сейчас он стал менее активен по ряду причин). Да Высшие курсы CIO. Вот, пожалуй, и все (если не считать парочки эпизодических мероприятий региональных ИТ-клубов). Поэтому всегда интересно смотреть на аудиторию, с которой безопасники то дружат, то конфликтуют, но живут бок о бок. Нынешний CIO Summit выгодно отличался от других мероприятий тем, что хотя спонсоры там и присутствовали, но рекламных докладов от них не было вовсе. Хочу заметить, что презентаций там вообще не было, кроме двух затравочных со стороны самой IDC, - все остальное время занимали панельные дискуссии с CIO.
Меня попросили провести панельную дискуссию по информационной безопасности в деятельности CIO. Когда я планировал, о чем будет идти речь, я вспоминал мероприятие IDC IT Security Roadshow в Москве и в Алматы, где мне довелось принять участие и где, преимущественно, были представлены специалисты по ИБ. Так вот на обоих мероприятиях безопасники жаловались (либо в кулуарах, либо со сцены), что бизнес (и зачастую ИТ) их не понимает. Поэтому, когда организаторы попросили меня подготовить два вопроса для онлайн-опроса через web-приложение конференции, я включил в них следуюшие (см. две картинки).
Каково же было мое удивление, когда 2/3 CIO (а на мероприятии были только они, причем от компаний с числом сотрудников не менее 1000) отметили, что у них-то нет проблем общения со своими службами ИБ, которые мало того, что общаются с ИТ и бизнесом на одном языке, так еще и оценивают свою эффективность и свой вклад в достижение бизнес-целей (наезжание текста произошло из длинных вариантов ответа). Правда, не все смогли четко сформулировать, в чем измеряется эффективность ИБ в бизнес-терминах, но само взятое направление движения мне понравилось.
Возможно такой ответ был связан с тем, что в большинстве компаний-участников ИБ подчинялась непосредственно CIO и была неразрывно связана с ИТ. Многие брали ИБшников "под себя" и были "толмачами" между ИБ и бизнесом, то ответ выше становится более понятным.
Интересным оказался второй вопрос онлайн-голосования - кому должна подчиняться служба ИБ? Как показало последующее общение в кулуарах, это очень больная тема для многих и многие пытаются найти ответ на этот вопрос. Сразу скажу - универсального ответа нет. Все зависит от организации, отрасли, уровня зрелости, руководства и множества других факторов. В конце концов важно не столько место в иерархии, сколько то доверие, которое безопасник имеет со стороны топ-менеджмента.
Интересной оказалась и дискуссия о том, как оценивать эффективность ИБ - в терминах рисков или в том вкладе, который ИБ вносит в каждый выпускаемый компанией продукт или услугу. Однозначного ответа найти не удалось - у всех свой опыт в этом вопросе. Но большинство все-таки использует рисковый подход.
Из интересных фишек мероприятия хочу отметить приложение. Оно было не мобильным, как обычно делают на других мероприятиях, а в виде доступа к web-сайту. Но могу сказать, что в данном случае это было закономерно. В Питере нет проблем ни с Wi-Fi, ни с LTE, ни с 3G - поэтому можно было спокойно в онлайн-режиме обеспечивать доступ к программе, информации о спикерах и участниках, смотреть результаты голосования, задавать вопросы и даже контактировать с другими участниками.
Вот так выглядела "страницы" с голосованиями, результат которых можно было посмотреть в реальном времени. Сразу отмечу, что опросы по теме ИБ набрали самое большое число голосов.
А вот так выглядела страница с вопросами из зала, которые модератор сразу транслировал участникам панельной дискуссии. На IDC IT Security Roadshow в Москве IDC использовала для этого SMS и What's Up, а сейчас была более продвинутая версия, позволяющая еще и проголосовать за тот или иной вопрос, "подняв" ее в списке задаваемых на самый верх.
В заключение хочу сказать спасибо не только организаторам, но и участникам модерируемой мной панельной дискуссии - Илье Горбунову (СПбГУ), Евгению Грищенко (Teleperformance), Дмитрию Иншакову (PwC) и Дмитрию Мананникову (СПСР-Экспресс).
ЗЫ. Интересным был опрос на тему ФЗ-242.
