9 Ноября, 2011

Как донести до руководства важность ИБ?

Алексей Лукацкий
Вопрос, вынесенный в заглавие поста, возникает на протяжении многих лет. В последнее время его пытаются освещать на различных мероприятиях по ИБ. В частности на DLP Conference эту тему поднимал я, а неделей позже на DLP Russia - Евгений Климов. Все сходятся на том, что нет общего языка между безопасниками и бизнесом (я про это еще несколько лет назад писал ; и тут ). И вот решил вновь вернуться к этой теме.

Просматривая на днях центр знаний сайта ISACA, наткнулся в очередной раз на документы из серии Val IT. Эта концепция направлена на то, чтобы показать значение/ценность ИТ для бизнеса. Ее можно применить и к ИБ. И вот в документе " Unlocking Value. An Executive Primer on the Critical Role of IT Governance " нашел 4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров:
  • Мы делаем правильные вещи?
  • Эти вещи мы делаем правильно?
  • Мы преуспели в достижении этих вещей?
  • Мы получили преимущества от того, что сделали эти правильные вещи?


В принципе, я эти вопросы уже описывал в своих презентациях по GRC несколько лет назад. Но хотелось бы вновь вернуться к этим вопросам и рассмотреть, что конкретно имеют ввиду топ-менеджеры задавая эти вопросы по тем или иным проектам, задачам, инициативам? Поняв это, мы сможем для себя определить, готовы ли мы выносить тему ИБ на уровень бизнеса. А если нет, то что нам нужно сделать, чтобы закрыть непростые вопросы.

Итак, первый, стратегический вопрос касается преимущественно инвестиций и разбивается на несколько более детальных:
  • Мы инвестируем в соответствие с нашим видением?
  • Наши инвестиции соответствуют нашим бизнес-принципам?
  • Наши инвестиции содействуюи нашим стратегическим целям?
  • Наши инвестиции оптимальны? Они находят баланс между размером инвестиций и уровнем принимаемых рисков?
  • Наши информационные активы, сервисы и другие ресурсы ИТ/ИБ фокусируются на реальных потребностях бизнеса и учитывают его приоритеты?
  • Мы знаем/понимаем, сколько мы всего тратим на ИБ?

Второй вопрос касается архитектуры и также может быть детализирован:
  • Мы инвестируем в соответствие с архитектурой предприятия?
  • Наши инвестиции соответствуют нашим архитектурным принципам и стандартам?
  • Мы достигаем синергии между нашими инвестициаями в различные инициативы и программы?
  • Наши сервисы ИБ/ИЬ бизируются на оптимальной инфраструктуре и ресурсах?

Третий вопрос касается реализации:
  • У нас эффективные процессы управления, доставки сервисов и контроля изменений?
  • У нас достаточно технических и бизнес ресурсов для реализации требуемых возможностей? Какие организационные изменения необходимо произвести для эффективного достижения поставленных целей?
  • Предлагаемые сервисы доступны в любое время и из любого места? Они надежны и защищены?

И, наконец, декомпозиция последнего вопроса о ценности приводит нас к следующему:
  • Мы понимаем ценность для нашего предприятия?
  • Мы понимаем реальные преимущества для нашего предприятия от сделанных инвестиций в сервисы, активы и другие ресурсы ИБ?
  • Мы понимаем, какими методами мы можем измерить достижение данных преимуществ?
  • У нас выстроен эффективный процесс реализации преимуществ на всем этапе экономического цикла наших инвестиций с целью получения оптимальных бизнес-результатов?

Разумеется, каждый из этих вопросов может быть детализирован и в итоге мы получаем список вопросов/задач, не такой "абстрактный" и вполне решаемый на практике. Но, разумеется, не так просто и не так быстро реализуемый, как это выглядит после прочтения данной заметки.
    или введите имя

    CAPTCHA
    9 Ноября, 2011
    Статья толковая и глобально отражает проблему, но больше относится к крупному бизнесу, где уже поддерживается некоторый уровень ИБ. А вот в мелком бизнесе все намного печальнее... А ответ на заголовок-вопрос такой: Да также как и донести про покупку нового сервера или даже 1-го сервера (и единственного). Следует "раскачать маятник", который, втянув в себя энергию, принудит руководителя выполнить нужное действие. Конкретных способов "раскачки маятника" много, следует погуглить, а это лишь метаформула. Большинство руководителей страшно далеки от IT. Часть из них дальше своих же секретуток, которые являются еще и "прокладками" между руководителем и компьютером. И это при том, что в этом году персональный компьютер отметил свое 35-летие. А "воз и ныне там", несмотря на бурное развитие IT в 21 веке. Некоторые руководители воспринимают ПК (и не только), как дети, вот и надо преподнести им его и все, что вокруг, как картинку или мультик - завернуть в пеструю обертку... Да вот недавний случай. Столкнулся как-то с одним "старым" знакомым, которого не видел уже лет 5. Ему 30 лет. Как выяснилось руководит фирмой по производству и установке евроокон. Сам уверенно пользуется ноутбуком. В офисе 2 бухгалтера. Есть сервер, на котором эти самые бухи работают как за раб. станцией под правами администратора. Это нормально? И вот он меня спрашивает: "Как определить, сколько раз базу сливали с сервера на флэшку?"... Я выпал в осадок. Вот как можно не понимать, что надо НЕ считать, сколько раз у тебя украли, а надо сделать так, чтобы не смогли просто украсть - максимально осложнить воровство. А уж средствами WINDOWS базовые ограничения делаются за считанные минуты. Раз он озадачен этим вопросом, то понимает важность ИБ, но, судя по постановке вопроса, понимает ее как-то "по-деццки" и пытается решить соответствующими методами. Не претендую на всеоблемъющую истинность. Написано по мотивам многолетних наблюдений за окружающей действительностью.
    0 |
    • Поделиться
    • Ссылка