11 Ноября, 2011

ИБ как раковая опухоль

Алексей Лукацкий
Продолжим про ИБ и бизнес ;-) Буду возвращаться к своему курсу "Как связать безопасность и бизнес", который я читал еще 4 года назад. Начну с короткой притчи. Прохожий подходит к трем каменщикам и спрашивает их, что они делают. "Я кладу кирпичи", - ответил первый. "Я возвожу стену", - ответил второй. "Мы возмодим храм, где мы вместе будем молиться Богу!" - ответил третий. ИБ сегодня похожа на первого и, в лучшем случае, второго каменщика, которые не понимают ни потребностей заказчика строительства, ни своего вклада в общее дело. Эту притчу я прочитал в книжке "Управляя изменениями" Ицхака Адизеса, гуру бизнес-управления. Вообще в этой книге много говорится о бизнесе, потребностях и т.п. Рекомендую... Очень интересно и полезно; особенно если читать и преломлять ее на тему ИБ.




Но вернемся к ИБ и вопросам, на которые вы должны ответить:
  1. Вы определили, для кого существует ваш бизнес, госорган, некоммерческая организация? Кто ваши клиенты? Каковы их потребности?
  2. Вы определили, с кем надо сотрудничать для удовлетворения клиентов? (Про серых кардиналов и центры Силы мы еще поговорим)
  3. Что надо сделать для удовлетворения и как?
  4. Как должен это сделать?
  5. Чего хотят те, кто должен это сделать? Вот на этом этапе нам может помочь карта эмпатии .

Собственно этот пункт не менее важен, чем все остальные. Можно узнать, что нужно клиентам (в т.ч. и внутренним). Можно определить способы удовлетворения этих потребностей. Можно даже найти тех, кто может удовлетворить эти потребности. Но... если у них нет мотивации (а точнее, вы ее не определили), то все попытки добиться хоть чего-то полезного будут обречены на неудачу.

И вот тогда ИБ превратится в раковую опухоль, составляющую которую клетки обслуживают только себя. Компания существует для удовлетворения потребностей... клиентов/граждан/общества. И ИБ должна тоже. Правда, тут надо учитывать, что удовлетворять потребности можно не только внешние, но и внутренние. Например, банк создается для легализации денег, полученных преступных путем. Руководство такого банка мало интересуют потребности клиентов. Точнее интересуют. Но потребности специфические и достаточно узкой прослойки клиентов; на остальных наплевать. Готовы ли вы заниматься безопасностью в такой компании и для удовлетворения ТАКИХ потребностей?

В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили. А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана. В другом госоргане DLP-система работает, только "некоторые" информационные потоки идут в обход DLP, которая ловит только дураков из низшего звена. А все потому, что потребности руководства и госоргана не совпадают и безопасники не учли того, о чем я пишу последние три дня.
или введите имя

CAPTCHA
28 Ноября, 2011
ИБ - это раковая опухоль?
Ну это вообще. Есть такие понятия, по крайней мере в банках, как кризис ИТ и кризис ИБ (обсуждались на разных форумах много лет назад, не буду здесь описывать их подноготную). Известно, что нужно делать, чтобы из этих кризисов выходить. ИБ (как и ИТ), действительно, нужно сближаться с бизнесом. Но чтоб ИБ как раковую опухоль описывать? Зачем людей обижать? Чем обосновывается такой вывод? Тем, что DLP может вылавливать организованную, пусть даже и мошенническую или преступную, деятельность? Что это за DLP? Какое их назначение? Разве для этого они предназначены? Может в той организации информбезопасники просто влезли не туда, куда нужно? Однако не стоит (рискованно) работать против своей организации или ее руководства (чем бы оно не занималось). Какое отношение эта тема (в т.ч. раковых опухолей) имеет к DLP и информбезопасности, которая может быть везде, даже в преступных организациях. Причем здесь политика и медицинская терминология?
0 |
  • Поделиться
  • Ссылка