Security Lab

Как донести до руководства важность ИБ?

Как донести до руководства важность ИБ?
Вопрос, вынесенный в заглавие поста, возникает на протяжении многих лет. В последнее время его пытаются освещать на различных мероприятиях по ИБ. В частности на DLP Conference эту тему поднимал я, а неделей позже на DLP Russia - Евгений Климов. Все сходятся на том, что нет общего языка между безопасниками и бизнесом (я про это еще несколько лет назад писал ; и тут ). И вот решил вновь вернуться к этой теме.

Просматривая на днях центр знаний сайта ISACA, наткнулся в очередной раз на документы из серии Val IT. Эта концепция направлена на то, чтобы показать значение/ценность ИТ для бизнеса. Ее можно применить и к ИБ. И вот в документе " Unlocking Value. An Executive Primer on the Critical Role of IT Governance " нашел 4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров:
  • Мы делаем правильные вещи?
  • Эти вещи мы делаем правильно?
  • Мы преуспели в достижении этих вещей?
  • Мы получили преимущества от того, что сделали эти правильные вещи?


В принципе, я эти вопросы уже описывал в своих презентациях по GRC несколько лет назад. Но хотелось бы вновь вернуться к этим вопросам и рассмотреть, что конкретно имеют ввиду топ-менеджеры задавая эти вопросы по тем или иным проектам, задачам, инициативам? Поняв это, мы сможем для себя определить, готовы ли мы выносить тему ИБ на уровень бизнеса. А если нет, то что нам нужно сделать, чтобы закрыть непростые вопросы.

Итак, первый, стратегический вопрос касается преимущественно инвестиций и разбивается на несколько более детальных:
  • Мы инвестируем в соответствие с нашим видением?
  • Наши инвестиции соответствуют нашим бизнес-принципам?
  • Наши инвестиции содействуюи нашим стратегическим целям?
  • Наши инвестиции оптимальны? Они находят баланс между размером инвестиций и уровнем принимаемых рисков?
  • Наши информационные активы, сервисы и другие ресурсы ИТ/ИБ фокусируются на реальных потребностях бизнеса и учитывают его приоритеты?
  • Мы знаем/понимаем, сколько мы всего тратим на ИБ?

Второй вопрос касается архитектуры и также может быть детализирован:
  • Мы инвестируем в соответствие с архитектурой предприятия?
  • Наши инвестиции соответствуют нашим архитектурным принципам и стандартам?
  • Мы достигаем синергии между нашими инвестициаями в различные инициативы и программы?
  • Наши сервисы ИБ/ИЬ бизируются на оптимальной инфраструктуре и ресурсах?

Третий вопрос касается реализации:
  • У нас эффективные процессы управления, доставки сервисов и контроля изменений?
  • У нас достаточно технических и бизнес ресурсов для реализации требуемых возможностей? Какие организационные изменения необходимо произвести для эффективного достижения поставленных целей?
  • Предлагаемые сервисы доступны в любое время и из любого места? Они надежны и защищены?

И, наконец, декомпозиция последнего вопроса о ценности приводит нас к следующему:
  • Мы понимаем ценность для нашего предприятия?
  • Мы понимаем реальные преимущества для нашего предприятия от сделанных инвестиций в сервисы, активы и другие ресурсы ИБ?
  • Мы понимаем, какими методами мы можем измерить достижение данных преимуществ?
  • У нас выстроен эффективный процесс реализации преимуществ на всем этапе экономического цикла наших инвестиций с целью получения оптимальных бизнес-результатов?

Разумеется, каждый из этих вопросов может быть детализирован и в итоге мы получаем список вопросов/задач, не такой "абстрактный" и вполне решаемый на практике. Но, разумеется, не так просто и не так быстро реализуемый, как это выглядит после прочтения данной заметки.
    безопасность бизнеса ISACA метрики
    Alt text

    Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

    Подписаться