Продолжим про ИБ и бизнес ;-) Буду возвращаться к своему курсу "Как связать безопасность и бизнес", который я читалеще 4 года назад. Начну с короткой притчи. Прохожий подходит к трем каменщикам и спрашивает их, что они делают. "Я кладу кирпичи", - ответил первый. "Я возвожу стену", - ответил второй. "Мы возмодим храм, где мы вместе будем молиться Богу!" - ответил третий. ИБ сегодня похожа на первого и, в лучшем случае, второго каменщика, которые не понимают ни потребностей заказчика строительства, ни своего вклада в общее дело. Эту притчу я прочитал в книжке "Управляя изменениями" Ицхака Адизеса, гуру бизнес-управления. Вообще в этой книге много говорится о бизнесе, потребностях и т.п. Рекомендую... Очень интересно и полезно; особенно если читать и преломлять ее на тему ИБ.
Но вернемся к ИБ и вопросам, на которые вы должны ответить:
Собственно этот пункт не менее важен, чем все остальные. Можно узнать, что нужно клиентам (в т.ч. и внутренним). Можно определить способы удовлетворения этих потребностей. Можно даже найти тех, кто может удовлетворить эти потребности. Но... если у них нет мотивации (а точнее, вы ее не определили), то все попытки добиться хоть чего-то полезного будут обречены на неудачу.
И вот тогда ИБ превратится в раковую опухоль, составляющую которую клетки обслуживают только себя. Компания существует для удовлетворения потребностей... клиентов/граждан/общества. И ИБ должна тоже. Правда, тут надо учитывать, что удовлетворять потребности можно не только внешние, но и внутренние. Например, банк создается для легализации денег, полученных преступных путем. Руководство такого банка мало интересуют потребности клиентов. Точнее интересуют. Но потребности специфические и достаточно узкой прослойки клиентов; на остальных наплевать. Готовы ли вы заниматься безопасностью в такой компании и для удовлетворения ТАКИХ потребностей?
В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили. А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана. В другом госоргане DLP-система работает, только "некоторые" информационные потоки идут в обход DLP, которая ловит только дураков из низшего звена. А все потому, что потребности руководства и госоргана не совпадают и безопасники не учли того, о чем я пишу последние три дня.
Но вернемся к ИБ и вопросам, на которые вы должны ответить:
- Вы определили, для кого существует ваш бизнес, госорган, некоммерческая организация? Кто ваши клиенты? Каковы их потребности?
- Вы определили, с кем надо сотрудничать для удовлетворения клиентов? (Про серых кардиналов и центры Силы мы еще поговорим)
- Что надо сделать для удовлетворения и как?
- Как должен это сделать?
- Чего хотят те, кто должен это сделать? Вот на этом этапе нам может помочь карта эмпатии.
Собственно этот пункт не менее важен, чем все остальные. Можно узнать, что нужно клиентам (в т.ч. и внутренним). Можно определить способы удовлетворения этих потребностей. Можно даже найти тех, кто может удовлетворить эти потребности. Но... если у них нет мотивации (а точнее, вы ее не определили), то все попытки добиться хоть чего-то полезного будут обречены на неудачу.
И вот тогда ИБ превратится в раковую опухоль, составляющую которую клетки обслуживают только себя. Компания существует для удовлетворения потребностей... клиентов/граждан/общества. И ИБ должна тоже. Правда, тут надо учитывать, что удовлетворять потребности можно не только внешние, но и внутренние. Например, банк создается для легализации денег, полученных преступных путем. Руководство такого банка мало интересуют потребности клиентов. Точнее интересуют. Но потребности специфические и достаточно узкой прослойки клиентов; на остальных наплевать. Готовы ли вы заниматься безопасностью в такой компании и для удовлетворения ТАКИХ потребностей?
В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили. А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана. В другом госоргане DLP-система работает, только "некоторые" информационные потоки идут в обход DLP, которая ловит только дураков из низшего звена. А все потому, что потребности руководства и госоргана не совпадают и безопасники не учли того, о чем я пишу последние три дня.
