ИБ для бизнеса на примере HR-подразделения: пять уровней зрелости

ИБ для бизнеса на примере HR-подразделения: пять уровней зрелости
Когда заводишь разговор о том, что дает ИБ для бизнеса и как начать общаться с бизнесом про ИБ на его языке, я часто слышу просьбу, показать на примере, как можно трансформироваться от привычного восприятия ИБ в сторону бизнес-подхода. И тут вчера, внезапно, пришла в голову интересная аналогия, которая показывает не просто трансформацию, а целую модель зрелости бизнес-взгляда к ИБ. И сделаю это на примере подразделения по работе с персоналом (HR).

интересный кейс был реализован в "Почте России". С помощью новой автоматизированной системы "1С" удалось выявить "мертвые души" в почтовых отделениях (их число достигало в отдельных отделениях 50%), выявив фальшивые трудовые книжки и выплаты несуществующим людям. Это угроза и угроза в большой и распределенной компании достаточно серьезная. И может быть даже более опасная, чем какая-нибудь DDoS-атака. Чья это епархия? HR? Безусловно. Но они и сами могут быть вовлечены в преступный сговор с целью незаконного обогащения за корпоративный счет. И вот тут вновь нам помогает ИБ, так как она может контролировать информационные потоки, отслеживать события, связанные с тем или иным процессом, анализировать отклонения от эталонного состояния и их допустимость и т.п. Да, это не МСЭ и не антивирус, не контроль Netflow и не разграничение сетевого доступа. Но это все равно информационная безопасность и именно такая ИБ максимально приближена к бизнесу.

PS. О пятом уровне зрелости рассказывал Рустем Хайретдинов на последнем, московском " Код ИБ. Профи " (правда, он не использовал аналогию с моделью зрелости). На сочинском "Код ИБ. Профи" Рустем разовьет эту идею и в рамках своего мастер-класса вместе со слушателями выберет несколько реальных бизнес-процессов и покажет, как выявлять в них аномалии и как увязать ИБ с бизнесом.


Alt text