Автор молодец! Хорошо прорекламировал "курс «Как увязать безопасность с бизнес-стратегией предприятия?»" который он смог создать "набив шишки и синяки в реальной, практической работе". ага.
Спасибо за правильную статью: писать их надо, даже если читатели пока не очень воспринимают. Дествительно в российском восприятии Information security management все время выпадает ключевое management (управленческая деятельность).
>постарайтесь показать всем сотрудникам, что безопасность не мешает, а способствует решению, стоящих перед ними задач.
Похоже, что автор - истинный теоретик. Реальная безопасность НЕ МОЖЕТ НЕ МЕШАТЬ. Даже элементарный дверной замок - уже помеха и задержка (что иногда может стоить даже жизни). Но люди осознано идут на ограничения и неудобства безопасности, когда знают ради чего. И не надо им вешать лапшу, что безопасность якобы чему-то способствует. Надо искать оптимум функции риски-затраты и разъяснять людям ради чего они должны терпеть/привыкать к ограничениям
>Даже элементарный дверной замок - уже помеха и задержка (что иногда может стоить даже жизни). Но люди осознано идут на ограничения и неудобства безопасности, когда знают ради чего.
Насколько я понимаю, автор именно это и хотел сказать. И Вы продемонстировали именно то понимание, о котором говорит автор.
Действительно, не будь замков, а еще лучше дверей, в дом было лы входить существенно удобнее. Но, наша цель - не только комфортно входить, но и нормально жить в этом доме. Вообще многое было бы удобно делать просто - договорись, ни каких бумаг не подписали, все быстро, удобно. Но через какое то время появляются мошенники.
Очень многое в нашей жизни было бы удобнее, если бы не угрозы. Мы даже об этом не задумывается. Просто мы знаем, что без некоторых мер мы попадем в нехорошие ситуации.
А про защиту информационной системы мы часто этого не знаем. Вот как меры по защите органично могут вписаться в бизнес и надо говорить. Я так понял статью.
Атор пишет Не безопасность, не ИТ, а именно бизнес. А значит все должно быть направлено на достижение бизнес-целей и все технологии должны способствовать росту, а не мешать ему.
Вроде все правильно. Но руководство должно понять само зачем ему нужен еще один директор, который будет просить денег непонятно на что и не понятно зачем, причем эти затраты напрямую или косвено ничем не окупаются. Управление рисков это вроде как хорошо доказывает о необходимости вкадывания (закапывания) денег (все зависит от мировозрения начальства).
Ответ на вопрос возможно кроется в том, что люди которые занимают должности CISO или им подобные, как правило бывшие военные, начальники 1 отделов, милиционеры, ФСБ. (пусть даже с не закостенелыми мозгами) Им с трудом даются ИТ технологии. Что такое межсетевые экраны, антивирусы, VPN, TCP/IP, стек протоколов, «эксплоит», IPSec и другие они понимают только на картинках не понимая сути. Человек который не понимает с чем его люди работают не может объяснить другим не понимающим людям зачем им это надо. Кстати яркий пример мышления этих товарищей это рук. доки и законы которые они создают. С точки зрения технического специалиста полный бред, хотя есть и разумные вещи. Могу привести пример. А людей прошедших полный путь от администратора ИС до CISO, и прошедших соответсвующего обучение по администрированию и управлению персоналом (поработавшим на должностях) очень мало. Еще меньше комнаний в которых руководство начинает понимать зачем им это нужно.
PS: Приведите хотя бы один пример, который бы приносил деньги компании. Доказывать за чем это надо это прямая обязаность этого товарища.
Выравнивание IT и бизнеса и выравнивание ИБ и бизнеса - цели, до которых организация (ее менеджмент) должна дорости...
А если смотреть шире, то до подобного понимания должно дорости Общество. Ведь что из себя представляет эта пресловутая "russian specific" - управление "по понятиям" в широком смысле этого слова. Государство решает свои задачи по понятиям (в лице чиновнического аппарата), т.к. законы не соблюдаются (плохие/хорошие - другой вопрос). Бизнес решает свои задачи по понятиям в виду зависимости от государства (не решишь по понятием - риск потери бизнеса), т.к. опять же законы не соблюдаются. А что безопасность? Да то же самое! В большинстве случаев все решается по понятиям. Т.к. зачастую закона (политики безопасности) просто нет, а если есть, то безопасниками же нарушается. Друг админа (здесь синоним безопасника) - держи Интернет. Ведь по понятиям же! Причем тут бизнес-необходимость наличия Интернета для выполнения функциональных обязанностей? )
В России, с существующим уровнем развития Общества, со сложившейся практикой, менталитетом наших спецов, рассмотрение подобных вопросов пока, как мне кажется, будет мало кого интересовать, а жаль. Но высвечивание данных проблем и донесение их до широкого круга лиц необходимо и очень важно.
В очередной раз порадовался статье Алексея! Спасибо.
kutkh пишет: эти затраты напрямую или косвено ничем не окупаются Приведите хотя бы один пример
Приведу отвлеченный (кажется, уже где-то анонимно приводил): приобретение детского автомобильного кресла позволяет Вам показывать своего ребенка лучшим эскулапам региона, а не фельдшеру из местной санчасти. Или быстрее ехать, если Вы и прежде рисковали его к ним без кресла возить. Или меньше потом лечить, если все-таки, не дай бог, какое ДТП. Есть выгоды от затрат на безопасность? В бизнесе то же самое: он начинает позволять себе больше, его возможности расширяются. Умный бизнес это и сам понимает, в глупый надо хорошего CISO подсаживать, который объясняет.
Ригель пишет: Приведу отвлеченный (кажется, уже где-то приводил): приобретение детского автомобильного кресла позволяет Вам показывать своего ребенка лучшим эскулапам региона, а не фельдшеру из местной санчасти. Или быстрее ехать, если Вы и прежде рисковали его к ним без кресла возить. Или меньше потом лечить, если все-таки, не дай бог, какое ДТП. Есть выгоды от затрат на безопасность? В бизнесе тоже. Умный бизнес это и сам понимает, в глупый надо хорошего CISO подсаживать, который объяснит.
а не надо отвлеченных примеров. Ведь *уйню несете товарисч. другой пример давайте, из нормальной области, а то этот из разряда "видишь суслика? -- а он есть..."
кстати и чем же кресло поможет попасть к светилу медицины? в данном примере вы сообщаете, что собираетесь нарушать с коростные режимы, несоблюдать правила и т.п. при наличии этого спецкресла.
Главным виновником нарушения информационной безопасности как известно является микрософт виндовс и все что связано с микрософт: если посмотреть какие сети взломаны микрософт вирусами - то с удивлением можно среди них увидеть и банки и гос учереждения и даже недавно пошел вирус из кремлевской сети - меня всегда интерисовал вопрос - когда привлекут биллгейтса к ответственности за создание благоприятной среды для кибертерористов мошенников и спамеров?
kutkh пишет: Подсаживать бесполезно, до этого необходимо самому бизнесу дойти.
А это, кстати, ответ Лукацкому: в России низок уровень CISO, потому что крайне низка ступень развития у самих CEO - дикие они. Не осознается пока потребность. Вот когда период "чисто рубим бабло по-легкому" заканчивается, то начинают искательно шарить по сторонам и извилинами шевелить на предмет "где у нас еще какие-нибудь резервы для роста" и слушать умные советы.
Гость пишет: ой далеко не всякому бизнесу это нужно в виде отдельного департамента. очень далеко не всякому. в сущности только большим конторам.
Для мелких контор это абсолютно не надо. В этом случае мы спускаемся до покупки отдельного средства защиты (автомобильного кресла). Для больших же контор нужны комплексные средства. Например детское кресло совмещенное с системой пожаротушения и катапультой.
Гость пишет: другой пример давайте, из нормальной области
У меня времени мало, чтобы лучше объяснять. Ок. Некоторый бизнес не внедряет, скажем, интернет-трейдинг, потому что боится (небезосновательно, кстати). А выгоды от него обещаются отличные (значительный прирост покупателей) - скажем, $1 млн. А вложение в безопасность $0.1 млн. позволит ему ее получить. А не вложение не позволит. +$0.9 млн. это хороший эффект от -$0.1 млн.?
Ригель пишет: У меня времени мало, чтобы лучше объяснять. Ок. Некоторый бизнес не внедряет, скажем, интернет-трейдинг, потому что боится (небезосновательно, кстати).
Уже ближе. Боится потому, что некому подсказать как безопаснее. Явный пример. А что-то среднее между этим примером и детским креслом можно придумать? В этом примере компания может быть и маленькой и наличия CISO может и не быть так же как it директора. Или it директор совмещает эти две должности.