Поиск  Пользователи  Правила 
Закрыть
Логин:
Пароль:
Забыли свой пароль?
Войти
 
Страницы: 1 2 3 След.
RSS
«Может ли отдел ИБ приносить прибыль своей организации?»
 
Обсуждение статьи «Может ли отдел ИБ приносить прибыль своей организации?»
Luka
 
Вообще-то статья не говорит, как отдел ИБ может приносить прибыль ;-) Она говорит, как предотвратить ущерб. Но это неважно. Интересная дискуссия родилась на прошедшем на днях Инфофоруме. Один хороший человек высказал идею, что безопасность только тогда будет важна руководству, когда руководство ткнут лицом в конкретный серьезный инцидент. В противном случае, безопасность всегда будет в загоне. Иными словами, если вы работаете слишком хорошо и инцидентов с ИБ у вас нет, то значит вы работаете "плохо" и руководство вас юбудет даржать на длинном поводке. А если инцидентов нет, то надо их создать. Вот такой интересный вывод. И мало кто пытается показать роль безопасности с другой точки зрения. Не реактивную, а активную или проактивную, способствующую росту.
Luka
 
Цитата
И мало кто пытается показать роль безопасности с другой точки зрения. Не реактивную, а активную или проактивную, способствующую росту.
Многие из топ-менеджеров не доросли ещё до того, чтобы рассматривать этот вопрос под таким углом.
Институт CSO в России покачто в зародыше. В большинстве случаев высшая должность безопасника в организации ограничивается начальником отдела, с соответсвующим (низким) уровнем привилегий, влияния, и т.п.
 
Да не будет CSO никогда , это "мечта" безопасника никогда не сбудется!
И не потому что люди не понимают роль безопасности a потому что ей (ИБ) нету места  в компании как отдельного звена!

1 в маленьких компаниях такая роль слишком "затратна"
2 в больших компаниях часть ИБ а именно менеджмент ИБ входит в подразделение администрирования рисков, а на операционном уровне ИБ входит в ИТ подразделение !!!

не верите ? Берите организационные структуры больших иностранных компаний и найдите там CSO ....


P.S. И с усовершенствием ИТ систем и с ростом зрелости компании роль ИБ еще больше уменьшится
 
Цитата
Один хороший человек высказал идею, что безопасность только тогда будет важна руководству, когда руководство ткнут лицом в конкретный серьезный инцидент. В противном случае, безопасность всегда будет в загоне. Иными словами, если вы работаете слишком хорошо и инцидентов с ИБ у вас нет, то значит вы работаете "плохо" и руководство вас юбудет даржать на длинном поводке. А если инцидентов нет, то надо их создать. Вот такой интересный вывод. И мало кто пытается показать роль безопасности с другой точки зрения. Не реактивную, а активную или проактивную, способствующую росту.
Не один человек, а могу с уверенностью сказать "БОЛЬШИНСТВО так говорят". Вообще, предлагаю создать отдельную тему в форуме и каждый может высказаться: Как в его организации решаются проблемы связанные  с обоснованием затрат на ИБ (у нас например, херово). А также интересно узнать организационную структуру и какое место там занимает подразделение ИБ. Как разграничиваются полномочия ИТ и ИБ. Ну все такое... Эй, модераторы? Посодействуйте :)
 
Считаю, Автор статьи хотел привести не только этот случай из своего практикума. Но, судя по всему, его пыл и желание написать статью резко угасли. Примерно - к середине статьи.

Теперь ближе к теме. А именно - возврат инвестиций, вкладываемых в информационную безопасность.
Самое распространенное - это предусмотреть в Инструкциях меры ответственности в зависимости от степени тяжести нарушения. Естественно, выражающиеся в проценте от заработной платы, бонусов, премий и т.п.
Не поверю, инцидентов ИБ в компаниях, где "хорошо построена ИБ" - нет. Инциденты есть всегда. Другое - что считать инцидентами. Персонал меняется, кто то думает проскочить "на халяву, да на авось". Это Россия. Это люди.
 
Интересная ситуация - хорошо работать невыгодно! Что было бы, если бы ИБ отдел регулярно смотрел логи (кстати, почему этого не делалось?)и заметил бы странности, пока ущерб был бы еще невелик? Да никто бы и не заметил их достижения! А так за то, что прошляпили убыток - в героях ходят!
Цитата
Если, предположим,  находить и расследовать в год  пару-тройку подобных случаев, пресекая финансовые потери организации, то  любой отдел ИБ может показать свою весомую значимость в бизнесе организации.
Главное не сразу их пресекать, а дождаться, пока беды побольше наделают  :D
А по-хорошему, надо бы разработать и принять внутрикорпоративный стандарт по оценке предотвращенного возможного ущерба и оценивать работу ИБ по нему. А за реально понесенный ущерб - наказывать.
 
Цитата
R пишет:
P.S. И с усовершенствием ИТ систем и с ростом зрелости компании роль ИБ еще больше уменьшится

Это будет здорово! В принципе мы к этому и стремимся. Только вот, скоро ли произойдет у нас  при нашем то менталитете это знаменательное событие?
 
А может нужно исходить из факта что злоумышленники есть всегда?

Да и вобщем то инциденты безопасности без злого умысла тоже бывают.

IMHO оценивать отдел ИБ можно по факту выполнения документированных процедур.
Если произошел инцидент и все документированные процедуры выполнялись - значит вины в отделе ИБ тут нет. Главное чтобы по фактам инцидента были внесены соответствующие коррективы в существующие процедуры.

Как пример с колбасой на заводе - сотрудники постоянно выносят колбасу и охрана их не обнаруживает, виновата при этом охрана или нет?
Ответ простой - если охранник выполнял все пункты инструкции по пресечению выноса колбасы, но вины его тут нет, а если не выполнял то вина есть. И так же можно определить качество его работы, попытаться вынести колбасу, которая должна быть 100% обнаружена в рамках существующих процедур.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
-=Shell=- пишет:
Считаю, Автор статьи хотел привести не только этот случай из своего практикума. Но, судя по всему, его пыл и желание написать статью резко угасли. Примерно - к середине статьи.

Да, примеров действительно много в запасе. Только зачем их приводить? У многих присутствующих здесь,  думаю  и своих не мало (может даже случайных, но в тему). Материал вобщем то и не задумывался как  статья (это заметки скорее, чем статья), хотелось вызвать народ на разговор, услышать оригинальные мнения на этот счет.
 
Цитата
Alkor пишет:
Это будет здорово! В принципе мы к этому и стремимся. Только вот, скоро ли произойдет у нас при нашем то менталитете это знаменательное событие?
Тут как раз роль ИТ уменьшится. Чем больше ИТ системы влияют на бизнес, тем качественнее их надо контролировать. Не должно быть ситуации когда обычный админ может поставить под урозу работу всей компании.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Jul_i пишет:
Главное не сразу их пресекать, а дождаться, пока беды побольше наделают  

Это совершенно не нужно, а вот инцидент должен быть виден и доказуем.
 
Про описание места отдела ИБ в структуре предприятия(первая половина статьи): почти под каждой строчкой могу подписаться :) Тут явно описана структура коммерческого предприятия, но я работаю в государственном и могу сказать что ситуация такая же: на отдел ИБ все смотрят как кочку об которую все спотыкаются, постоянные конфликты с автоматизацией(тоже что здесь ИТ-отдел).. ну и т.д. :)) Ну разве что бюджет планирует государство и тут уж как в Москве скажут так и будет и никто спорить разумеется не будет.
 
Цитата
Александр Антипов пишет:
Не должно быть ситуации когда обычный админ может поставить под урозу работу всей компании.

Да такого быть не должно, согласен. Но и нельзя все вешать на ИБ, админ должен отвечать тоже за определенные вещи. Главное найти оптимальный баланс в этом деле.
 
Цитата
Jul_i пишет:
А по-хорошему, надо бы разработать и принять внутрикорпоративный стандарт по оценке предотвращенного возможного ущерба и оценивать работу ИБ по нему. А за реально понесенный ущерб - наказывать

Это просто слова! Вы готовы, хотя бы в первом приближении или даже тезисно изложить основные положения такого стандарта? И кого главное наказывать за нанесенный ущерб? Который, надеюсь к тому же будет еще и правильно оценен.
 
Цитата
Alkor пишет:
а такого быть не должно, согласен. Но и нельзя все вешать на ИБ, админ должен отвечать тоже за определенные вещи. Главное найти оптимальный баланс в этом деле.
Не должно быть баланса! Админ должен уметь обслуживать ИТ систему и не более.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Александр Антипов пишет:
Админ должен уметь обслуживать ИТ систему и не более

Да, но выполняя при этом минимальные функции по вопросам ИБ (которые ему можно поручить), но естесственно в этом нельзя переходить грани разумного подхода.
 
Цитата
Alkor пишет:
а, но выполняя при этом минимальные функции по вопросам ИБ
Я бы сказал обслуживающие функции ИБ. Конечно эта задача админа.
Хочешь быть мудрым? Не желай всего, что видишь; не верь всему, что слышишь; не говори всего, что знаешь; не делай всего, что умеешь, а только то, что полезно.
 
Цитата
Alkor пишет:
Вы готовы, хотя бы в первом приближении или даже тезисно изложить основные положения такого стандарта?
Ну например так:
Чтобы можно было сравнивать, все ущербы нужно привести к какому-то общему знаменателю. Предположим, оцениваем ущерб среденмесячный. Целый меясц, конечно терпеть не надо. Пусть убытки длились несколько дней (в случае с интернет карточками, можно было бы учитывать даже не реальный ущерб, а рост числа попыток злоупотребления в логах) . Принимаем, что тенденция неизменна, экстраполируем эти данные и получаем месячный возможный ущерб.  

А наказывать нужно того, в чьих должностных инструкциях была обязанность следить за этим.
 
Цитата
Алексей Лукацкий пишет:
Вообще-то статья не говорит, как отдел ИБ может приносить прибыль  Она говорит, как предотвратить ущерб. Но это неважно. Один хороший человек высказал идею, что безопасность только тогда будет важна руководству, когда руководство ткнут лицом в конкретный серьезный инцидент. В противном случае, безопасность всегда будет в загоне. Иными словами, если вы работаете слишком хорошо и инцидентов с ИБ у вас нет, то значит вы работаете "плохо" и руководство вас будет держать на длинном поводке. А если инцидентов нет, то надо их создать. Вот такой интересный вывод. И мало кто пытается показать роль безопасности с другой точки зрения. Не реактивную, а активную или проактивную, способствующую росту.
Сейчас я Вас удивлю, но это... одно и то же. Если у организации нет такого объекта продажи, как безопасность, то эффект от нее кроется внутри основного дохода. Хотите - можете называть это прибавленной стоимостью, а хотите - неубавленной. Как удобнее.

За недостатком времени опять воспользуюсь метафорой. Я никогда не видел, чтобы в меню ресторана или какого другого пункта питания числилось блюдо "мытье тарелок, кастрюль и столов", но участвует ли это занятие в его бизнесе? Очевидно. (Специально беру такой пример, чтобы риски не объяснять за наглядностью. Кстати, реактивность и проактивность там тоже моделируются). Можно говорить, что гигиена позволяет получать дополнительные деньги. А можно, что позволяет не терять. Аптую.
Вот радио есть, а счастья нет. (с) Ильф
Страницы: 1 2 3 След.
Читают тему