Ошибки при формировании информационной безопасности в компании. Ч. 1.

В текущих реалиях российского бизнеса еще бытует убеждение, что для формирования информационной безопасности в компании нужно всего лишь нанять специалиста по ИБ. При таком сценарии руководство компании просто забывает обо всем, что с этой безопасностью связано, а за все проблемы отвечает нанятый специалист. Ведь теперь есть тот, кому официально делегирована вся эта головная боль.

Арина Васильева, ICL Services, Основные ошибки при формировании информационной безопасности в компании. Часть первая, информационная безопасность, формирование системы управления информационной безопасностью, ИБ, кибербезопасность, безопасность информационная, информационные технологии

И этого для многих компаний, работающих в различных отраслях бизнеса, будет достаточно, как минимум, для соответствия законодательству. А если нанятый человек попытается что-то изменить в системе безопасности, за которую он отвечает, то на него будут смотреть косо, как руководство, так и коллеги.

Читайте также: Как уберечь себя от хакерских атак и научить этому сотрудников

Представим ситуацию: в такую компанию наняли Иннокентия. (*В данной утрированной истории предлагаем рассмотреть распространенные сложности и ошибки при погружении в этот «дивный новый мир» для российского бизнеса – формирование системы управления информационной безопасностью).

«Иннокентий, нам бы просто пройти проверку…», – поставил задачу эксперту по ИБ директор компании. Но Иннокентий решает изменить мир.

Ситуация первая. «Иннокентий, мы тебя не для того наняли, чтобы ты нас своими вопросами и идеями грузил» – отсутствие вовлеченности руководства в вопросы ИБ.

Когда руководство абстрагируется от участия в управлении ИБ, и более того, не видит в ИБ смысла, кроме как в выполнении требований законодательства и регуляторов, то можно лишь посочувствовать Иннокентию, так как без участия руководства не построить работающей системы управления ИБ. Бизнес говорит на языке денег, а значит типовые аргументы начинающего специалиста, в духе «так безопаснее», «эта система лучше», «на западе это давно внедрили» и т.п., не будут для топ-менеджмента убедительными.

Получается, чтобы заручиться поддержкой руководства в рамках внедрения и эксплуатации системы управления ИБ, необходимо продать им ее, т.е. доказать, что инвестиции в ИБ окупаются и открывают новые горизонты для развития бизнеса.

Допустим, Иннокентию удалось убедить руководство инвестировать в ИБ. «Иннокентий, вот тебе деньги, покупай уже, что хочешь». Наш герой начинает искать всяческие передовые системы защиты информации, чтобы сделать все «секьюрней некуда». Но, к счастью, у одного из вендоров в нашей истории ему попадается опытный консультант, который задает ему вопрос: «Иннокентий, а для чего вам все это»?

Ситуация вторая. «А какую задачу я решаю сейчас?» отсутствие понимания потребностей заинтересованных сторон, целей ИБ, их соответствия целям компании и области применения системы управления ИБ.

Получается, что Иннокентий, окрыленный выделенным бюджетом, забыл, что собирался сформировать систему управления ИБ, а не купить себе новые игрушки, не подумал для кого он это делает, а главное для чего. Иннокентий снова идет к руководству.

При хорошем исходе он получает ответы на интересующие его вопросы и понимает, что всю эту информацию надо задокументировать, чтобы ни он, ни руководство, ни иные заинтересованные стороны ничего не забыли и конечный результат соответствовал их ожиданиям. Так в муках у Иннокентия родилась Политика информационной безопасности, которую он решил использовать в качестве фундамента для системы управления информационной безопасностью (СУИБ).

Ситуация третья. «Кто отвечает за ИБ? ИБэшник» отсутствие распределения ответственности и полномочий.

Арина Васильева, ICL Services, Основные ошибки при формировании информационной безопасности в компании. Часть первая, информационная безопасность, формирование системы управления информационной безопасностью, ИБ, кибербезопасность, безопасность информационная, информационные технологии

Иннокентий из последних сил, но тщетно, пытается взаимодействовать с подразделениями компании, но все в голос твердят, что это не их проблемы, и слушать его никто не хочет. «Какие еще процессы? Не мешай работать. Мы тебе свою работу не навязываем».

Смотрите также: Взаимодействие HR со Службой безопасности

Иннокентий идет к руководству и озвучивает, что для достижения поставленных целей ИБ и, соответственно, возврата инвестиций, нужно определить полномочия и ответственность для всех, имеющих отношение к СУИБ, так как ИБ – это дело общее. Рычаг найден, и теперь у Иннокентия есть согласованная возможность донести цели ИБ и процессный подход до своих коллег. А также проконтролировать выполнение будущих задач в рамках поддержания и эксплуатации системы управления ИБ.

Продолжение следует.

Фото ICL Services

При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна

0

Что Вы думаете об этом?

Прокомментировать

Рекомендуемые материалы

Владимир Шипков
Топ-менеджеры в эпоху цифровых технологий

Переход с пара на электричество в мировой промышленной индустрии занял почти полвека — с 80-х годов XIX века по 30-е годы XX столетия. Сейчас все преимущества электроэнергии очевидны и неоспоримы, но в то время большинство владельцев мануфактур и фабрик сознательно или неосознанно сопротивлялись неизбежному прогрессу: и в силу инертности сознания, и из-за отсутствия гибкости и коммерческого чутья. И только те, кто первыми оценил перспективы инновации и оперативно внедрил новшество на своих производствах, получили колоссальное конкурентное преимущества.

В контексте цифровизации бизнеса имеет место похожая ситуация. В этой статье бизнес-эксперт в сфере медицины Владимир Шипков рассмотрит роль топ-менеджмента в цифровой трансформации предприятия и проанализирует влияние digital-технологий на коммерческую деятельность компаний.