Ошибки при формировании информационной безопасности в компании. Ч. 1.
В текущих реалиях российского бизнеса еще бытует убеждение, что для формирования информационной безопасности в компании нужно всего лишь нанять специалиста по ИБ. При таком сценарии руководство компании просто забывает обо всем, что с этой безопасностью связано, а за все проблемы отвечает нанятый специалист. Ведь теперь есть тот, кому официально делегирована вся эта головная боль.
И этого для многих компаний, работающих в различных отраслях бизнеса, будет достаточно, как минимум, для соответствия законодательству. А если нанятый человек попытается что-то изменить в системе безопасности, за которую он отвечает, то на него будут смотреть косо, как руководство, так и коллеги.
Читайте также: Как уберечь себя от хакерских атак и научить этому сотрудников
Представим ситуацию: в такую компанию наняли Иннокентия. (*В данной утрированной истории предлагаем рассмотреть распространенные сложности и ошибки при погружении в этот «дивный новый мир» для российского бизнеса – формирование системы управления информационной безопасностью).
«Иннокентий, нам бы просто пройти проверку…», – поставил задачу эксперту по ИБ директор компании. Но Иннокентий решает изменить мир.
Ситуация первая. «Иннокентий, мы тебя не для того наняли, чтобы ты нас своими вопросами и идеями грузил» – отсутствие вовлеченности руководства в вопросы ИБ.
Когда руководство абстрагируется от участия в управлении ИБ, и более того, не видит в ИБ смысла, кроме как в выполнении требований законодательства и регуляторов, то можно лишь посочувствовать Иннокентию, так как без участия руководства не построить работающей системы управления ИБ. Бизнес говорит на языке денег, а значит типовые аргументы начинающего специалиста, в духе «так безопаснее», «эта система лучше», «на западе это давно внедрили» и т.п., не будут для топ-менеджмента убедительными.
Получается, чтобы заручиться поддержкой руководства в рамках внедрения и эксплуатации системы управления ИБ, необходимо продать им ее, т.е. доказать, что инвестиции в ИБ окупаются и открывают новые горизонты для развития бизнеса.
Допустим, Иннокентию удалось убедить руководство инвестировать в ИБ. «Иннокентий, вот тебе деньги, покупай уже, что хочешь». Наш герой начинает искать всяческие передовые системы защиты информации, чтобы сделать все «секьюрней некуда». Но, к счастью, у одного из вендоров в нашей истории ему попадается опытный консультант, который задает ему вопрос: «Иннокентий, а для чего вам все это»?
Ситуация вторая. «А какую задачу я решаю сейчас?» – отсутствие понимания потребностей заинтересованных сторон, целей ИБ, их соответствия целям компании и области применения системы управления ИБ.
Получается, что Иннокентий, окрыленный выделенным бюджетом, забыл, что собирался сформировать систему управления ИБ, а не купить себе новые игрушки, не подумал для кого он это делает, а главное – для чего. Иннокентий снова идет к руководству.
При хорошем исходе он получает ответы на интересующие его вопросы и понимает, что всю эту информацию надо задокументировать, чтобы ни он, ни руководство, ни иные заинтересованные стороны ничего не забыли и конечный результат соответствовал их ожиданиям. Так в муках у Иннокентия родилась Политика информационной безопасности, которую он решил использовать в качестве фундамента для системы управления информационной безопасностью (СУИБ).
Ситуация третья. «Кто отвечает за ИБ? – ИБэшник» – отсутствие распределения ответственности и полномочий.
Иннокентий из последних сил, но тщетно, пытается взаимодействовать с подразделениями компании, но все в голос твердят, что это не их проблемы, и слушать его никто не хочет. «Какие еще процессы? Не мешай работать. Мы тебе свою работу не навязываем».
Смотрите также: Взаимодействие HR со Службой безопасности
Иннокентий идет к руководству и озвучивает, что для достижения поставленных целей ИБ и, соответственно, возврата инвестиций, нужно определить полномочия и ответственность для всех, имеющих отношение к СУИБ, так как ИБ – это дело общее. Рычаг найден, и теперь у Иннокентия есть согласованная возможность донести цели ИБ и процессный подход до своих коллег. А также проконтролировать выполнение будущих задач в рамках поддержания и эксплуатации системы управления ИБ.
Продолжение следует.
Фото ICL Services
При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна
Что Вы думаете об этом?