Ошибки при формировании информационной безопасности в компании. Ч. 2.
Продолжение. Первая часть .
Ситуация четвертая. «А если ты потеряешь запасной билет? – А на этот случай у меня есть проездной!» - отсутствие риск-ориентированного подхода в управлении ИБ.
Иннокентий прекрасно понимает, что СУИБ опирается на людей, процессы и технологии. И только работая по всем трем фронтам, можно добиться желаемых результатов, удовлетворить все заинтересованные стороны, достигнуть целей информационной безопаности.
Он начинает планировать мероприятия по достижению целей ИБ. И чем дальше Иннокентий продвигается в этом направлении, тем больше он понимает (отвечая самому себе на очевидные вопросы:
- что нужно сделать?
- какие понадобятся ресурсы?
- кто будет отвечать за реализацию?
- когда меры будут реализованы?
- как оценить результаты внедрения?
- что с целями что-то не так: очень уж дорого и сложно получается их достигнуть.
Читайте также: 10 типичных ошибок руководителя ИБ
«Идти к руководству с таким планированием – это риск», - подумал Иннокентий. И правильно сделал.
Иннокентий своевременно понял, что нужно учитывать риски при определении целей ИБ и планировать меры по достижению целей, исходя из принципа разумной достаточности.
Но какие риски у компании есть? Изучив лучшие практики по управлению рисками, Иннокентий пришел к руководству с адаптированным под организацию подходом к управлению рисками (контекстом управления рисками ИБ, критериями, верхнеуровневой схемой процесса, и т.д.).
К счастью (и не только для Иннокентия), данный подход был принят руководством, была сформирована и согласована модель угроз, сформирована карта рисков, которые необходимо теперь оценить. «Иннокентий, ты же Ибэшник? Вот ты и оцени», - сказало руководство, но Иннокентий стоял на своем.
Он донес до всех заинтересованных сторон, что оценивать риск и принимать ответственность за его оценку и стратегию обработки нужно представителям бизнеса, тем, кому будет реально «плохо» от реализации выявленных рисков, тем, кто может принимать решения о выделении ресурсов для снижения рисков, и что он, как «Ибэшник», будет им в этом помогать.
Смотрите также: Взаимодействие HR со Службой безопасности
Теперь, когда риски стали известны, Иннокентий дал руководству взглянуть на определенные ранее цели ИБ с другого ракурса и все стало на свои места. «Ну что? Теперь можно приступить к планированию», - сказал себе Иннокентий и засучил рукава.
Продолжение следует...
Фото Pixabay
При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна
Что Вы думаете об этом?