Ошибки при формировании информационной безопасности в компании. Ч. 1.

Арина Васильева

руководитель PR-направления

Задать вопрос автору

В текущих реалиях российского бизнеса еще бытует убеждение, что для формирования информационной безопасности в компании нужно всего лишь нанять специалиста по ИБ. При таком сценарии руководство компании просто забывает обо всем, что с этой безопасностью связано, а за все проблемы отвечает нанятый специалист. Ведь теперь есть тот, кому официально делегирована вся эта головная боль.

Арина Васильева, ICL Services, Основные ошибки при формировании информационной безопасности в компании. Часть первая, информационная безопасность, формирование системы управления информационной безопасностью, ИБ, кибербезопасность, безопасность информационная, информационные технологии

И этого для многих компаний, работающих в различных отраслях бизнеса, будет достаточно, как минимум, для соответствия законодательству. А если нанятый человек попытается что-то изменить в системе безопасности, за которую он отвечает, то на него будут смотреть косо, как руководство, так и коллеги.

Читайте также: Как уберечь себя от хакерских атак и научить этому сотрудников

Представим ситуацию: в такую компанию наняли Иннокентия. (*В данной утрированной истории предлагаем рассмотреть распространенные сложности и ошибки при погружении в этот «дивный новый мир» для российского бизнеса – формирование системы управления информационной безопасностью).

«Иннокентий, нам бы просто пройти проверку…», – поставил задачу эксперту по ИБ директор компании. Но Иннокентий решает изменить мир.

Ситуация первая. «Иннокентий, мы тебя не для того наняли, чтобы ты нас своими вопросами и идеями грузил» – отсутствие вовлеченности руководства в вопросы ИБ.

Когда руководство абстрагируется от участия в управлении ИБ, и более того, не видит в ИБ смысла, кроме как в выполнении требований законодательства и регуляторов, то можно лишь посочувствовать Иннокентию, так как без участия руководства не построить работающей системы управления ИБ. Бизнес говорит на языке денег, а значит типовые аргументы начинающего специалиста, в духе «так безопаснее», «эта система лучше», «на западе это давно внедрили» и т.п., не будут для топ-менеджмента убедительными.

Получается, чтобы заручиться поддержкой руководства в рамках внедрения и эксплуатации системы управления ИБ, необходимо продать им ее, т.е. доказать, что инвестиции в ИБ окупаются и открывают новые горизонты для развития бизнеса.

Допустим, Иннокентию удалось убедить руководство инвестировать в ИБ. «Иннокентий, вот тебе деньги, покупай уже, что хочешь». Наш герой начинает искать всяческие передовые системы защиты информации, чтобы сделать все «секьюрней некуда». Но, к счастью, у одного из вендоров в нашей истории ему попадается опытный консультант, который задает ему вопрос: «Иннокентий, а для чего вам все это»?

Ситуация вторая. «А какую задачу я решаю сейчас?»  отсутствие понимания потребностей заинтересованных сторон, целей ИБ, их соответствия целям компании и области применения системы управления ИБ.

Получается, что Иннокентий, окрыленный выделенным бюджетом, забыл, что собирался сформировать систему управления ИБ, а не купить себе новые игрушки, не подумал для кого он это делает, а главное  для чего. Иннокентий снова идет к руководству.

При хорошем исходе он получает ответы на интересующие его вопросы и понимает, что всю эту информацию надо задокументировать, чтобы ни он, ни руководство, ни иные заинтересованные стороны ничего не забыли и конечный результат соответствовал их ожиданиям. Так в муках у Иннокентия родилась Политика информационной безопасности, которую он решил использовать в качестве фундамента для системы управления информационной безопасностью (СУИБ).

Ситуация третья. «Кто отвечает за ИБ?  ИБэшник»  отсутствие распределения ответственности и полномочий.

Арина Васильева, ICL Services, Основные ошибки при формировании информационной безопасности в компании. Часть первая, информационная безопасность, формирование системы управления информационной безопасностью, ИБ, кибербезопасность, безопасность информационная, информационные технологии

Иннокентий из последних сил, но тщетно, пытается взаимодействовать с подразделениями компании, но все в голос твердят, что это не их проблемы, и слушать его никто не хочет. «Какие еще процессы? Не мешай работать. Мы тебе свою работу не навязываем».

Смотрите также: Взаимодействие HR со Службой безопасности

Иннокентий идет к руководству и озвучивает, что для достижения поставленных целей ИБ и, соответственно, возврата инвестиций, нужно определить полномочия и ответственность для всех, имеющих отношение к СУИБ, так как ИБ – это дело общее. Рычаг найден, и теперь у Иннокентия есть согласованная возможность донести цели ИБ и процессный подход до своих коллег. А также проконтролировать выполнение будущих задач в рамках поддержания и эксплуатации системы управления ИБ.

Продолжение следует.

Фото ICL Services

При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна

Добавлено 07 сентября 2018

Понравилась статья? Поделись ей с друзьями!





Комментировать
© Информационно-образовательный портал HR-tv.ru, 2012—2020. Все права защищены. Материалы ресурса являются собственностью компании.

Размещение видеороликов, статей и иных материалов на сторонних ресурсах возможно при однозначном указании источника (активная ссылка обязательна!). На регулярную и массовую републикацию материалов требуется разрешение редакции.

info@hr-tv.ru
zen.yandex.ru/id/5c4985c078e51100ad6218d5
Разработка сайта — группа «Энерго»


Яндекс.Метрика
-->