Ошибки при формировании информационной безопасности в компании. Ч. 1.

6 сентября 2018 г.

В текущих реалиях российского бизнеса еще бытует убеждение, что для формирования информационной безопасности в компании нужно всего лишь нанять специалиста по ИБ. При таком сценарии руководство компании просто забывает обо всем, что с этой безопасностью связано, а за все проблемы отвечает нанятый специалист. Ведь теперь есть тот, кому официально делегирована вся эта головная боль.

Арина Васильева, ICL Services, Основные ошибки при формировании информационной безопасности в компании. Часть первая, информационная безопасность, формирование системы управления информационной безопасностью, ИБ, кибербезопасность, безопасность информационная, информационные технологии

И этого для многих компаний, работающих в различных отраслях бизнеса, будет достаточно, как минимум, для соответствия законодательству. А если нанятый человек попытается что-то изменить в системе безопасности, за которую он отвечает, то на него будут смотреть косо, как руководство, так и коллеги.

Представим ситуацию: в такую компанию наняли Иннокентия. (*В данной утрированной истории предлагаем рассмотреть распространенные сложности и ошибки при погружении в этот «дивный новый мир» для российского бизнеса – формирование системы управления информационной безопасностью).

«Иннокентий, нам бы просто пройти проверку…», – поставил задачу эксперту по ИБ директор компании. Но Иннокентий решает изменить мир.

Ситуация первая. «Иннокентий, мы тебя не для того наняли, чтобы ты нас своими вопросами и идеями грузил» – отсутствие вовлеченности руководства в вопросы ИБ.

Когда руководство абстрагируется от участия в управлении ИБ, и более того, не видит в ИБ смысла, кроме как в выполнении требований законодательства и регуляторов, то можно лишь посочувствовать Иннокентию, так как без участия руководства не построить работающей системы управления ИБ. Бизнес говорит на языке денег, а значит типовые аргументы начинающего специалиста, в духе «так безопаснее», «эта система лучше», «на западе это давно внедрили» и т.п., не будут для топ-менеджмента убедительными.

Получается, чтобы заручиться поддержкой руководства в рамках внедрения и эксплуатации системы управления ИБ, необходимо продать им ее, т.е. доказать, что инвестиции в ИБ окупаются и открывают новые горизонты для развития бизнеса.

Допустим, Иннокентию удалось убедить руководство инвестировать в ИБ. «Иннокентий, вот тебе деньги, покупай уже, что хочешь». Наш герой начинает искать всяческие передовые системы защиты информации, чтобы сделать все «секьюрней некуда». Но, к счастью, у одного из вендоров в нашей истории ему попадается опытный консультант, который задает ему вопрос: «Иннокентий, а для чего вам все это»?

Ситуация вторая. «А какую задачу я решаю сейчас?» – отсутствие понимания потребностей заинтересованных сторон, целей ИБ, их соответствия целям компании и области применения системы управления ИБ.

Получается, что Иннокентий, окрыленный выделенным бюджетом, забыл, что собирался сформировать систему управления ИБ, а не купить себе новые игрушки, не подумал для кого он это делает, а главное – для чего. Иннокентий снова идет к руководству.

При хорошем исходе он получает ответы на интересующие его вопросы и понимает, что всю эту информацию надо задокументировать, чтобы ни он, ни руководство, ни иные заинтересованные стороны ничего не забыли и конечный результат соответствовал их ожиданиям. Так в муках у Иннокентия родилась Политика информационной безопасности, которую он решил использовать в качестве фундамента для системы управления информационной безопасностью (СУИБ).

Ситуация третья. «Кто отвечает за ИБ? – ИБэшник» – отсутствие распределения ответственности и полномочий.

Иннокентий из последних сил, но тщетно, пытается взаимодействовать с подразделениями компании, но все в голос твердят, что это не их проблемы, и слушать его никто не хочет. «Какие еще процессы? Не мешай работать. Мы тебе свою работу не навязываем».

Смотрите также: Взаимодействие HR со Службой безопасности

Иннокентий идет к руководству и озвучивает, что для достижения поставленных целей ИБ и, соответственно, возврата инвестиций, нужно определить полномочия и ответственность для всех, имеющих отношение к СУИБ, так как ИБ – это дело общее. Рычаг найден, и теперь у Иннокентия есть согласованная возможность донести цели ИБ и процессный подход до своих коллег. А также проконтролировать выполнение будущих задач в рамках поддержания и эксплуатации системы управления ИБ.

Продолжение следует.

Фото ICL Services

При использовании материала гиперссылка на соответствующую страницу портала HR-tv.ru обязательна

#информационная безопасность #Информационнаябезопасность #кибербезопасность #безопасность #информационныетехнологии

Что Вы думаете об этом?

Получай свежие новости

Оформите подписку и получите полный доступ ко всем материалам на сайте, просмотр материалов без рекламы и скидку на все курсы в Академии TheHRD.

в Телеграм На почту

При использовании материала гиперссылка на соответствующую страницу портала TheHRD обязательна

Рекомендуемые материалы

Обучающий курс по охране труда, здоровья и экологии

Обучающий курс «АстраЗенеки» претендует на победу в номинации PLAY HARD бизнес-премии WOW!HR2024.

Видеовизитка: «Лига экспертов» от компании «Самолет»

Видеовизитка компании Газпромбанк: карьерный хет-трик

Видеовизитка: «Суперцели» КЛЮЧАВТО Автомобили с пробегом

Видиеовизитка: Программа корпоративного здорового образа жизни S7 Impulse

Комплексная программа повышения финансовой грамотности от Сбера для школьников (8-10 классы)

На бизнес-премии WOW!HR2024 проект претендует на победу в номинации BE COOL.

«Норникель» на спорте — из онлайна в офлайн

Проект заявлен в номинации SAVE, его представляют Ирина Петровна Заболотная, начальник управления корпоративных мероприятий, заместитель директора департамента социальной политики.

Видеовизитка Газпромбанк: проект GPB.Internship участвует в номинации Be Cool.

Data-driven программа благополучия для удержания сотрудников СберМаркета

Программа благополучия для удержания сотрудников СберМаркета претендует на победу в номинации SAVE бизнес-премии WOW!HR2024.

Видеовизитка: проект «ГНИВЦ без границ»

Нешкола SWITCH TO GO

«Город профессий» — интерактивная энциклопедия о работе в «Норникеле»

Проект заявлен в номинации BE COOL, его представляет Рыкова Анна, проректор Корпоративного университета «Норникеля» по цифровому обучению.

Видеовизитка: проект «IT меняет профессию, в HR меняется ВСЁ»

Проект «IT меняет профессию, в HR меняется ВСЁ» участвует в бизнес-премии WOW!HR2024 в номинации DIGITAL SOLUTIONS.

Cosmos Hotel Group - HIGH PERFORMANCE - WOW!HR Russia 2024

Cosmos Hotel Group провел первый в своей истории кейс-чемпионат, который собрал сильнейших профессионалов в сфере Horeca и клиентского сервиса.

Студенческий конкурс им. В. И. Щербакова – INGOSight

На бизнес-премии WOW!HR2024 INGOsight претендует на победу в номинации GET TEAM.

«Сила лидера» – система развития потенциала лидеров компании «Нефтьмагистраль»

Сообщество «В хорошей компании» — платформа для реализации цифрового поколения

Видеовизитка: платформа «Финам.AI»

«Суперника» — первый корпоративный суперапп в России

Мероприятия

25 апреля 2024 г. Чт , 9:00 - 19:00

г. Ташкент , ул. Абдулла Кадыри, 39/1, здание Medion Academy

Приглашаем Вас на конференцию про обучение и развитие персонала LEARNING&DEVELOPMENT CHALLENGE. Международная конференция под торговой маркой T&DFEST существует с 2016 года.

4 июня 2024 г. Вт , 10:00 - 20:00

г. Москва

Приглашаем вас стать участником самого масштабного события – Национальной бизнес-премии WOWBIZ, которая состоится в Москве 22-23 мая 2024 года.

6 июня 2024 г. Чт , 10:00 - 19:00

г. Москва

Приглашаем 6 и 7 июня принять участие в образовательном HR-туре по обмену опытом «Найти, нанять и удержать".