На написание поста натолкнула старая статья Алексея Лукацкого, где было описано как герой ("СISO") внедрял ИБ-проекты желаемые бизнесом и другими обслуживающими службами за их же деньги (за счет средств в их разделах финансового плана). Так вот, что же возможно сделать "за чужой счет"?
В статье Алексеем было упомянуто:
1) повышение осведомленности - за счет HR
2) защита ERP-системы - за счет внутреннего аудита
Предлагаю так же к обсуждению следующие варианты:
3) защита учетных систем - за счет бухгалтерии (особенно контроль целостности внутри учетных систем, что позволяет обойти такую вещь как сторнирование выступающую контролем против обычного мошенничества)
4) антивирусная защита - за счет ИТ (они же заинтересованы в функционировании рабочей среды пользователя?;))
5) криптографическая защита - за счет службы организации документооборота или юридической службы (когда, например, необходимо обеспечить юридическую значимость внутреннего документооборота)
6) управление рисками и системой внутреннего контроля, аудиты ИБ - за счет внутреннего аудита\СВК
7) защита от сетевых атак - тоже можно попытаться за счет ИТ
8) защита конфиденциальной информации клиентов согласно соглашениям о конфиденциальности - за счет юридической службы
Таким образом, возможно функционирование службы ИБ в режиме т.н. "Центра экспертизы" который занимается удовлетворением желаний бизнеса в части информационной безопасности. В итоге получился некий намек на Val IT, когда служба ИБ анализируя возможности других служб для реализации которых необходима безопасность в той или иной мере занимается управлением инвестициями в проекты ИБ, отдача от которых видна уже сейчас.
В статье Алексеем было упомянуто:
1) повышение осведомленности - за счет HR
2) защита ERP-системы - за счет внутреннего аудита
Предлагаю так же к обсуждению следующие варианты:
3) защита учетных систем - за счет бухгалтерии (особенно контроль целостности внутри учетных систем, что позволяет обойти такую вещь как сторнирование выступающую контролем против обычного мошенничества)
4) антивирусная защита - за счет ИТ (они же заинтересованы в функционировании рабочей среды пользователя?;))
5) криптографическая защита - за счет службы организации документооборота или юридической службы (когда, например, необходимо обеспечить юридическую значимость внутреннего документооборота)
6) управление рисками и системой внутреннего контроля, аудиты ИБ - за счет внутреннего аудита\СВК
7) защита от сетевых атак - тоже можно попытаться за счет ИТ
8) защита конфиденциальной информации клиентов согласно соглашениям о конфиденциальности - за счет юридической службы
Таким образом, возможно функционирование службы ИБ в режиме т.н. "Центра экспертизы" который занимается удовлетворением желаний бизнеса в части информационной безопасности. В итоге получился некий намек на Val IT, когда служба ИБ анализируя возможности других служб для реализации которых необходима безопасность в той или иной мере занимается управлением инвестициями в проекты ИБ, отдача от которых видна уже сейчас.
Комментариев нет:
Отправить комментарий