В своей практике регулярно встречаю "легкие" службы ИБ из двух-трех человек. Обычно это один технический эксперт, один аналитик и один руководитель, "продающий" ИБ руководству и в другие подразделения. Не рассматривая вариант когда "все риски принимаются", необходим целый ряд предпосылок для того, что бы такое "легкое" подразделение могло эффективно решать задачи по ИБ крупного бизнеса.
Многие из этих предпосылок уже видны в ведущих компаниях страны.
P.S. Кстати, про сказки в виде уменьшения бонуса за нарушения ИБ говорить не буду, они встречаются примерно как динозавры. В музеях:)
- Поддержка первого лица - является особенно важной при ограниченности кадровых ресурсов. "Пушить" смежников с компактным штатом затруднительно.
- Четкая организационная структура и зоны ответственности в компании - необходимы для эффективной коммуникации. С "легким" штатом тратить много времени на выстраивание коммуникаций просто не получится.
- Наличие позиций - "связующих звен" между подразделениям ("единых окон", бизнес-партнеров). Такие сотрудники позволят нашей службе понимать где лежат запросы и кто отвечает за взаимодействие с ИБ в других подразделениях.
- Ориентация на людей в деятельности службы - как не крути именно люди порождают\закупают и информацию, и ее носители, и среду ее обработки (приложения, инфраструктуру, бизнес-центры). Обучение людей наиболее эффективно.
- Использование мультипликаторов влияния, таких как рассылок, постеров и заставок о ИБ позволит минимизировать затраты времени на обучение персонала.
- "Умная" мотивация руководителя службы - "легкая" служба неизбежно вырастет и наберет ненужных людей если у ее руководителя грейд (зарплата и бонусы) привязаны к количеству людей под его управлением. Кстати, так частенько норовит сделать HR.
- Руководитель службы новой генерации - постоянно анализирующий цепочку создания ценности и направленный на максимизацию ценности.
- Управление полномочиями - делегирование некритичных (создающих меньшую ценность) обязанностей другим подразделениям - ИТ, СБ, аудиту и т.п.
- Аутсорсинг рутины - перевод наиболее рутинных операций из цепочки создания стоимости (например, поддержка систем безопасности) в специализированную внешнюю компанию/
- Челлендж по эффективности - постоянное стремление руководства компании повысить ее эффективности и сдержать рост затрат.
Многие из этих предпосылок уже видны в ведущих компаниях страны.
P.S. Кстати, про сказки в виде уменьшения бонуса за нарушения ИБ говорить не буду, они встречаются примерно как динозавры. В музеях:)
Комментариев нет:
Отправить комментарий