среда, 22 апреля 2015 г.

"Длинные" деньги и информационная безопасность

    Несколько лет назад мне довелось возродить и провести последующий реинжиниринг процесса управления безопасностью развития ИТ - или попросту говоря управления безопасностью внедряемых информационных систем.

    Возрождение далось непросто, проектные менеджеры и бизнес-спонсоры то и дело норовили принять риски либо вообще проигнорировать процесс. Уверен, что без тогдашнего административного ресурса проект бы не удался.
    Одним из самых разумных и значительных возражений было то, что "правила меняются посреди игры". И правда, проект вошел в активную фазу в сентябре, когда большинство проектов было в разгаре. Тогда мы обьясняли коллегам, что не имели возможности запустить раньше проект, и хотя это и была чистейшая правда, на душе время от времени "скребли кошки" - компания была западного толка, и все мы пытались действовать максимально разумно и эффективно.
    Весьма похожий кейс, состоящий во внедрении т.н. "контрольной точки" в процессе изменений на недавнем Cnews 2014 продемонстрировал господин Херсонцев, предложив создание системы управления издержками бизнеса, связанными с предоставлением отчетности. И кейс имеет тот же недостаток - вместо проектирования правильной системы управления информационными потоками правительства появляется еще одна "контрольная точка" - новое потенциальное узкое место, от которой в итоге может быть больше вреда чем пользы.
    Оба кейса являются ярким примером т.н. "навесных" контрольных систем, внедряемых уже после реализации рабочих процессов и продуктов. "Навесные" контроли обходятся дороже и априори менее эффективны, но у них есть и несомненное преимущество - они обеспечивают безопасность уже приносящих доход систем. Т.е. они точно помогают бизнесу контролированно получать доход в настоящем.
    Ну а для того, что бы делать "сразу правильно" бизнесу обычно нужны т.н. "длинные" деньги - дешевые долгосрочные кредиты и большие инвестиции, под которые можно не просто строить изначально безопасные процессы\системы но и строить безопасный устойчивый бизнес, сразу закладывая интерфейсы взаимодействия при проектировании организационной структуры и бизнес-планировании.
    Таким вот неявным образом становится понятно, что повышение ключевой ставки ЦБ мягко говоря не очень хорошо скажется на уровне зрелости систем управления ИБ в компаниях:)

Комментариев нет:

Отправить комментарий