Службы ИБ многих организаций строго централизованы. В одном подразделении сосредоточен практически "полный цикл" по выработке, реализации и контролю политики ИБ.
Несмотря на понятные преимущества такого подхода существует и системная уязвимость - отсутствие конкуренции мнений.
Монополизм на истину (мнение) порождает риски ошибки CISO и крайностей в отношениях с бизнесом - либо бизнес вынужден подчиняться политике ИБ снижая продуктивность, либо бизнес добивается непринятия политики ИБ в целом. При этом в силу отсутствия ИБ-компетенций с бизнесом проблематична квалифицированная дискуссия, и интересы отдельных бизнес-подразделений приносятся в жертву защиты общей бизнес-инфраструктуры (казначейства, сети, бренда и т.п.).
Аргументированно защитить интересы отдельных бизнес-подразделений и выработать действительно общую политику возможно путем создания института офицеров по безопасности бизнеса, подчиняющихся бизнес-подразделениям и помогающими им найти баланс между конфликтующими ИБ-рисками, ИБ-требованиями и бизнес-целями.
Такой институт в частности используется в ведущих банках мира - Citigroup, JPMorgan, UBS, CreditSuisse, Goldman Sachs. Конечно, он применим в действительно крупных организациях, с зрелым менеджментом, понимающим необходимость развитой системы ИБ.
Несмотря на понятные преимущества такого подхода существует и системная уязвимость - отсутствие конкуренции мнений.
Монополизм на истину (мнение) порождает риски ошибки CISO и крайностей в отношениях с бизнесом - либо бизнес вынужден подчиняться политике ИБ снижая продуктивность, либо бизнес добивается непринятия политики ИБ в целом. При этом в силу отсутствия ИБ-компетенций с бизнесом проблематична квалифицированная дискуссия, и интересы отдельных бизнес-подразделений приносятся в жертву защиты общей бизнес-инфраструктуры (казначейства, сети, бренда и т.п.).
Аргументированно защитить интересы отдельных бизнес-подразделений и выработать действительно общую политику возможно путем создания института офицеров по безопасности бизнеса, подчиняющихся бизнес-подразделениям и помогающими им найти баланс между конфликтующими ИБ-рисками, ИБ-требованиями и бизнес-целями.
Такой институт в частности используется в ведущих банках мира - Citigroup, JPMorgan, UBS, CreditSuisse, Goldman Sachs. Конечно, он применим в действительно крупных организациях, с зрелым менеджментом, понимающим необходимость развитой системы ИБ.
Комментариев нет:
Отправить комментарий