В жизни каждого менеджера наступает момент, когда опускаются руки, и нет уже сил тянуть эту ношу. Достают все - постоянно хватающие вирусы пользователи, малополезные средства защиты, вечно норовящий порезать бюджет финдир и нелепые запросы международных дочек.
Имя проблемы - несоответствие ресурсов задачам, диагноз - обязанностей больше чем ресурсов и возможностей. Чтобы предотвратить такую ситуацию нужно очень аккуратно выстраивать взаимодействие между подразделениями в процессе управления ИБ (т.н. security governance). Ведь 100% взятого на грудь "просто так" без дополнительных бюджетов, людей, полномочий, или хотя бы поддержки изменений в процессах - не будет цениться. Люди не ценят то, что им достается "даром". А значит, ответственности будет становиться все больше и больше, и удельная обеспеченность задач ресурсами будет все меньше и меньше - стресс, маленькая зарплата, скромный авторитет в компании после неизбежного завала не на одном, так на другом фронте работ.
В практическом плане для управления системой возможно работать на четырех доменах (представим их как наборы эквалайзеров, с помощью которых мы сможем сделать нашу музыку ИБ красивой для нас и наших заинтересованных сторон).
Необязательно спешить брать ответственность за ИБ новых международных активов, равно как ДБО, или новой задачи по управлению ключами для подключения к очередной платежной системе. Равно как не стоит спешить взять на себя управление СЗИ, если ими уже сносно управляет ИТ. Как-то эти области ответственности ранее перекрывались другими людьми, и бизнес жил и зарабатывал;)
Чем чаще мы проводим оценку рисков, и чем быстрее бросаемся внедрять контроли для снижения рисков - тем больше у нас операционной работы по управлению рисками. А ведь вовсе не факт, что наши риски реализуются, и тем более важно держать баланс между планированием снижения рисков и реализацией планов. Не стоит сбрасывать со счетов другие меры управления рисками (все то что нам любезно советует ISO 31000 - отказ от деятельности, принятие, перенос риска и понятие риск-аппетита). Если корпорация активно развивается и принимает много рисков (risk taking), то зачем нам быть "бизнес-тормозом"?
Классическая триада people, process & technology полезна для рассмотрения при проектировании мер снижения рисков. Далеко не всегда типовое решение (не важно, технические или организационное) будет лучшим. Иногда можно решить задачу обучив существующие кадры, иногда купив готовый контроль (security control) на стороне, иногда оптимальным вариантом может стать пока еще экзотический Open Source или bug bounty.
Попытка делать все внутри службы ИБ может дорого обойтись. Сидеть до 22.00, реже видеть семью, а в итоге не видеть ощутимой разницы. Подчиненные сотрудники не панацея, поэтому нужно тщательно взвешивать факторы при разработке решения кто будет выполнять ту или иную ИБ-активность. Полезным инструментом может быть децентрализация, при которой регионы будут самостоятельны (отнимут меньше времени) или наоборот централизованные центры компетенции, что гарантируют единый предсказуемый уровень защиты для всех обслуживаемых узлов сети.
4 домена почти повторяют Cobit 5, не хватает только домена "Постоянное измерение и совершенствование". Но он мне кажется очевидным. Если мы не будем оценивать насколько мы быстро бежим, и бежим ли мы достаточно быстро, то рано или поздно мы окажемся на обочине прогресса, а то и кювете;)
Имя проблемы - несоответствие ресурсов задачам, диагноз - обязанностей больше чем ресурсов и возможностей. Чтобы предотвратить такую ситуацию нужно очень аккуратно выстраивать взаимодействие между подразделениями в процессе управления ИБ (т.н. security governance). Ведь 100% взятого на грудь "просто так" без дополнительных бюджетов, людей, полномочий, или хотя бы поддержки изменений в процессах - не будет цениться. Люди не ценят то, что им достается "даром". А значит, ответственности будет становиться все больше и больше, и удельная обеспеченность задач ресурсами будет все меньше и меньше - стресс, маленькая зарплата, скромный авторитет в компании после неизбежного завала не на одном, так на другом фронте работ.
В практическом плане для управления системой возможно работать на четырех доменах (представим их как наборы эквалайзеров, с помощью которых мы сможем сделать нашу музыку ИБ красивой для нас и наших заинтересованных сторон).
Эквалайзеры объема ответственности ИБ (Домен risk governance)
- Географический (страны\регионы)
- Бизнес-направления (продажи, закупки, производство и др.)
- Активности ИБ (поддержка систем безопасности, управление проектами ИБ и др.)
Необязательно спешить брать ответственность за ИБ новых международных активов, равно как ДБО, или новой задачи по управлению ключами для подключения к очередной платежной системе. Равно как не стоит спешить взять на себя управление СЗИ, если ими уже сносно управляет ИТ. Как-то эти области ответственности ранее перекрывались другими людьми, и бизнес жил и зарабатывал;)
Эквалайзеры управления рисками ИБ (Домен risk management)
- Периодичность оценки рисков и последующей реализации мер управления рисками
- Меры управления рисками кроме снижения
- Риск-аппетит
Чем чаще мы проводим оценку рисков, и чем быстрее бросаемся внедрять контроли для снижения рисков - тем больше у нас операционной работы по управлению рисками. А ведь вовсе не факт, что наши риски реализуются, и тем более важно держать баланс между планированием снижения рисков и реализацией планов. Не стоит сбрасывать со счетов другие меры управления рисками (все то что нам любезно советует ISO 31000 - отказ от деятельности, принятие, перенос риска и понятие риск-аппетита). Если корпорация активно развивается и принимает много рисков (risk taking), то зачем нам быть "бизнес-тормозом"?
Эквалайзеры проектирования меры снижения риска (Домен Сontrol management)
- Человек, процесс или технология?
- Купить готовый контроль на стороне или создавать внутри?
- Своя разработка, опенсорс, коммерческое решение или краудсорсинг-программа?
Классическая триада people, process & technology полезна для рассмотрения при проектировании мер снижения рисков. Далеко не всегда типовое решение (не важно, технические или организационное) будет лучшим. Иногда можно решить задачу обучив существующие кадры, иногда купив готовый контроль (security control) на стороне, иногда оптимальным вариантом может стать пока еще экзотический Open Source или bug bounty.
Эквалайзеры управление выполнением ИБ (Домен Operational delivery)
- Самостоятельно, "чужими" руками или вместе с другими службами?
- Децентрализация или центры компетенции?
- Инхаус или аутстафф?
Попытка делать все внутри службы ИБ может дорого обойтись. Сидеть до 22.00, реже видеть семью, а в итоге не видеть ощутимой разницы. Подчиненные сотрудники не панацея, поэтому нужно тщательно взвешивать факторы при разработке решения кто будет выполнять ту или иную ИБ-активность. Полезным инструментом может быть децентрализация, при которой регионы будут самостоятельны (отнимут меньше времени) или наоборот централизованные центры компетенции, что гарантируют единый предсказуемый уровень защиты для всех обслуживаемых узлов сети.
4 домена почти повторяют Cobit 5, не хватает только домена "Постоянное измерение и совершенствование". Но он мне кажется очевидным. Если мы не будем оценивать насколько мы быстро бежим, и бежим ли мы достаточно быстро, то рано или поздно мы окажемся на обочине прогресса, а то и кювете;)
Комментариев нет:
Отправить комментарий