вторник, 25 октября 2016 г.

Кто проаудирует аудитора ИБ?


    На недавней Infosecurity 2016 один из выступавших озвучил, что методика внутреннего аудита ИБ его компании получила положительное заключение от одной из ведущих аудиторских компаний.

    Вроде бы все логично - кто если не они? Но дьявол кроется в деталях. Беда такого подхода в том, что российские ведущие аудиторские компании не специализируются в аудите ИБ. 
    Да, у них в России сотни специалистов по финансовому аудиту, бухучету, налогам и юриспруденции, SAP,  есть сильные команды ИТ-аудитов. Но ИБ команды, в т.ч. команды по аудиту ИБ - небольшие, и не могут предложить тем гигантам, что создали целые подразделения по аудиту ИБ best in class service чего действительно ждешь от таких брендов. 
    Но где же взять внешних аудиторов для нашего ИБ аудита? В первом приближении вижу 3 источника:

  1. У поставщиков услуг по консалтингу 27001. 27001 воспитывает структурированность мышления, а последующая сертификация приучает консультантов формировать четкие процессы с аудиторским следом.
  2. У поставщиков услуг для самых богатых компаний. В России существует несколько сверхбогатых компаний (family office членов списка Форбс), и те игроки, что смогли удовлетворить даже таких взыскательных потребителей держат сильную экспертизу.
  3. У крупнейших консалтинговых практик по ИБ. Они проводят десятки аудитов по ИБ ежегодно и формируют опыт и экспертизу, которую не повторить другим.

  Однако, если стоит задача "задавить менеджмент брендом", тогда без сильного международного аудиторского бренда не обойтись:)

Комментариев нет:

Отправить комментарий