Стало доступно довольно интересное исследование, посвященное процессам управления ИТ и использованию идей ITSM в России. Я говорю про документ " Результаты всероссийского исследования IT Service Management 2013 ". В опросе приняли участие 262 респондента: 141 ИТ-руководитель и 121 ИТ-специалист.
К сожалению, вынужден признать, что процессы управления ИТ, а точнее подходы и методологии управления процессами ИТ, намного опережают аналогичные процессы управления информационной безопасностью. Поэтому ориентироваться стоит именно на ИТ-шников, а процессы ИБ не выдумывать самостоятельно, а встраивать в ИТ-шные. Это я говорю про "управление инцидентами", "управление доступом", "управление изменениями" и другие. ИТ-шники умеют с ними обращаться лучше ИБ-шников.
Выбрал несколько важных для информационной безопасности итогов исследования.
ITSM чаще всего используется для повышения качества и эффективности ИТ-услуг, на втором месте - решение конкретных операционных задач ИТ.
Основные преимущество использования ITSM: повышение качества услуг, предоставляемых пользователям, обеспечение непрерывности бизнесс-процессов и услуг, сокращение затрат на ИТ.
Обычно в организациях уже дольше всех внедрены и работают процесы "управление инцидентами", "управление запросами на обслуживание", "управление доступом", "управление финансами", "управление изменениями" и "управление проблемами".
Именно эти процессы и имеют высокий уровень зрелости в организациях: они исполняются, формализованы и контролируются.
Процессы управления инцидентами, запросами, проблемами, изменениями и доступом максимально автоматизированы по сравнению с остальными.
ИТ специалисты идут своим путем и не сильно ориентируются на мнение "безопасников" и их стандарты ( 27001 не в моде).
Но, судя по приведенным данным, у них прекрасно получается.
Итого, призываю специалистов по информационной безопасности ориентироваться на опыт и методологии ИТ, на подходы ITSM. Не для всех процессов, но общих. И, в первую очередь, это касается "управления инцидентами", про который в последнее время говорят все чаще и чаще. В ITIL и COBIT есть много полезного по теме, не надо "выдумывать велосипед" и "перетягивать одеяло" в сторону ИБ...