Идентификация "болевых точек" и событий-триггеров для совершенствования ИБ

Бизнес-обоснование совершенствования руководства и управления ИБ на предприятии можно связать с практическими каждодневными трудностями бизнеса путем использования болевых точек или событий-триггеров, способных запустить инициативы по совершенствованию. Такой подход сможет увеличить число сторонников и создаст ощущение необходимости срочных изменений на предприятии, что поможет запуску внедрения. Кроме того, в областях, которые наиболее прозрачны или важны для предприятия, можно выявить ряд способов быстрого получения успешных результатов (то есть создания дополнительной ценности). Всё это формирует платформу для реализации дальнейших изменений и может способствовать приверженности и поддержке высшими руководителями более «болезненных» изменений.

Типичные болевые точки, которые можно устранить (или способствовать их устранению) совершенствованием практик руководства или управления факторами влияния ИБ, перечислены в публикации COBIT 5 Implementation.

Среди них:

• Разочарование бизнеса неудавшимися проектами, которые увеличили стоимость ИБ и создали впечатление низкой ценности ИБ для бизнеса.

• Значительные инциденты, связанные с ИБ-рисками, например, потеря данных или неудачный проект.

• Сложности в предоставлении услуг третьими сторонами, такие как систематическое нарушение согласованных уровней услуг.

• Невозможность выполнения требований регулирующих органов и контрактных обязательств.

• Ограничение инновационного потенциала и гибкости предприятия по вине ИБ.

• Низкая производительность ИТ и низкое качество ИТ-услуг, выявленные в ходе аудитов.

• Высокие и одновременно непрозрачные затраты на ИБ.

• Дублирование и избыточность инициатив и нерациональная трата ресурсов, например, преждевременное прерывание проектов.

• Недостаточные ИБ-ресурсы, неадекватные навыки персонала или высокая текучка и недовольство ИБ- персонала.

• ИТ-изменения не соответствуют бизнес-требованиям, выполняются дольше и дороже, чем было запланировано.

• Члены совета директоров, исполнительные директора и управленцы не хотят заниматься вопросами ИБ, или наблюдается недостаток приверженности и удовлетворенности со стороны бизнес-спонсоров ИБ.

• Сложная операционная модель управления ИБ.

Кроме болевых точек, существует еще ряд событий, которые могут привлечь внимание к руководству и управлению ИБ на предприятии. Ниже приведены примеры событий-триггеров из третьей главы публикации COBIT 5 Implementation:

• Слияние, поглощение или ликвидация предприятия.

• Изменение позиции на рынке, экономической обстановки или конкурентной среды.

• Изменение бизнес-модели или условий получения ресурсов (сорсинга).

• Новые требования законодательства или регулирующих органов.

• Значительное изменение технологий или изменение парадигмы.

• Корпоративная нацеленность на совершенствование в масштабах предприятия или новый проект по этой тематике.

• Назначение новых директоров: CEO, CFO, CIO и т.д.

• Проведение внешнего аудита или независимой оценки.

• Новые бизнес-стратегия или бизнес-приоритет.