Вопрос, вынесенный в заглавие поста, возникает на протяжении многих лет. В последнее время его пытаются освещать на различных мероприятиях по ИБ. В частности на DLP Conference эту тему поднимал я, а неделей позже на DLP Russia - Евгений Климов. Все сходятся на том, что нет общего языка между безопасниками и бизнесом (я про это еще несколько лет назад писал ; и тут ). И вот решил вновь вернуться к этой теме.
Просматривая на днях центр знаний сайта ISACA, наткнулся в очередной раз на документы из серии Val IT. Эта концепция направлена на то, чтобы показать значение/ценность ИТ для бизнеса. Ее можно применить и к ИБ. И вот в документе " Unlocking Value. An Executive Primer on the Critical Role of IT Governance " нашел 4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров:
В принципе, я эти вопросы уже описывал в своих презентациях по GRC несколько лет назад. Но хотелось бы вновь вернуться к этим вопросам и рассмотреть, что конкретно имеют ввиду топ-менеджеры задавая эти вопросы по тем или иным проектам, задачам, инициативам? Поняв это, мы сможем для себя определить, готовы ли мы выносить тему ИБ на уровень бизнеса. А если нет, то что нам нужно сделать, чтобы закрыть непростые вопросы.
Итак, первый, стратегический вопрос касается преимущественно инвестиций и разбивается на несколько более детальных:
Второй вопрос касается архитектуры и также может быть детализирован:
Третий вопрос касается реализации:
И, наконец, декомпозиция последнего вопроса о ценности приводит нас к следующему:
Разумеется, каждый из этих вопросов может быть детализирован и в итоге мы получаем список вопросов/задач, не такой "абстрактный" и вполне решаемый на практике. Но, разумеется, не так просто и не так быстро реализуемый, как это выглядит после прочтения данной заметки.
Просматривая на днях центр знаний сайта ISACA, наткнулся в очередной раз на документы из серии Val IT. Эта концепция направлена на то, чтобы показать значение/ценность ИТ для бизнеса. Ее можно применить и к ИБ. И вот в документе " Unlocking Value. An Executive Primer on the Critical Role of IT Governance " нашел 4 вопроса, которые по мнению авторов, интересуют топ-менеджеров и членов совета директоров:
- Мы делаем правильные вещи?
- Эти вещи мы делаем правильно?
- Мы преуспели в достижении этих вещей?
- Мы получили преимущества от того, что сделали эти правильные вещи?
В принципе, я эти вопросы уже описывал в своих презентациях по GRC несколько лет назад. Но хотелось бы вновь вернуться к этим вопросам и рассмотреть, что конкретно имеют ввиду топ-менеджеры задавая эти вопросы по тем или иным проектам, задачам, инициативам? Поняв это, мы сможем для себя определить, готовы ли мы выносить тему ИБ на уровень бизнеса. А если нет, то что нам нужно сделать, чтобы закрыть непростые вопросы.
Итак, первый, стратегический вопрос касается преимущественно инвестиций и разбивается на несколько более детальных:
- Мы инвестируем в соответствие с нашим видением?
- Наши инвестиции соответствуют нашим бизнес-принципам?
- Наши инвестиции содействуюи нашим стратегическим целям?
- Наши инвестиции оптимальны? Они находят баланс между размером инвестиций и уровнем принимаемых рисков?
- Наши информационные активы, сервисы и другие ресурсы ИТ/ИБ фокусируются на реальных потребностях бизнеса и учитывают его приоритеты?
- Мы знаем/понимаем, сколько мы всего тратим на ИБ?
Второй вопрос касается архитектуры и также может быть детализирован:
- Мы инвестируем в соответствие с архитектурой предприятия?
- Наши инвестиции соответствуют нашим архитектурным принципам и стандартам?
- Мы достигаем синергии между нашими инвестициаями в различные инициативы и программы?
- Наши сервисы ИБ/ИЬ бизируются на оптимальной инфраструктуре и ресурсах?
Третий вопрос касается реализации:
- У нас эффективные процессы управления, доставки сервисов и контроля изменений?
- У нас достаточно технических и бизнес ресурсов для реализации требуемых возможностей? Какие организационные изменения необходимо произвести для эффективного достижения поставленных целей?
- Предлагаемые сервисы доступны в любое время и из любого места? Они надежны и защищены?
И, наконец, декомпозиция последнего вопроса о ценности приводит нас к следующему:
- Мы понимаем ценность для нашего предприятия?
- Мы понимаем реальные преимущества для нашего предприятия от сделанных инвестиций в сервисы, активы и другие ресурсы ИБ?
- Мы понимаем, какими методами мы можем измерить достижение данных преимуществ?
- У нас выстроен эффективный процесс реализации преимуществ на всем этапе экономического цикла наших инвестиций с целью получения оптимальных бизнес-результатов?
Разумеется, каждый из этих вопросов может быть детализирован и в итоге мы получаем список вопросов/задач, не такой "абстрактный" и вполне решаемый на практике. Но, разумеется, не так просто и не так быстро реализуемый, как это выглядит после прочтения данной заметки.
