Продолжим про ИБ и бизнес ;-) Буду возвращаться к своему курсу "Как связать безопасность и бизнес", который я читал еще 4 года назад. Начну с короткой притчи. Прохожий подходит к трем каменщикам и спрашивает их, что они делают. "Я кладу кирпичи", - ответил первый. "Я возвожу стену", - ответил второй. "Мы возмодим храм, где мы вместе будем молиться Богу!" - ответил третий. ИБ сегодня похожа на первого и, в лучшем случае, второго каменщика, которые не понимают ни потребностей заказчика строительства, ни своего вклада в общее дело. Эту притчу я прочитал в книжке "Управляя изменениями" Ицхака Адизеса, гуру бизнес-управления. Вообще в этой книге много говорится о бизнесе, потребностях и т.п. Рекомендую... Очень интересно и полезно; особенно если читать и преломлять ее на тему ИБ.
Но вернемся к ИБ и вопросам, на которые вы должны ответить:
Собственно этот пункт не менее важен, чем все остальные. Можно узнать, что нужно клиентам (в т.ч. и внутренним). Можно определить способы удовлетворения этих потребностей. Можно даже найти тех, кто может удовлетворить эти потребности. Но... если у них нет мотивации (а точнее, вы ее не определили), то все попытки добиться хоть чего-то полезного будут обречены на неудачу.
И вот тогда ИБ превратится в раковую опухоль, составляющую которую клетки обслуживают только себя. Компания существует для удовлетворения потребностей... клиентов/граждан/общества. И ИБ должна тоже. Правда, тут надо учитывать, что удовлетворять потребности можно не только внешние, но и внутренние. Например, банк создается для легализации денег, полученных преступных путем. Руководство такого банка мало интересуют потребности клиентов. Точнее интересуют. Но потребности специфические и достаточно узкой прослойки клиентов; на остальных наплевать. Готовы ли вы заниматься безопасностью в такой компании и для удовлетворения ТАКИХ потребностей?
В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили. А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана. В другом госоргане DLP-система работает, только "некоторые" информационные потоки идут в обход DLP, которая ловит только дураков из низшего звена. А все потому, что потребности руководства и госоргана не совпадают и безопасники не учли того, о чем я пишу последние три дня.
Но вернемся к ИБ и вопросам, на которые вы должны ответить:
- Вы определили, для кого существует ваш бизнес, госорган, некоммерческая организация? Кто ваши клиенты? Каковы их потребности?
- Вы определили, с кем надо сотрудничать для удовлетворения клиентов? (Про серых кардиналов и центры Силы мы еще поговорим)
- Что надо сделать для удовлетворения и как?
- Как должен это сделать?
- Чего хотят те, кто должен это сделать? Вот на этом этапе нам может помочь карта эмпатии .
Собственно этот пункт не менее важен, чем все остальные. Можно узнать, что нужно клиентам (в т.ч. и внутренним). Можно определить способы удовлетворения этих потребностей. Можно даже найти тех, кто может удовлетворить эти потребности. Но... если у них нет мотивации (а точнее, вы ее не определили), то все попытки добиться хоть чего-то полезного будут обречены на неудачу.
И вот тогда ИБ превратится в раковую опухоль, составляющую которую клетки обслуживают только себя. Компания существует для удовлетворения потребностей... клиентов/граждан/общества. И ИБ должна тоже. Правда, тут надо учитывать, что удовлетворять потребности можно не только внешние, но и внутренние. Например, банк создается для легализации денег, полученных преступных путем. Руководство такого банка мало интересуют потребности клиентов. Точнее интересуют. Но потребности специфические и достаточно узкой прослойки клиентов; на остальных наплевать. Готовы ли вы заниматься безопасностью в такой компании и для удовлетворения ТАКИХ потребностей?
В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили. А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана. В другом госоргане DLP-система работает, только "некоторые" информационные потоки идут в обход DLP, которая ловит только дураков из низшего звена. А все потому, что потребности руководства и госоргана не совпадают и безопасники не учли того, о чем я пишу последние три дня.