24 сентября, понедельник 02:58
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

TOP-ы vs. ИБ

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • TOP-ы vs. ИБ

    Сидючи вчера на каком-то заседании госмужей смог сформулировать, что же яхотел сказать выше про ценность для бизнеса.

    Часто ИБ воспринимается как процесс, ориентированный на ПРЕДОТВРАЩЕНИЕ УЩЕРБА для предприятия. Я же сторонник восприятия как процесс ПОДНЯТИЯ ЦЕННОСТИ предприятия.

    Чувствуете разницу? С предотвращения потерь (минус) уходим на зарабатывание (плюс), с поддерживающей функции (приставка "для") уходим на неотъемлемую часть деятельности предприятия.

  • #2
    Сообщение от Алексей Лукацкий Посмотреть сообщение
    Часто ИБ воспринимается как процесс, ориентированный на ПРЕДОТВРАЩЕНИЕ УЩЕРБА для предприятия. Я же сторонник восприятия как процесс ПОДНЯТИЯ ЦЕННОСТИ предприятия.
    Разницу чувствуем, но с одним "но" - позиционировать ИБ именно так можно только тогда, когда все в порядке с предотвращением

    То есть в ситуации, когда здравомыслящее руководство осознает, что проблем с возможными ущербами у банка гораздо больше, чем предлагаемых решений, приходится оперировать рисками/ущербами.

    Комментарий


    • #3
      to Алексей Лукацкий, malotavr
      Руководство - люди. Люди бывают разные. Что бы донести необходимую информацию до Руководства, говорим на его языке. На языке того уровня понимания, на котором находится Руководство на данный момент времени. Если уровень понимания на уровне "ПОДНЯТИЯ ЦЕННОСТИ предприятия" - это одно, если на уровне "проблем с возможными ущербами " - это другое... если уровень ещё ниже - то третье.

      имхо Как ни крутись, но выстроить процессы ИБ по уровню выше, чем текущий уровень зрелости организации в целом, не получится.

      Комментарий


      • #4
        Алексей Лукацкий, так точно, разницу чувствуем, но это, кажется, тема для отдельного большого разговора о соответствующих подходах, целях и задачах, потому как разницу-то чувствуем, "но, Холмс, КАК?!" - опыта по этому направлению в пересчёте на среднестатистический банк, что называется, "ноль целых хрен десятых".

        Комментарий


        • #5
          Сообщение от box_roller Посмотреть сообщение
          имхо Как ни крутись, но выстроить процессы ИБ по уровню выше, чем текущий уровень зрелости организации в целом, не получится.
          Согласен на все 100%. Но мы работаем над повышением уровня зрелости ;-)

          Комментарий


          • #6
            Сообщение от sunny Посмотреть сообщение
            "но, Холмс, КАК?!" - опыта по этому направлению в пересчёте на среднестатистический банк, что называется, "ноль целых хрен десятых".
            Ну вот я этим сейчас активно и занимаюсь ;-) Буду делиться знаниями по мере их оформления в виде статей ;-)

            Комментарий


            • #7
              Очень интересный вопрос.

              Брюс Шнаер в одном интервью сказал:

              For years, we in the security industry have been futilely trying to convince companies to pay more attention to their security. Basically, there are two purchasing motivators out there, fear and greed, and security has always been a fear sell. But greed sells much better. Whenever you see slogans like "we take care of security so you can take care of your business," you can be sure that some consulting firm has told that company to try to turn security into a greed sell. It never works. ROI models never convince, either. Security is fundamentally a fear sell, and so it doesn't sell very well.

              Комментарий


              • #8
                Шнайер не является истиной в последней инстанции. Всего 5 лет назад он утверждал, что криптография - это все и с ее помощью можно решить все проблемы безопасности. В "Секретах и лжи" он поменял свою позицию. Не исключаю, что лет через пять он поменяет свою позицию и в отношении бизнес-ориентированности безопасности.

                Кстати, я не исключаю, что тут он имел ввиду именно Security ROI или ROSI. Это, действительно, профанация.

                Комментарий


                • #9
                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                  Согласен на все 100%. Но мы работаем над повышением уровня зрелости ;-)
                  Признаться первая мысль была: "Оптимизировать бизнес-процессы через ИБ. ИБ будет тем "локомотивом", что вытянет организацию на следующий уровень зрелости. Не много ли ИБ берет на себя?"

                  Но вот почитал это: " http://www.ozon.ru/context/detail/id...=yandex_market " , "Управление операционным риском в коммерческом банке". Автор пишет об ОР... но заменив "ОР" на "риски ИБ" (пересекающиеся с ОР), а Банк на Организацию получится интересная картина

                  Что пишет автор:
                  "... Управление ОР - один из способов управления изменениями банка, его развитием, осуществляемым через совершенствование бизнес-процессов и технологий. Ведь уровень ОР есть мера качества любого бизнес-процесса, а главным фактором риска является несовершенство применяемых банком технологий...
                  ... основная тенденция построения эффективной системы управления ОР сегодня уже ясна. Она определяется развитием корпоративного управления, которое достигается путем объединения организационного управления ОР и процессного управления...
                  ... в банках существует определенное недопонимание значения ОР в управлении бизнес-процессами... воспринимается только первая часть назначения управления ОР - снижение возможных операционных потерь. Вторая часть "философии управления", а именно то, что управление ОР - это один из способов управления технологическими изменениями банка, управление его развитием, сегодня понимается не всеми.
                  "

                  И собственно вопрос: "уровень ОР есть мера качества любого бизнес-процесса" - будет ли уровень рисков ИБ являться мерой качества любого бизнес-процесса в организации?

                  Комментарий


                  • #10
                    И это будет правильно ;-)

                    Комментарий


                    • #11
                      Помимо ОР интересные следствия ИБ для Топов могут быть следующими:
                      - вынос PoS / PoD как можно ближе к клиенту, а это нельзя реализовать без VPN (читай ИБ)
                      - вообще географическая экспансия невозможна без VPN, т.к. только эта технология позволяет объединить все удаленные площадки в единое информационное пространство
                      - защищенный удаленный доступ повышает продуктивность сотрудников на 10-40%, а это выливается (или не выливается ;-) в рост доходов в пересчете на одного сотрудника
                      - управление рисками - тут все понятно
                      - оперативный доступ к достоверной информации для принятия правильных управленческих решений (оперативный = доступность, достоверной = целостность)
                      - непрерывность бизнеса - тоже все понятно
                      - кредитные и инвестиционные рейтинги - S&P и Moody's при выставлении рейтинга оценивают также и ИТ/ИБ (они там играют не самую важную роль, но тоже не забыты)
                      - слияния и приобретения - для России может не столь актуально для большинства банков, но без ИБ тоже некуда
                      - Compliance - тут все понятно

                      Примерно так...

                      Комментарий


                      • #12
                        Если уровень риска ИБ рассматривать как индикатор/показатель качества бизнес-процесса, то кем тогда будет специалист ИБ по отношению к бизнесу. Бизнес-аналитиком? Будет изучать, документировать и оптимизировать бизнес-процессы?

                        Комментарий


                        • #13
                          В этом случае в службе ИБ создается такая позиция, как BRM (Business Relations Manager), которая и отвечает за вопросы взаимодействия с бизнесом и трансляции бизнес-языка в ИБ-язык и наоборот.

                          ЗЫ. Аналогичная роль существует и в ИТ.

                          Комментарий


                          • #14
                            Искал по форуму темы про TCO и ROI, ничего более менее близкого не нашел, чем эта тема, вот и решил запостить сюда.
                            Предистория:
                            Работаю в организации уже полгода, и каждый раз с грустью смотрю на внедряемые более менее крупные IT проекты. Например - система разработки и управления конструкторской документацией, стоит не один миллион рублей, охватывает несколько десятков пользователей, тоесть потрачены достаточно немалые деньги на это ПО. Руководство соответственно считает, если деньги на ПО выделены и необходимое для работы ПО куплено, то все сразу заработает. Но на деле как вы понимаете, все куда хуже... С момента покупки прошло уже больше года, а воз как говорится и ныне там - до сих пор ведется тестовая эксплуатация данной программы, а специалисты как работали в другом ПО, так там и продолжают работать. А все попытки руководства (правда не высшего, ТОПы вроде как думают, что все ОК и все работает =) ) натыкается на ответ IT-специалистов - мы работаем.
                            И это к сожалению не единственный пример, существуют похожие примеры с электронным документооборотом - с ним схожая картина, системой сервис деск...
                            Здесь конечно можно много говорить о неэффективном управлении, неразвитости компании и т.п., но давайте не будем касаться этих вопросов...
                            А все это я рассказываю вот к чему - все эти незавершенные проекты так или иначе влияют на ИБ и их скорейшая реализация привела бы к повышению общего уровня безопасности ИС и к появлению новых возможностей, да и вообще надо бы сказать к более эффективной работе организации.
                            Но в чем основной тормоз в решении данных задач?:
                            - изначально неверный подход к внедрению новых систем (купили ПО - и все заработало)
                            - а из первого пункта уже следуют остальные - недостаточное финансирование проекта, недостаточная квалификация специалистов внедряющих проект, отсутствие участия высшего руководства в реализации проекта (работа всегда лучше спорится, когда ТОП даст пинка затормозившему проекту и его исполнителю =) )
                            Но это все происходит из-за недостаточного освещения проблеммы высшему руководству, без четкого плана реализации этапов проекта...
                            И тут мы плавно подходим к осознанию необходимости расчета совокупной стоимости владения ( ТСО ) и коэффициента возврата инвестиций (ROI).
                            Ведь с помощью данных инструментов вполне возможно показать руководству более реальные сроки проекта и необходимые для этого денсредства, причем не только единовременные, но и затрачиваемые на внедрение проекта, на его потдержку...
                            Но опять же возвращаясь к реалиям становится понятно, что в организации никто и ничего не будет делать без бумажки, где прописана ответственность и без контроля над исполнением этой задачи. И здесь мы приходим к осознаю того, что расчет TCO и ROI должен быть описан в нормативной документации организации, ну или хотя бы в ней должны быть ссылки на данный расчет.
                            И наконец-то вопрос - чья это работа =)?! Да и вообще у кого, какие мысли на этот счет? Может быть у кого-нибудь сложился конкретный опыт по работе в данном направлении...

                            Комментарий


                            • #15
                              Uomo
                              Очень похожая ситуация! Считать тут TCO и ROI - конечно же айтишная задача. Сподвигнуть на это можно только пинком от ТОПа. Инициатором "пинка" может быть заинтересованное производственное подразделение, у которого так ничего и не работает. Далее в результате "пинка" может быть появится планирование, отчетность, а потом и расчет TCO и ROI. Но опять же, постфактум, скорее их будут подгонять под желаемый результат..
                              Ну а если ТОПов все устраивает по какой-то причине, то тут ничего не поделаешь
                              В данном случае имхо, выходить с такой идеей самому не имеет смысла - только испортить с айти отношения. А вот попытаться найти в этом риски именно ИБэшные и донести руководству - никто не мешает.

                              Комментарий


                              • #16
                                juhga
                                Я вполне согласен, что расчитывать TCO и ROI для приведенных мною примеров должны IT специалисты, для меня лично еще стоит вопрос как придать им необходимый импульс для решения этой задачи =). Подразделения в которые внедряют новые продукты можно сказать совершенно не заитересованы в их внедрении. Наверное все знают какое сопротивление сотрудников появляется при переходе с бумажного документооборота, на электронный. Сопротивление тем больше, чем выше средний удельный возраст сотрудников компании. В нашей организации, он к сожалению или к счатью достаточно большой, где то за 40.
                                А ТОПы бывают разные - есть категория которая видит все преимущества получаемые за счет внедрения новых технологий, а есть которые доверяют только бумаге и с опаской поглядывают на "железного друга". У нас к примеру второй вариант. Поэтому он не слишком понимает зачем нужны эти внедрения, и соответственно не имея представления о целях и задачах внедрения не знает как должен проходить процесс. А ведь всегда есть "более важные" денежные, административные дела, и такие вопросы мало помалу забываются. И вспоминают ТОПы о них самое частое раз в квартал - а этого как вы сами понимаете явно недостаточно. И получается - это не ТОПов устраивает данный расклад, а налицо просто явная нехватка материала и знаний о проводимых проектах. А кто как не специалисты должны представить им проект в нужном виде, рассказать о возможностях и проблеммах внедрения и эксплуатации?! Вообщем - это конечно мое видение проблеммы.
                                А по поводу отношений с айти. Это тоже не менее сложный вопрос. По сути весь отдел айти с самого начала воспринимает ИБ в негативном свете, несмотря на все попытки построить с ними взаимовыгодные отношения. Сейчас конечно, большинство рядовых программистов и системных администраторов удалось расположить к себе, но начальник и зам. начальника все равно все время закрыты и настороже =)).
                                Но с другой стороны их можно понять. Потому что как ни крути, но одной из основных задач ИБ остается контроль - а все ли хорошо в нашей ИС, а не осталось ли дырок которыми могут воспользоваться злоумышлинники. И как правило недочеты находятся именно в работе IT. Вот и получается, что с появлением ИБ, у IT вечно находят косяки, и заставляют их делать всякую ерунду (делать для каждого пользователя отдельный аккаунт, обновлять системы, убирать права у пользователей..и т.п.).

                                Комментарий


                                • #17
                                  Сообщение от Uomo Посмотреть сообщение
                                  Поэтому он не слишком понимает зачем нужны эти внедрения, и соответственно не имея представления о целях и задачах внедрения не знает как должен проходить процесс.
                                  Если он не знает целей внедрения, то это вина не его, а IT. Ибо все проекты должны быть направлены на решение бизнес-задач и достижение бизнес-целей, транслируемых в ИТ. Если бы это было бы решено, то вопрос бы ROI даже не вставал бы, т.к. он бы с самого начала был бы решен. Хотя ROI тут не показатель. Вполне возможно, что достаточно будет других методов оценки эффективности.

                                  Комментарий


                                  • #18
                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                    Если он не знает целей внедрения, то это вина не его, а IT. Ибо все проекты должны быть направлены на решение бизнес-задач и достижение бизнес-целей, транслируемых в ИТ. Если бы это было бы решено, то вопрос бы ROI даже не вставал бы, т.к. он бы с самого начала был бы решен. Хотя ROI тут не показатель. Вполне возможно, что достаточно будет других методов оценки эффективности.
                                    Алексей, абсолютно с тобой согласен, что здесь недоработки IT направления. Но нет никакого показателя эффективности работы IT. В этом наверное и заключается главная проблемма. А правильно оценить ее, ох как нелегко, и ITIL в этом не слишком пока помогает. И я думаю такая проблемма актуальна во многих организациях.
                                    Немного истории и теории на тему эффективности IT.
                                    В поисках эффективности ИТ Часть 1
                                    Последний раз редактировалось Uomo; 08.06.2009, 11:02.

                                    Комментарий


                                    • #19
                                      Сообщение от Uomo Посмотреть сообщение
                                      Алексей, абсолютно с тобой согласен, что здесь недоработки IT направления. Но нет никакого показателя эффективности работы IT. В этом наверное и заключается главная проблемма. А правильно оценить ее, ох как нелегко, и ITIL в этом не слишком пока помогает. И я думаю такая проблемма актуальна во многих организациях.
                                      Пару центов вставлю:
                                      1. Если в организации никогда топ-менеджмент такого вопроса не задавал, то изобретать велосипед можно сколько угодно, но доверять этим цифрам топы не будут. Хотя, как минимум, это будет полезно для внутренней оценки своей работы и получения опыта оценки эффективности ИБ.
                                      2. Показателей оценки работы ИТ (как и ИБ) множество. В качестве рекламы ;-( дам ссылку на курс "Измерение эффективности ИБ" (очно и онлайн), который я буду читать в ИБД АРБ ;-) По программе (ее должны выложить сегодня; у меня на блоге - завтра) можно увидеть, что и методов оценки с десяток, а уж метрик и того на пару порядков больше.
                                      3. ITIL не дает ответа на это. Как и CoBIT. Но они систематизируют всю деятельность ИТ и разбивают ее на процессы/задачи, которые оценивать проще, чем хаос.
                                      4. Проблема актуальна для 99% организаций. Особенно в кризис, когда отношение к проектам стало вполне понятным - "утром деньги, вечером - отдача". Нет отдачи, нет денег.

                                      Комментарий

                                      Пользователи, просматривающие эту тему

                                      Свернуть

                                      Присутствует 1. Участников: 0, гостей: 1.

                                      Обработка...
                                      X