18 октября, четверг 03:16
Bankir.Ru

Объявление

Свернуть
Пока нет объявлений.

Цели ИБ с точки зрения руководства

Свернуть
X
  • Фильтр
  • Время
  • Показать
Очистить всё
новые сообщения

  • Цели ИБ с точки зрения руководства

    имхо лучшие работники те кто достигает целей поставленных руководством ... думаю что это верно для всех направлений деятельности в том числе и в ИБ.
    но если высокий руководитель не ставит никакой цели - чего добиваться то ?
    вообще говоря хотелось бы знать хотя бы типовой набор хотелок от ИБ со стороны высокого руководства. В чем они видят цель ИБ в своих конторах ?
    может где есть опросы по данной теме ?

    уважаемые коллеги, а вы сами не пытались узнать у руководства чего оно хочет от вашей работы ?


  • #2
    Руководства любой конторы хочет, чтобы бизнес рос и развивался. Это по крупному.

    Из моей статьи, которая в сентябре выйдет: "Вспомним басню Крылова про лебедя, рака и щуку. Информационная безопасность сегодня находится именно в такой ситуации – цели ИБ не совпадают с целями бизнеса. Безопасность думает о криптографии, межсетевых экранах, антивирусах, восстановлении после катастроф, защите от хостов и т.д. Думает ли об этом бизнес? Вряд ли. У него совершенно иные заботы. Управление рисками, обеспечение непрерывности бизнеса, соответствие регулятивным требованиям (compliance), внутренний контроль, корпоративное поведение, рост лояльности клиентов, слияния и поглощения, географическая экспансия и многое другое. Мы видим, что совпадений нет. Это как общение англичанина с китайцем – каждый общается на своем языке и не понимает другого. Но есть одно, что объединяет безопасника с сотрудником бизнес-подразделений. Речь идет о бизнес-целях, которые у них общие.

    Не всегда безопасность может быть связана напрямую с целью всей компании. Но это и не всегда требуется. Мы можем увязать ИБ с целями отдельного подразделения, проекта, инициативы или человека-«спонсора». При этом вопреки распространенному мнению, что цель коммерческого предприятия всегда завязана на финансы, надо отметить, что это не всегда так. Помимо роста доходов, снижения издержек, роста рентабельности и других монетарных целей, бизнес может ставить перед собой и другие задачи – рост лояльности и снижение текучести клиентов, географическая экспансия, ускорение сроков вывода продуктов на рынок, выполнение требований стандарта (например, пресловутого SOX) и т.п.
    "

    Комментарий


    • #3
      Это как общение англичанина с китайцем – каждый общается на своем языке и не понимает другого.
      Да, это точно...Получается, что необходим переводчик - посредник между безопасностью и бизнесом,приближенный более к бизнесу,поскольку по ряду причин, бизнес к себе особо и не подпустит.
      уважаемые коллеги, а вы сами не пытались узнать у руководства чего оно хочет от вашей работы ?
      Очень интересный вопрос...мы сами пытаемся до него достучаться, а чего ОНО хочет на самом-то деле, и знает ли ОНО чего хотеть - неизвестно...

      Комментарий


      • #4
        Сообщение от Алексей Лукацкий Посмотреть сообщение
        Информационная безопасность сегодня находится именно в такой ситуации – цели ИБ не совпадают с целями бизнеса.[/I]"
        Но согласитесь - это не является нормальной ситуацией ... Вообще говоря цели ИБ должны определяться целями бизнеса ...

        Комментарий


        • #5
          Здравствуйте, Алексей
          поспорим ?

          Думает ли об этом бизнес? Вряд ли. У него совершенно иные заботы. Управление рисками, обеспечение непрерывности бизнеса, соответствие регулятивным требованиям (compliance), внутренний контроль, корпоративное поведение, рост лояльности клиентов, слияния и поглощения, географическая экспансия и многое другое. Мы видим, что совпадений нет.
          почему нет ?
          управление рисками - а ИБ разве не входит в операционные риски ?
          непрерывность бизнеса - а разве восстановление туда не относится ?
          compilance, внутренний контроль - здесь может быть все из вами перечисленного
          лояльность клиентов может напряму зависеть от надежности и безопасности ваших систем
          и т.д.

          не надо имхо пытаться научить босса говорить на китайском техническом языке, но очень хочется чтобы босс представлял что меры ИБ в определенной степени всегда нужны для достижения целей компании и на эту деятельность тож нужны ресурсы ...

          Не всегда безопасность может быть связана напрямую с целью всей компании. Но это и не всегда требуется. Мы можем увязать ИБ с целями отдельного подразделения, проекта, инициативы или человека-«спонсора».
          тогда можно утверждать что в таких случаях деятельность отдельных подразделений не направлена на достижение целей компании. Зачем компании нужна такая деятельность ?

          Дмитрий.

          Комментарий


          • #6
            Сообщение от xmad Посмотреть сообщение
            Но согласитесь - это не является нормальной ситуацией ... Вообще говоря цели ИБ должны определяться целями бизнеса ...
            Почему ненормально?
            Для безопасника - целью является повышение безопасности, для бухгалтера - порядок в бухгалтерии, для руководителя - прибыль.
            Не надо думать, что на безопасности свет клином сошелся.
            Для руководства разницы между уборщицей и безопасником особой нет - и тот и другой прибыль не приносит, они лишь вынужденное звено, обслуживающее бизнес.

            Комментарий


            • #7
              Настоящий безопасник должен соблюдать три основных правила:

              1. Уметь разговаривать с бизнесом "на его" языке (даже в трезвом состоянии).
              2. Просить лучше меньше (но чаще...).
              3. Быть дипломатом (выдавать свои идеи за идеи руководства и хвалить его при этом).

              Комментарий


              • #8
                Сообщение от Berrimor Посмотреть сообщение
                Почему ненормально?
                Для безопасника - целью является повышение безопасности, для бухгалтера - порядок в бухгалтерии, для руководителя - прибыль.
                Не надо думать, что на безопасности свет клином сошелся.
                Для руководства разницы между уборщицей и безопасником особой нет - и тот и другой прибыль не приносит, они лишь вынужденное звено, обслуживающее бизнес.
                ненормально потому что если цели ИБ не способствуют достижению целей бизнеса - то такая ИБ бизнесу не нужна. это просто лишняя трата денег. а если безопасность работает только ради самой безопасности, а бухгалтер - ради порядка в бухгалтерии, то тогда и получается что на них свет клином сходится ...

                Комментарий


                • #9
                  Сообщение от surfer Посмотреть сообщение
                  Настоящий безопасник должен соблюдать три основных правила:

                  1. Уметь разговаривать с бизнесом "на его" языке (даже в трезвом состоянии).
                  2. Просить лучше меньше (но чаще...).
                  3. Быть дипломатом (выдавать свои идеи за идеи руководства и хвалить его при этом).

                  я бы по другому перефразировал:
                  1. понимать бизнес
                  2. увязывать затраты на ИБ с затратами на конкретные цели бизнеса
                  3. есть такое модное понятие - мыслить креативно !

                  Комментарий


                  • #10
                    Сообщение от xmad Посмотреть сообщение
                    ненормально потому что если цели ИБ не способствуют достижению целей бизнеса - то такая ИБ бизнесу не нужна. это просто лишняя трата денег.
                    В вышеприведенной фразе можно смело поменять аббревиатуру ИБ на название любого подразделения.
                    Честно говоря, я не понимаю о чем мы спорим.

                    Комментарий


                    • #11
                      Сообщение от surfer Посмотреть сообщение
                      Настоящий безопасник должен соблюдать три основных правила:

                      1. Уметь разговаривать с бизнесом "на его" языке (даже в трезвом состоянии).
                      2. Просить лучше меньше (но чаще...).
                      3. Быть дипломатом (выдавать свои идеи за идеи руководства и хвалить его при этом).
                      :-) Прям как правила Глеба Жеглова.
                      Вы не находите, что точно такими же правилами должен руговодствоваться сотрудник любого подразделения?

                      Комментарий


                      • #12
                        Вы не находите, что точно такими же правилами должен руговодствоваться сотрудник любого подразделения?
                        При общении с бизнесом-ДА.
                        В других случаях-не всегда.
                        Например: ИТ и ИБ могут общаться на 1-м языке (не нужно правило №1)

                        Комментарий


                        • #13
                          Огромнейшая проблема нашего времени, то что Випы (Вожди) ИБ еще не выросли (или их единитсы).
                          Для хорошо поставленной ИБ нуна:
                          тех. специалисты (причом я имею ввиду именно технарей, а не мальчегофф,которые отучились по модной специальности ИБ и даже и близко не знают,что такое ОС, AD, TCP, СКЗИ, как живут вири и т.д. и т.п.) которые умеют:
                          1.разговаривать на одном языке (либо просто могут объяснить на пальцах и понятном языке для любого - поверьте, любой админ-быфший , сможет это сделать) любому подразделению для чего нужна та или иная движуха, чем она грозит конкретно для их подразделения и банки в целом, причем делает это с выкладками на нормативные доки, практику, прицеденты и т.д. Даже буху можно объяснить, например, про железку какую-нить страшную или софтину непонятную так что бы она это поняла-имеется ввиду, хотябы когда платить нужно вчера, или чо-нить они приходуют. Понимают,хотя бы приблизительно бизнес процессы других подразделений.
                          2.умеет выстраивать рабочие взаимоотношения (ну может иногда и не софсем рабочие )))) с подразделениями. Если хотите даже помогать им в чем-нить.
                          3.готовить документы (разные) грамотно.
                          4.могут доказать свою точку зрения, обосновать её.
                          5.в конце концов в своем подразделении выстроить отношения коллектива.
                          ...да много вопщем всего.

                          А руководители, я так думаю, (если вы это будете все делать) будут довольны.....тут вот главное,что бы они помогали на уровне вождей такого же ранга как и они сами продавливать ваши идеи, проекты и т.д....ну и не мешали еще )

                          Комментарий


                          • #14
                            Елочка зеленая Да, это точно...Получается, что необходим переводчик - посредник между безопасностью и бизнесом,приближенный более к бизнесу,поскольку по ряду причин, бизнес к себе особо и не подпустит.
                            А вот этот перевводчик и является руководителем службы информационной безопасности. Точнеее не является, а должен являться.

                            Комментарий


                            • #15
                              Сообщение от Berrimor Посмотреть сообщение
                              В вышеприведенной фразе можно смело поменять аббревиатуру ИБ на название любого подразделения.
                              Честно говоря, я не понимаю о чем мы спорим.
                              согласен

                              ЗЫ просто поспорить очень хотелось ...

                              Комментарий


                              • #16
                                Сообщение от SAndreyV Посмотреть сообщение
                                Елочка зеленая Да, это точно...Получается, что необходим переводчик - посредник между безопасностью и бизнесом,приближенный более к бизнесу,поскольку по ряду причин, бизнес к себе особо и не подпустит.
                                А вот этот перевводчик и является руководителем службы информационной безопасности. Точнеее не является, а должен являться.
                                хорошо если руководитель ИБ имеет личный доступ к самому топу.
                                а вот если ИБ входит в состав службы безопасности - то в больших конторах к топу ходит начальник СБ. и с переводом получится нечто, аналогичное этому

                                Комментарий


                                • #17
                                  xmad поспорим ?

                                  А зачем? Мы об одном говорим.

                                  управление рисками - а ИБ разве не входит в операционные риски ?

                                  Вот именно. Бизнес думает о том же, только другими понятиями. ИБ должна говорить именно этим языком, а не своим.

                                  surfer Просить лучше меньше

                                  Просить надо столько, сколько надо. Только прося деньги, надо понимать, как их обосновывать.

                                  Berrimor Вы не находите, что точно такими же правилами должен руговодствоваться сотрудник любого подразделения?

                                  Именно так. ИБ ничем не отличается от отдела по продажам, канцелярии и т.п. А то почему-то ИБшники часто считают, что они "другие" и на них обшие правила не распространяются.

                                  SAndreyV А вот этот перевводчик и является руководителем службы информационной безопасности. Точнеее не является, а должен являться

                                  Не совсем. Этим переводчиком является BPM. Мы это уже обсуждали в одной из веток.

                                  Комментарий


                                  • #18
                                    Не дёргайте строчки из текста! Это в корне изменяет понимание фразы:
                                    2. Просить лучше меньше (но чаще...).
                                    PS Ничего личного. Только работа.

                                    Комментарий


                                    • #19
                                      surfer Не дёргайте строчки из текста! Это в корне изменяет понимание фразы

                                      Ничего не поменялось ;-) Просить надо столько сколько нужно. Хоть каждый день и по миллиону или раз в год и одну тысячу. Любая трата денег бизнесом на что-то - это инвестиция. А инвестиция будет сделана только тогда, когда будет увидена отдача от нее. Чем выше отдача, тем больше шансов, что инвестиции будут сделаны и ваш проект будет лучше, чем другие. И совершенно неважно, по скольку и как часто вы просите...

                                      Комментарий


                                      • #20
                                        Алексей, не смотря на Ваш огромный багаж знаний, у меня больше жизненного опыта. Спуститесь на землю! Эти правила имеют больше психологическую основу в РЕАЛЬНОЙ жизни.
                                        Далее полемику по данному вопросу считаю неуместной.

                                        Комментарий


                                        • #21
                                          surfer у меня больше жизненного опыта

                                          Российского?

                                          Спуститесь на землю!

                                          Зачем? Не лучше ли стремиться ввысь?

                                          Эти правила имеют больше психологическую основу в РЕАЛЬНОЙ жизни.

                                          У бомжей тоже жизнь реальна, но это не значит, что они не хотят ее улучшить ;-)

                                          ЗЫ. Потому ИБ и находится в таком положении, что большинство считает, что "надо быть ближе к земле", "лучше синица в руках", "инициатива наказуема", "тише едешь..." и т.п.

                                          Комментарий


                                          • #22
                                            Далее полемику по данному вопросу считаю неуместной.
                                            Смотри в личку.

                                            Комментарий


                                            • #23
                                              Сообщение от xmad Посмотреть сообщение
                                              коллеги, вы не пытались узнать у руководства чего оно хочет от вашей работы ?
                                              Мое стандартную херню:
                                              - обеспечение такого качества ИТ-сервисов (я не в банке), которое в полной мере удовлетворяет потребностям наших клиентов;
                                              - повышение нашего конкурентного преимущества в глазах клиентов за счет применения передовых методов управления информационными рисками;
                                              - недопущение такого ущерба интересам государства/общества/клиентов/партнеров/работников, который сказался бы на реализации наших бизнес-целей или хотя бы просто устойчивом функционировании;
                                              ну и т.п. Всё как и везде.

                                              Комментарий


                                              • #24
                                                Сообщение от Ригель Посмотреть сообщение
                                                Мое стандартную херню:
                                                - обеспечение такого качества ИТ-сервисов (я не в банке), которое в полной мере удовлетворяет потребностям наших клиентов;
                                                - повышение нашего конкурентного преимущества в глазах клиентов за счет применения передовых методов управления информационными рисками;
                                                - недопущение такого ущерба интересам государства/общества/клиентов/партнеров/работников, который сказался бы на реализации наших бизнес-целей или хотя бы просто устойчивом функционировании;
                                                ну и т.п. Всё как и везде.
                                                Мне проще - зампред, которому я подчиняюсь, в молодости был бизнtс-аналитиком

                                                Его интересуют вполне конкретные проблемы:
                                                - кто может провести несанкционированный платеж и как?
                                                - если упадет вот этот канал связи, отделения смогут работать?
                                                - если у нас пожар случится, мы что делать будем?

                                                Комментарий


                                                • #25
                                                  Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                  surfer
                                                  У бомжей тоже жизнь реальна, но это не значит, что они не хотят ее улучшить ;-)
                                                  ЗЫ. Потому ИБ и находится в таком положении, что большинство считает, что "надо быть ближе к земле", "лучше синица в руках", "инициатива наказуема", "тише едешь..." и т.п.
                                                  5+

                                                  кстати многие бомжи ничего не хотят улучшать именно потому что:
                                                  "надо быть ближе к земле",
                                                  "лучше синица в руках",
                                                  "инициатива наказуема",
                                                  "тише едешь..."
                                                  их и так все устраивает ...

                                                  Комментарий


                                                  • #26
                                                    Сообщение от Алексей Лукацкий Посмотреть сообщение
                                                    surfer Не дёргайте строчки из текста! Это в корне изменяет понимание фразы

                                                    Ничего не поменялось ;-) Просить надо столько сколько нужно. Хоть каждый день и по миллиону или раз в год и одну тысячу. Любая трата денег бизнесом на что-то - это инвестиция. А инвестиция будет сделана только тогда, когда будет увидена отдача от нее. Чем выше отдача, тем больше шансов, что инвестиции будут сделаны и ваш проект будет лучше, чем другие. И совершенно неважно, по скольку и как часто вы просите...
                                                    имхо надо избавляться от психологии просителя.
                                                    не выпрашивать надо, а предлагать вкладывать с определенными целями.

                                                    Комментарий


                                                    • #27
                                                      Сообщение от malotavr Посмотреть сообщение
                                                      зампред, которому я подчиняюсь, в молодости был бизнес-аналитиком

                                                      Его интересуют вполне конкретные проблемы
                                                      Со времен его молодости системы менеджмента качества всего, что только можно, признали ориентацию на клиента эффективнее частных целей

                                                      Комментарий


                                                      • #28
                                                        Сообщение от Berrimor Посмотреть сообщение
                                                        Для руководства разницы между уборщицей и безопасником особой нет - и тот и другой прибыль не приносит, они лишь вынужденное звено, обслуживающее бизнес.
                                                        Говоря по секрету, в циничном мире капитала штат уборщиц тоже обусловлен экономической выгодой, а не нравственным воспитанием. Если без гигиены работники перемрут, покупатели разбегутся, или санэпидемстанция лавку прикроет, то участвуют ли уборщицы в создании прибыли?
                                                        Последний раз редактировалось Ригель; 01.09.2008, 23:54.

                                                        Комментарий


                                                        • #29
                                                          В моём случае вопрос вообще об ИБ и о её конкретных целях возник на основе интереса части ТОПов к информационным потокам компании - т.е.,получению ответов на классические вопросы: "кто? что? где? когда? каким образом?".
                                                          Но поскольку на всю компанию ИБшников насчитывается всего двое (надеюсь - пока), приходится пахать и за себя, и "за того парня" (т.е. выполнять функции внутреннего аудита).
                                                          Всё в наших руках...(с)

                                                          Комментарий


                                                          • #30
                                                            Сообщение от Ригель Посмотреть сообщение
                                                            Со времен его молодости системы менеджмента качества всего, что только можно, признали ориентацию на клиента эффективнее частных целей
                                                            Да она, в общем, не так давно закончилась. Ему около сорока.

                                                            Комментарий

                                                            Пользователи, просматривающие эту тему

                                                            Свернуть

                                                            Присутствует 1. Участников: 0, гостей: 1.

                                                            Обработка...
                                                            X