Бизнес в области безопасности

Информационная безопасность и бизнес-стратегия фирмы

Илья Сачков,

менеджер по информационной безопасности компании «Арктел»

СПЕЦИАЛИСТЫ в области информационной безопасности (ИБ) лучше всех понимают, что защита информационной инфраструктуры организации открывает новые деловые возможности, а имеющиеся бизнес-процессы при этом требуют меньше ресурсов для эффективной работы. Надежная защита информации позволяет вовлечь в бизнес новых партнеров. Чем выше уровень доверия, тем больший уровень доступа можно безопасно предоставлять внешним сторонам, таким как: клиенты, деловые партнеры, сотрудники и подрядчики. Это помогает расширить бизнес и одновременно упрощает выполнение операций, снижая затраты.

Однако классическое подразделение по ИБ, к сожалению, оторвано от реалий бизнеса и привязано сугубо к технологиям. Компании, в которых директора и руководители отделов по ИБ имеют представление о бизнес-процессах и методологии управления проектами, можно пересчитать по пальцам. Кроме того, существует стереотип, что И Б привязана к информационным технологиям (ИТ). Хорошо, что в печати и на семинарах периодически можно услышать мнение, что ИБ — это не только ИТ. Но опять же, согласно статистике, в большинстве компаний ИБ привязана к ИТ, очень часто имеет общий с ИТ бюджет, топ-менеджмент компаний уверен, что ИБ -лишь подразделение ИТ.

Необходимо понимать, что в современном мире ИБ — это, в первую очередь, очень сильный менеджмент, очень четкое представление бизнес-стратегии компании и умение взаимодействовать со всеми ее подразделениями. Технологии — это лишь инструмент.

Без эффективного менеджмента и понимания бизнес-стратегии компании на подразделения ИБ будут смотреть как на подразделения, не приносящие доход. Управление ИБ на среднем уровне позволяет окупать расходы, а при хорошем менеджменте -приносить доход и делать бизнес еще эффективнее. Необходимо донести до топ-менеджеров, что подход, который рассматривает ИБ с точки зрения защиты, уже устарел. Сегодня речь идет о том, что ИБ позволяет расширять бизнес в глобальном масштабе независимо от размеров компании или ее расположения.

Рассмотрим два метода, которые позволят установить твердую связь между бизнес-процессами, бизнес-стратегией компании и информационной безопасностью.

Эффективное управление проектами

В разных организациях влияние ИБ на бизнес-процессы и бизнес-стратегию будет различным. В каждой компании — свои проекты. ИБ традиционно является частью ИТ-проектов. Однако целесообразно было бы включать руководителя (или представителя) отдела информационной безопасности в работу над любым бизнес-проектом компании. Причем под проектом может пониматься изменение бизнес-стратегии компании и, как следствие, изменение бизнес-процессов, внедрение новой технологии или новой маркетинговой кампании. При этом методология управления различными проектами будет общей.

Согласно методологии PMP (Project Management Professional), существует пять групп процессов в управлении проектом: разработка или инициация, планирование, выполнение, контроль и завершение. Специалисты по информационной безопасности могут и должны участвовать в каждом процессе.

Стоит разделить «ИТ-проек-ты» (плюс проекты по ИБ) и «не ИТ-проекты».

В «ИТ-проектах» безопасность — одна из основных составляющих, другие подразделения, как правило, в них не участвуют. А подразделение по безопасности обычно не участвует в «не ИТ-проектах». Следовательно, чтобы увеличить эффективность всех проектов, надо произвести своеобразный обмен. Представители других подразделений должны участвовать в фазе инициации и контроля ИТ-проек-тов. Это поможет увеличить общую осведомленность и понимание в области ИБ. В свою очередь представитель отдела информационной безопасности должен быть включен в работу над «не ИТ-проек-тами». Это поможет ответить на вопросы: «Как организовать обмен информацией между клиентом и компанией?», «Как предотвратить утечку информации о клиенте?», «Как сделать так, чтобы о новой рекламной акции никто не узнал раньше времени?» и т.п.

Таким образом, подразделение информационной безопасности окажется не только надежным защитником информационных ресурсов компании, но и активным участником бизнес-стратегии компании, при этом у других подразделений появится доверие и уважение к задачам безопасности, так как и они будут участвовать в их решении.

Взаимодействие с топ-менеджментом

Довольно сложно говорить о том, как установить взаимоотношения с топ-менеджментом организации, не зная ее структуры и истории. В компаниях, где безопасность информации имеет критичные для бизнеса функции, директор по безопасности практически всегда найдет общий язык с руководством организации. Но факт остается фактом: вне зависимости от организации, если руководство следит за соблюдением безопасности, обладает фундаментальными знаниями в области защиты информации и придает большое значение работе по направлению ИБ, выгода для компании и бизнеса будет максимальна. Сложнее всего и важнее всего убедить руководство в том, что надежная и безопасная оптимизация любых бизнес-процессов компании позволяет ей сфокусироваться на ключевых аспектах деятельности и вывести эффективность выполнения операций на новый уровень. Поэтому очень важно, чтобы представители И Б участвовали в планировании и реализации бизнес-стратегии. Стратегия безопасности при этом должна быть целиком построена на задачах бизнес-стратегии компании. Когда безопасность ориентирована на бизнес, проблема инвестиций в безопасность решается сама собой. В первую очередь целесообразно заняться задачами бизнеса, во вторую — обратить внимание на типовые и призрачные угрозы ИБ вроде инсайдеров и т.п. Идеальной является ситуация, когда топ-менеджмент, да и рядовые сотрудники, начинают гордиться своим подразделением безопасности, говоря: «А вот в нашей компании информационная безопасность помогает нам в работе», и когда не соблюдать политику информационной безопасности становится просто дурным тоном. Поэтому обучение по направлению ИБ — одна из необходимых задач бизнеса. Важно, чтобы топ-менеджмент компании в результате мог ответить не только на вопрос «Как?», но и на вопрос «Зачем?».

Информационная безопасность — это прежде всего сильный менеджмент и грамотное управление. Подразделение информационной безопасности должно стать бизнес-единицей, направленной на увеличение эффективности и прибыльности бизнеса компании, а защита информации — оставаться лишь одной из функций подразделения. Результаты работы отдела информационной безопасности в развитии бизнеса компании станут лучшим доказательством надежности и правильности данного подхода к ИБ.

Поделиться:

Похожие статьи

Риски при покупке бизнеса
Бизнес идет в минус
Средний бизнес в россии статистика
Нет комментариев

Добавить комментарий

Ваш e-mail не будет опубликован. Все поля обязательны для заполнения.

© Copyright 2023, Бизнес Гид. Все права защищены.