Как интегрировать ИБ в процессы компании?

Директор по кибербезопасности в OKS Group

• Традиционно в коммерческих организациях ИБ относится к категории бэкофисных подразделений наравне с ИТ, HR, бухгалтерией и юристами. Проблематика отрасли – «не дают денег», «не слышат».
• У бэкофисных подразделений обычно выработаны стандартные процессы и интерфейсы взаимодействия с внутренними клиентами – процессы оплаты счетов, найма сотрудников, выдачи оборудования и настройки рабочего места и т.д. Для таких процессов обычно применяются CRM, CMS, порталы, системы автоматизации.
• Как выглядит ИБ с точки зрения внутреннего клиента? В лучшем случае в организации существуют процессы вовлечения ИБ в вопросы согласования проектов, выдачи прав доступа, контроля соблюдения правил.
• Как выглядит ИБ для вас, когда вы покупаете услуги у MSSP? Продавец приходит к вам с красочной презентацией передовых сервисов, описывает свои возможности и планы развития. Вы чётко прописываете SLA, формализуете состав услуг и уровень ответственности исполнителя, для вас выделяется сервис-менеджер. Подумайте, так ли хорошо выглядите вы в глазах внутреннего заказчика?
• Что такое сервис? Понятные вводные, понятный конечный результат. Можно ли представить деятельность ИБ как сервисы для внутреннего заказчика? Определение перечня сервисов.
• Презентация сервисной модели руководителям как метод внутренних продаж. Корреляция с затратами на информационную безопасность. Сбор обратной связи и потребностей.
• Операционная интеграция с процессами HR, IT, R&D. Интегрировано ли повышение осведомлённости в HR-процесс? Есть ли у вас инструмент работы с пользовательскими заявками и SLA по ним, как у IT? Работа с R&D – только SDL?
• Плюс сервисной модели – вклад в культуру ИБ: формирование внутренних амбассадоров, повышение осведомлённости у руководителей и вовлечённости рядовых пользователей.