Одна страница, которая задает приоритеты в ИБ
В серии про "Первые шаги Руководителя по ИБ" по дошли до формирования Стратегии информационной безопасности. И именно на данном шаге обычно происходит столкновение с реальностью.
Как-то я услышал, что "Стратегия ИБ должна состоять из одного пункта - сделать так, чтоб нас не взломали". Сильное заявление. Но есть нюанс - оно ничего не отражает.
Почему? 🔹 Это слишком абстрактно. Факт взлома - это, что может случиться или не случиться. Им нельзя управлять, приоритизировать, планировать или формировать бюджеты.
🔹Не видно инициатив Руководству необходимо понимать: • что конкретно делаем в тот или иной год? • что делаем в первую очередь, а что во вторую? • кто владелец? • какой эффект для бизнеса даст то или иное решение? Один пункт не дает ответа на все эти вопросы.
🔹Не помогает принимать решения ИБ всегда конкурирует за ресурс. И если стратегия ИБ - это всего лишь один абстрактный путь, то все инициативы превращаются в "хотелки"
Один из рабочих форматов стратегии ИБ, который я использую - стратегия на одной странице, чек-лист, который состоит из нескольких пунктов.
1️⃣ Контекст Коротко и честно - для чего информационная безопасность необходима бизнесу. Не в терминологии угроз, штрафов и прочего. А в терминологии устойчивости, непрерывности, роста.
2️⃣ Недопустимые события Ключевые формулировки на языке последствий: простой продаж, остановка ключевых процессов, утрата критичных данных. Мы защищаем не системы и серверы - мы защищаем способность компании работать.
3️⃣ Честная фиксация текущего состояния Не отчет по аудиту на десятки страниц, а коротки срез реального состояния по ключевым доменам информационной безопасности. Где-то размыта ответственность. Где-то ручная работа ради работы. А что-то держится на одном конкретном человеке.
4️⃣ Ключевые инициативы Список инициатив, каждая из которых в одну строку. Но которые дадут необходимый результат здесь и сейчас.
5️⃣Метрики Не отчетные показатели, а те, которые помогают принимать конкретные решения.
6️⃣ Риски Ресурс, зависимость от смежных подразделений, сопротивление изменениям или просто субъективные взгляды руководства. Лучше определить их сразу, чем потом искать оправдания.
В таком виде стратегия перестает быть абстрактным документом и она начинает выполнять свою основную задачу: давать ясность в том, что важно, почему важно и кто за это отвечает.
