Стратегия есть. Достаточно ли?
В последние месяцы мы с вами говорили о том как выстраивать стратегию информационной безопасности. От понимания своей роли и недопустимых событий - до портфеля конкретных инициатив, модели управления и расстановки приоритетов. И, казалось бы, можно выдохнуть. Но на самом деле всё только начинается. Ведь теперь нам необходимо ответить на самый главный вопрос:
Как реализовывать эту стратегию?
В управлении информационной безопасностью я придерживаюсь классической модели PPT/ЛПТ: Люди, Процессы, Технологии. В основе данной модели - принцип баланса. Изменение одного компонента неизбежно влияет на два других.
💪 Люди
Когда мы говорим "люди" в контексте PPT - это конкретные люди с конкретными полномочиями, мотивацией и моделями поведения.
Управление этим компонентом - это не про найм "правильных людей" и проведение тренингов. Это про то, чтобы нужные люди были на нужных местах, понимали свою роль и имели достаточно полномочий, чтобы реально влиять на результат. ✍️Процессы
Процессы - это то, как работа устроена на самом деле. Не то, что написано в регламенте. А то, что реально происходит, когда приходит запрос, случается инцидент или необходимо принять решение.
Хороший процесс не тот, который красиво задокументирован. А тот, которому люди реально следуют - потому что он работает, а не потому что так написано в политике. 👨💻 Технологии
Это последний элемент PPT. Не первый. И это принципиально.
Инструменты, системы, средства защиты - все это усиливает людей и процессы. Но только если люди понимают зачем, а процессы уже выстроены. В противном случае технология становится дорогим способом автоматизации хаоса.
Технологии - это мультипликатор. Они усиливают то, что уже работает. И обнажают то, что не работает.
В следующих постах разберем, почему именно Люди чаще всего становятся точкой отказа как стратегии, так и системы безопасности. И как сделать так, чтоб они стали опорой.
Подписывайтесь на мой канал в MAX
#ИнформационнаяБезопасность #ИБ #СтратегияИБ #УправлениеИБ #ЛюдиПроцессыТехнологии
