Нефть и песок О стали Компрессор - подбор и ошибки Из истории стандартизации резьб Соперник ксерокса - гектограф Новые технологии производства стали Экспорт проволоки из России Прогрессивная технологическая оснастка Цитадель сварки с полувековой историей Упрочнение пружин Способы обогрева Назначение, структура, характеристики анализаторов Промышленные пылесосы Штампованные гайки из пружинной стали Консервация САУ Стандарты и качество Технология производства Водород Выбор материала для крепежных деталей Токарный резец в миниатюре Производство проволоки Адгезия резины к металлокорду Электролитическое фосфатирование проволоки Восстановление корпусных деталей двигателей Новая бескислотная технология производства проката Синие кристаллы Автоклав Нормирование шумов связи Газосварочный аппарат для тугоплавких припоев
Главная страница / Архитектура отрасли

Бизнес без опасности



В ноябре 2005 г. компания Cisco провела среди государственных учреждений США опрос по безопасности. Среди прочих был задан следующий: «Какие барьеры вы видите на пути к улучшению ситуации с информационной безопасностью?». Первая тройка ответов, как это ни странно, совершенно не связана с «техникой». Респонденты отметили:

59,6% – нехватку финансирования;

48,5% – наличие в своих организациях более приоритетных проектов;

39,4% – недостаточное внимание со стороны руководства.

Аналогичные ответы были получены в исследовании сайта в апреле 2006 г. На вопрос: «Какие три главные проблемы вы видите перед собой в ближайшие 18 месяцев?» руководители отделов защиты информации по всему миру ответили:

ограниченный бюджет – 61%;

соответствие требованиям различных ведомств и законодательным требованиям – 57%;

обучение руководства вопросам безопасности – 53%.

На самом деле все эти ответы – суть одной проблемы – отсутствие связи между безопасностью и бизнесом. Нехватка финансирования вызвана тем, что все деньги уходят на более приоритетные проекты, так как их «владельцы» сумели доказать важность именно своего детища. Отсюда и невнимание со стороны руководства. Как изменить сложившуюся ситуацию?

Начнем с основ. Почему возник разрыв между ожиданиями экспертов по безопасности и руководством? Большинство российских специалистов до сих пор следуют «государственному» или «военному» пониманию термина безопасности, который четко трактуется в руководящих документах Федеральной службы по техническому и экспортному контролю (ФСТЭК) «Состояние защищенности информации, обрабатываемой средствами вычислительной техники или автоматизированной системы, от внутренних или внешних угроз». Именно здесь кроются все наши беды. Ни слова о том, что так важно руководителю любой организации, даже государственной. Много ли найдется директоров компаний, которые задумываются о «состоянии», «защищенности», «автоматизированных системах», «угрозах» (причем именно компьютерных, а не каких-либо еще)? Полагаю, ни одного. Даже руководство компаний, профессионально играющих на рынке информационной безопасности, оперируют совершенно иной терминологией. Продавая свою продукцию, они по-прежнему разговаривают с клиентом на техническом языке, чуждом последнему. Парадокс…

Чтобы переломить ситуацию, достаточно всего двух следующих факторов:

учет требований и целей бизнеса;

обоснование и измерение эффективности процессов безопасности в бизнес-метриках.

Иными словами, мы должны говорить с руководством на его языке, т. е. языке бизнеса. Поэтому и сам термин «безопасность» должен быть переформулирован как «процесс, демонстрирующий как связанные с безопасностью изменения и инвестиции с течением времени обеспечивают достижение бизнес-целей». В этом определении пять ключей, постижение которых позволит «достичь просветления» и вывести безопасность на совершенно иной уровень. Эти ключи – «процесс», «демонстрирующий», «связанные», «инвестиции», «бизнес-цели».

Безопасность как процесс была описана в статье «Организация процесса управления информационной безопасностью» («Connect! Мир связи» № 10, 2006 г.), поэтому перейдем к следующим.

Главная страница / Архитектура отрасли