02.11.2012

Олимпийский цикл CISO

Ехал тут с работы домой и слушал "Эхо Москвы", где обсуждали проблемы отечественного футбола. Ничего нового не сказали, но прозвучала интересная мысль о том, что одной из причин того, что наши футболисты находятся на задворках мирового спорта, является несоблюдение олимпийского цикла для главного тренера сборной России. Их слишком часто меняют - после 1-2 лет работы. При этом, для демонстрации каких-то позитивных результатов тренер должен проработать не менее 4-х лет, т.е. так называемый олимпийский цикл (между Олимпийскими Играми).

Суть цикла проста. На первом году тренер привыкает и изучает команду, которая попала ему в руки. Он присматривается, отмечая сильные и слабые стороны игроков команды и того окружения в котором приходится играть футболистам. На втором году стоит задача стабилизировать результаты команды, уйдя постепенно от хаотического ритма игры. На третий год ставится задача начать рост результатов, а на 4-й - показывать уже только положительную и постоянную динамику, которая и позволяет выигрывать на Олимпийских Играх.

Выслушав такую концепцию (достаточно здравую, на мой взгляд), я подумал, что для руководителя службы ИБ подход должен быть тем же. Если не для малого предприятия (но там CISO и так нет), то для среднего и крупного точно. При этом сохраняется именно этот 4-хлетний цикл - изучение нового места работы и своей команды, стабилизация работы и установление взаимоотношений с подразделениями компании и внешними заинтересованными лицами (регуляторы и т.п.), старт серьезных изменений с точки зрения ИБ (новые проекты и процессы) и установление нормального процесса управления информационной безопасностью во всем ее многообразии.


ЗЫ. Кстати, размышления про CISO недавно были опубликованы в блоге Сергея Борисова.

13 коммент.:

x комментирует...

ISO 27001 - PDCA

x комментирует...
Этот комментарий был удален автором.
doom комментирует...

Ну есть же 4-х стадийная концепция формирования команды (правда не обязательно стадия длится год): forming, storming, norming, performing

Алексей Лукацкий комментирует...

Ну да. К ИБ тоже имеет отношение. Насчет годового круга согласен - забыл написать, что это скорее для крупных предприятий работает. Помельче и сроки будут поменьше

doom комментирует...

>Помельче и сроки будут поменьше
А покрупнее, соответственно, и сроки покрупнее :)

Я знаю предприятия, где за 4 года ничего не успеть значимого реализовать - такой цикл там будет порядка 12 лет (!)

Алексей Т. комментирует...

Я бы не стал сравнивать с футболом - исходные данные немного другие - наши футболисты в любом случае и без тренеров могут играть на среднем мировом уровне (да, плохо, но играют же?). С точки зрения ИБ в организациях как крупных так и мелких могут быть различные уровни зрелости и ждать 4 года пока все будет хорошо означает 4 года потерь. На мой взгляд если CISO за месяц не наведет порядок, то он его и за 10 лет потом не наведет. А совершенствоваться потом можно сколько угодно. Сколько было примеров оформления на работу на пару месяцев профессионалов за оооочень большие компенсации, а затем замена на более дешевого "исполнителя".

doom комментирует...

Не соглашусь - причесывание компании за пару месяцев, это из области фантастики. У организации не хватит гибкости, чтобы так быстро перестроиться.
За пару месяцев можно, разве что, разработать, согласовать и утвердить некую общую концепцию - но это даже не план мероприятий.

Андрей Ерин комментирует...

>За пару месяцев можно, разве что, разработать, согласовать и утвердить некую общую концепцию - но это даже не план мероприятий.

Еще вполне можно успеть вытащить пару основных критичных рисков и начать внедрять их смягчение. Больше времени руководство компании не будет ждать эфемерных построек Плана. Руководству действия подавай )))

Все это укладывается в ISO 27001 - PDCA. Согласен с х

doom комментирует...

>Еще вполне можно успеть вытащить пару основных критичных рисков и начать внедрять их смягчение
Это сразу же подразумевает следующие предположения:
1. На предприятии идентифицированы риски (что уже круто)
2. На предприятии гибкое бюджетирование (т.е. не надо пару лет выколачивать деньги на проектирование чего-то там, что еще через 3 года можно будет строить).

А ведь так далеко не везде...

Андрей Ерин комментирует...

>На предприятии идентифицированы риски (что уже круто)

По опыту в 3-х компаниях: идентифицировать 2-3 наиболее критичных риска можно успеть и за месяц, если сразу приступить к опросу владельцев критичных активов. В добавок Вы наберете массу сырого материала для дальнейшего анализа по утвержденной в дальнейшем методике.

>На предприятии гибкое бюджетирование (т.е. не надо пару лет выколачивать деньги на проектирование чего-то там, что еще через 3 года можно будет строить).

Мы говорим о смягчении рисков - это под силу решить и админстративными мерами. Степень смягчения определите в ходе первого доклада о результатах идентификации (через месяц-полтора).
Дальше влючаем PDCA и совершенствуемся до бесконечности: идентифицируем оставшиеся риски, планируем тяжелые мероприятия с солидным бюджетом и т.д. - все 4 года, как пишет Алексей.

doom комментирует...

>если сразу приступить к опросу владельцев критичных активов
И снова предположение. Найти владельца актива (про критичные активы, т.е. провести классификацию я тоже молчу) на многих предприятиях нереально.
Если речь хоть немного про ИТ актив, то все будут показывать в сторону соответствующего админа, что, естественно, неправильно.

Евгений комментирует...

>Найти владельца актива ... на многих предприятиях нереально.

Поддерживаю, если с 1С:Бухгалтерией сразу все понятно, бухгалтерия не отвертиться, то выяснить кто владелец (ака возьмет на себя ответственность) СЭД, CRM сходу выяснить вряд ли получиться.

doom комментирует...

>Поддерживаю, если с 1С:Бухгалтерией сразу все понятно

Да я и тут бы поспорил :)
1С даже у нас используют: бухгалтерия, кадры, логистика, руководители проектов.
Причем где-то понятен владелец информационного ресурса, а где-то совсем даже нет (как правило это речь о данных, которые использует сразу несколько подразделений, причем все на чтение/запись).
В общем случае, чтобы понять кто владелец ресурса, надо понять как он используется в соответствующем бизнес процессе (а потом можно владельца процесса и владельцем ресурса сделать) - а если СМК и не пахнет на предприятии?