11.06.2015

Впечатления от IDC CIO Summit

Модерировал. Опять. Вчера. Я. На IDC CIO Summit в Санкт-Петербурге. Надо сказать, что я не так часто посещаю чисто айтишные мероприятия (по сравнению с мероприятиями по ИБ). Нижегородский клуб ИТ-директоров (правда, сейчас он стал менее активен по ряду причин). Да Высшие курсы CIO. Вот, пожалуй, и все (если не считать парочки эпизодических мероприятий региональных ИТ-клубов). Поэтому всегда интересно смотреть на аудиторию, с которой безопасники то дружат, то конфликтуют, но живут бок о бок. Нынешний CIO Summit выгодно отличался от других мероприятий тем, что хотя спонсоры там и присутствовали, но рекламных докладов от них не было вовсе. Хочу заметить, что презентаций там вообще не было, кроме двух затравочных со стороны самой IDC, - все остальное время занимали панельные дискуссии с CIO.


Меня попросили провести панельную дискуссию по информационной безопасности в деятельности CIO. Когда я планировал, о чем будет идти речь, я вспоминал мероприятие IDC IT Security Roadshow в Москве и в Алматы, где мне довелось принять участие и где, преимущественно, были представлены специалисты по ИБ. Так вот на обоих мероприятиях безопасники жаловались (либо в кулуарах, либо со сцены), что бизнес (и зачастую ИТ) их не понимает. Поэтому, когда организаторы попросили меня подготовить два вопроса для онлайн-опроса через web-приложение конференции, я включил в них следуюшие (см. две картинки).

Каково же было мое удивление, когда 2/3 CIO (а на мероприятии были только они, причем от компаний с числом сотрудников не менее 1000) отметили, что у них-то нет проблем общения со своими службами ИБ, которые мало того, что общаются с ИТ и бизнесом на одном языке, так еще и оценивают свою эффективность и свой вклад в достижение бизнес-целей (наезжание текста произошло из длинных вариантов ответа). Правда, не все смогли четко сформулировать, в чем измеряется эффективность ИБ в бизнес-терминах, но само взятое направление движения мне понравилось.


Возможно такой ответ был связан с тем, что в большинстве компаний-участников ИБ подчинялась непосредственно CIO и была неразрывно связана с ИТ. Многие брали ИБшников "под себя" и были "толмачами" между ИБ и бизнесом, то ответ выше становится более понятным.

Интересным оказался второй вопрос онлайн-голосования - кому должна подчиняться служба ИБ? Как показало последующее общение в кулуарах, это очень больная тема для многих и многие пытаются найти ответ на этот вопрос. Сразу скажу - универсального ответа нет. Все зависит от организации, отрасли, уровня зрелости, руководства и множества других факторов. В конце концов важно не столько место в иерархии, сколько то доверие, которое безопасник имеет со стороны топ-менеджмента.


Интересной оказалась и дискуссия о том, как оценивать эффективность ИБ - в терминах рисков или в том вкладе, который ИБ вносит в каждый выпускаемый компанией продукт или услугу. Однозначного ответа найти не удалось - у всех свой опыт в этом вопросе. Но большинство все-таки использует рисковый подход.

Из интересных фишек мероприятия хочу отметить приложение. Оно было не мобильным, как обычно делают на других мероприятиях, а в виде доступа к web-сайту. Но могу сказать, что в данном случае это было закономерно. В Питере нет проблем ни с Wi-Fi, ни с LTE, ни с 3G - поэтому можно было спокойно в онлайн-режиме обеспечивать доступ к программе, информации о спикерах и участниках, смотреть результаты голосования, задавать вопросы и даже контактировать с другими участниками. 


Вот так выглядела "страницы" с голосованиями, результат которых можно было посмотреть в реальном времени. Сразу отмечу, что опросы по теме ИБ набрали самое большое число голосов.


А вот так выглядела страница с вопросами из зала, которые модератор сразу транслировал участникам панельной дискуссии. На IDC IT Security Roadshow в Москве IDC использовала для этого SMS и What's Up, а сейчас была более продвинутая версия, позволяющая еще и проголосовать за тот или иной вопрос, "подняв" ее в списке задаваемых на самый верх.


В заключение хочу сказать спасибо не только организаторам, но и участникам модерируемой мной панельной дискуссии - Илье Горбунову (СПбГУ), Евгению Грищенко (Teleperformance), Дмитрию Иншакову (PwC) и Дмитрию Мананникову (СПСР-Экспресс).

ЗЫ. Интересным был опрос на тему ФЗ-242.


10 коммент.:

p.a.kulikov комментирует...

"Модерировал. Опять. Вчера." Звучит как запись извинения за что-то в крайней степени неприличное. Типа:
- доктор, я опять модерировал.
- как, опять?
- да, доктор. Опять.…
- когда?
- вчера, доктор.
- где это случилось?
- в Питере, доктор, на idc.
- тьфу ты, голубчик! Это же Питер! Там все модерируют! Не ездите в Питер и не будете модерировать!!! ни-ког-да!!!

Evgeniy Grischenko комментирует...

Алексей, и вам спасибо!

Евгений Родыгин комментирует...

Презентационные сборища отживают свое. На сцену выходит стэндап.
Уровень зрелости заметно увеличился.
"Возможно такой ответ был связан с тем, что в большинстве компаний-участников ИБ подчинялась непосредственно CIO и была неразрывно связана с ИТ." - именно так. Тоже писал про новый облик ИБ. Действительно обслуживание уходит в ИТ а в ИБ остается топ-менеджер за которым стратегия и работа на уровне бизнеса.
Куда девать ИБ - зависит конечно от компании и зрелости менеджмента. Тут если ИТ зрелее - туда если Дирекция по безопасности - туда, ну и т.п.
Как считать эффективность? Тоже стало понятно - зрелость низкая - по средней температуре и количеству инцидентов, средняя - по рискам, высокая - по рискам и методам как у Dmitriy Manannikov...

Алексей Лукацкий комментирует...

Паша ;-)

Алексей Лукацкий комментирует...

Евгений, вам спасибо. Все зависит оттучастников дискуссии!

Алексей Лукацкий комментирует...

Женя, хорошие доклады всегда будут в цене

Евгений Родыгин комментирует...

Кто бы спорил... Но даже не касаясь хороших докладов, нужно и второе блюдо - диалог с аудиторией! Привлечение аудитории к диалогу... К конструктивному конечно, потому как насколько мало хороших докладов, настолько же мало удачных разогревов собравшихся!

p.a.kulikov комментирует...

Еагений, качество докладов не равно качеству аудитории. Пример из Казани: сделали открытую дискуссию, слово взял представитель дочки Газпрома и дискуссия от вопросов ИБ перенеслась в целеполагание верховного главнокомандующего, готовности Газпрома поддержать курс и всплакиванию по тому как здорово было в СССР. При том, что представитель дочки в СССР, как и я, успел только родиться.
Лично я за продолжение курса экспертного диалога, с минимальным количеством вовлеченности аудитории: пришли - послушали - поймали в коридоре и уточнили.

Алексей Лукацкий комментирует...

Паша, не согласен :-) Нужен сбалансированный вариант. Ключевые доклады, мастер-классы и дискуссионные панели

p.a.kulikov комментирует...

Алексей, не буду спорить. Я не так часто "модерирую".