В одном интересном материале на днях прочитал, что эффективная программа ИБ внедряется в компании в течении 3-х лет. "Эффективная" в данном контексте значит, что она вынесена на уровень топ-менеджмента компании и увязана с бизнес-стратегией предприятия. 3 года - это некоторая усредненная (а возможно и минимальная) оценка для западных компаний (не SMB-уровня) с ИХ уровнем развития и зрелости. Иными словами не стоит рассчитывать, что в российских условиях эффективная программа ИБ будет внедрена быстрее чем за 3-4 года.
В такой ситуации достаточно интересно наблюдать метания ряда российских CISO, которые проработав менее 2-х лет в своей компании, уходят из нее на новое место, приговаривая при этом, что на прошлом рабочем месте их не поняли и не дали развивать направление информационной безопасности. А по другому просто и не могло быть. У любого процесса свои законы развития и перепрыгнуть через определенные эволюционные этапы невозможно. То же относится и к ИБ.
К чему я это написал? Не стоит рассчитывать на успех внедрения программы ИБ раньше 3-х лет. Это реальная временная оценка. И если у вас за 2 года программа не внедрилась, то это не значит, что вы что-то неправильно делаете (хотя и это возможно). Просто время еще не пришло.
В такой ситуации достаточно интересно наблюдать метания ряда российских CISO, которые проработав менее 2-х лет в своей компании, уходят из нее на новое место, приговаривая при этом, что на прошлом рабочем месте их не поняли и не дали развивать направление информационной безопасности. А по другому просто и не могло быть. У любого процесса свои законы развития и перепрыгнуть через определенные эволюционные этапы невозможно. То же относится и к ИБ.
К чему я это написал? Не стоит рассчитывать на успех внедрения программы ИБ раньше 3-х лет. Это реальная временная оценка. И если у вас за 2 года программа не внедрилась, то это не значит, что вы что-то неправильно делаете (хотя и это возможно). Просто время еще не пришло.
