6.11.07

О роли времени в ИБ

В одном интересном материале на днях прочитал, что эффективная программа ИБ внедряется в компании в течении 3-х лет. "Эффективная" в данном контексте значит, что она вынесена на уровень топ-менеджмента компании и увязана с бизнес-стратегией предприятия. 3 года - это некоторая усредненная (а возможно и минимальная) оценка для западных компаний (не SMB-уровня) с ИХ уровнем развития и зрелости. Иными словами не стоит рассчитывать, что в российских условиях эффективная программа ИБ будет внедрена быстрее чем за 3-4 года.

В такой ситуации достаточно интересно наблюдать метания ряда российских CISO, которые проработав менее 2-х лет в своей компании, уходят из нее на новое место, приговаривая при этом, что на прошлом рабочем месте их не поняли и не дали развивать направление информационной безопасности. А по другому просто и не могло быть. У любого процесса свои законы развития и перепрыгнуть через определенные эволюционные этапы невозможно. То же относится и к ИБ.

К чему я это написал? Не стоит рассчитывать на успех внедрения программы ИБ раньше 3-х лет. Это реальная временная оценка. И если у вас за 2 года программа не внедрилась, то это не значит, что вы что-то неправильно делаете (хотя и это возможно). Просто время еще не пришло.

5 коммент.:

arkanoid комментирует...

Эээ, не так все просто. CISO пытается внедрять "безопасность, как процесс", интегрируя ее в то новое, что создается в компании. И видит, что руководство и сотрудники хотят работать по-старому: чтобы они сделали, а он потом "сделал им из этого безопасное". Разумеется, плюнет и уйдет. Не раз видели.

Анонимный комментирует...

Либо ЦИСО понимает, что пришло время "платить по счетам", а кроме разводов руками показать нечего и он уходит до момента, когда с него могут что-то спросить.

Анонимный комментирует...

А я полностью согласен с написанным. В России до руководства долго доходят проблемы ИБ. У нас так сложилось - пока петух в одно место не клюнет никто не зашевелится. У меня такая же ситуация - ощущение, что действительно не понимают, и порой, действительно, хочется сменить место работы. А что касается "кроме разводов руками показать нечего", то здесь все зависит от CISO. Если меня что-то спросят, я обязательно отвечу, а если ответить нечего, значит Вы плохой CISO.

Алексей Лукацкий комментирует...

CISO пытается внедрять "безопасность, как процесс"

Ну, э-э-э-та... Красиво конечно. И правильно. Но как-то с трудом я такое воспринимаю у нас ;-( Очень мало кто реально внедряет безопасность, как процесс. Сквозной процесс, разумеется.

Алексей Лукацкий комментирует...

ощущение, что действительно не понимают

Они и не должны понимать ИБ в том виде, как мы это все понимаем. Задачи у них немного иные. Проблема часто в том, что мы не можем до них донести, что такое ИБ в контексте бизнеса.