Продолжим про ИБ и бизнес ;-) Буду возвращаться к своему курсу "Как связать безопасность и бизнес", который я читал еще 4 года назад. Начну с короткой притчи. Прохожий подходит к трем каменщикам и спрашивает их, что они делают. "Я кладу кирпичи", - ответил первый. "Я возвожу стену", - ответил второй. "Мы возмодим храм, где мы вместе будем молиться Богу!" - ответил третий. ИБ сегодня похожа на первого и, в лучшем случае, второго каменщика, которые не понимают ни потребностей заказчика строительства, ни своего вклада в общее дело. Эту притчу я прочитал в книжке "Управляя изменениями" Ицхака Адизеса, гуру бизнес-управления. Вообще в этой книге много говорится о бизнесе, потребностях и т.п. Рекомендую... Очень интересно и полезно; особенно если читать и преломлять ее на тему ИБ.
Но вернемся к ИБ и вопросам, на которые вы должны ответить:
Собственно этот пункт не менее важен, чем все остальные. Можно узнать, что нужно клиентам (в т.ч. и внутренним). Можно определить способы удовлетворения этих потребностей. Можно даже найти тех, кто может удовлетворить эти потребности. Но... если у них нет мотивации (а точнее, вы ее не определили), то все попытки добиться хоть чего-то полезного будут обречены на неудачу.
И вот тогда ИБ превратится в раковую опухоль, составляющую которую клетки обслуживают только себя. Компания существует для удовлетворения потребностей... клиентов/граждан/общества. И ИБ должна тоже. Правда, тут надо учитывать, что удовлетворять потребности можно не только внешние, но и внутренние. Например, банк создается для легализации денег, полученных преступных путем. Руководство такого банка мало интересуют потребности клиентов. Точнее интересуют. Но потребности специфические и достаточно узкой прослойки клиентов; на остальных наплевать. Готовы ли вы заниматься безопасностью в такой компании и для удовлетворения ТАКИХ потребностей?
В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили. А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана. В другом госоргане DLP-система работает, только "некоторые" информационные потоки идут в обход DLP, которая ловит только дураков из низшего звена. А все потому, что потребности руководства и госоргана не совпадают и безопасники не учли того, о чем я пишу последние три дня.
Но вернемся к ИБ и вопросам, на которые вы должны ответить:
- Вы определили, для кого существует ваш бизнес, госорган, некоммерческая организация? Кто ваши клиенты? Каковы их потребности?
- Вы определили, с кем надо сотрудничать для удовлетворения клиентов? (Про серых кардиналов и центры Силы мы еще поговорим)
- Что надо сделать для удовлетворения и как?
- Как должен это сделать?
- Чего хотят те, кто должен это сделать? Вот на этом этапе нам может помочь карта эмпатии.
Собственно этот пункт не менее важен, чем все остальные. Можно узнать, что нужно клиентам (в т.ч. и внутренним). Можно определить способы удовлетворения этих потребностей. Можно даже найти тех, кто может удовлетворить эти потребности. Но... если у них нет мотивации (а точнее, вы ее не определили), то все попытки добиться хоть чего-то полезного будут обречены на неудачу.
И вот тогда ИБ превратится в раковую опухоль, составляющую которую клетки обслуживают только себя. Компания существует для удовлетворения потребностей... клиентов/граждан/общества. И ИБ должна тоже. Правда, тут надо учитывать, что удовлетворять потребности можно не только внешние, но и внутренние. Например, банк создается для легализации денег, полученных преступных путем. Руководство такого банка мало интересуют потребности клиентов. Точнее интересуют. Но потребности специфические и достаточно узкой прослойки клиентов; на остальных наплевать. Готовы ли вы заниматься безопасностью в такой компании и для удовлетворения ТАКИХ потребностей?
В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили. А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана. В другом госоргане DLP-система работает, только "некоторые" информационные потоки идут в обход DLP, которая ловит только дураков из низшего звена. А все потому, что потребности руководства и госоргана не совпадают и безопасники не учли того, о чем я пишу последние три дня.
Считаю что Вы на правильном пути. Как сказал Электроник из детского кинофильма "Приключения Электроника", вращая "Гуся" на руке, из всего надо делать правильные выводы. Интересно, что будет дальше. Продолжение подразумевается и напрашивается... Жду!
ОтветитьУдалитьБизнесы разные.
ОтветитьУдалить> В одном госоргане сталкивался с тем, что была закуплена DLP-система, которую внедрили и настроили... А потом отключили.
В этом случае с точки зрения государства - ее поставили, а с точки зрения бизнеса - отключили, при чем совершенно справедливо, так как бизнес-интересы коррупционеров шли вразрез с государственными интересами.
Такие столкновения интересов есть в любой организации. И ты не отметил главного: безопасник должен решить, на чьей он стороне.
Если это махинации, то они обставляются так, чтобы они таковыми не были для DLP. Поэтому DLP система на действия руководства имеет малозначительное воздействие.
ОтветитьУдалить>А все потому, что она стала отслеживать увод денег, кражи товаров и другие подобные вещи, которым занималось руководство госоргана.
ОтветитьУдалитьВот объясните какой смысл в такой безопасности вообще?
Пускай это к экономической относится-без разницы. Сидят люди в этой экон. безопасности и закрывают глаза на воровство руководства в крупных масштабах.
Что ЭБ что ИБ нафига вообще нужны в таких раскладах? Позволять воровать только тем, кому можно?
А расклады такие в большинстве, особенно крупных, организаций (
Алексей, я специально не отметил этого ;-)
ОтветитьУдалитьА зря, ибо этот вопрос, пожалуй, даже важнее, чем психология и философия.
ОтветитьУдалитьАлексей, очень хорошие посты. Сейчас готовлю небольшой доклад, они мне как чеклист. Очень приятно, что практически все поля с «галочкой», расхождение есть по эмпатии и других вопросах связанных с психологией принятия решений, но это как раз "плюс": есть над чем подумать.
ОтветитьУдалитьКасательнос примера ДЛП: на самом-то деле внедрение системы был недосмотр "главного безопасника" - старшего руководителя: не добившегося от исполнителей понимания "миссии"/"видения".
У "безопасника" не может быть дилеммы "на чьей он стороне" - ответ однозначный всегда: он на стороне Бизнеса. Другое дело заниматься этим бизнесом или нет.
Это вопрос совести. А она у каждого своя. Кому-то важнее принципы, кому-то семью кормить надо. Кто-то выслуги ждет.
ОтветитьУдалитьВладимир, ошибочное мнение насчет "не может быть диллемы". Она всегда есть. Вы же не будете заниматься сокрытием преступления, если бизнес этим занимается? И расстреливать народ только потому что вы служите в Советской Армии тоже не пойдете...
ОтветитьУдалитьВы правы с точки зрения представителя высокоорганизованного и развитого общества, где большинство членов занимают активную гражданскую позицию и имеет институты для ее реализации. К сожалению, я живу в немного в другом обществе, для которого выше Вами сказанное - утопия, а следовательно в практике «сегодняшнего дня» не применимо…
ОтветитьУдалитьPS: В народ стреляла не Советская Армия, а руководство страны
В одних людей стреляли другие люди. И диспозиция безопасника зачастую схожа с теми, кто стреляет: он ведь не ТОП.
ОтветитьУдалитьЯ бы сказал это не вопрос совести, а вопрос нравственности. Совесть она у каждого своя, согласен, а вот нравственность одна для всех, и основана на основных заповедях.
ОтветитьУдалить