Pages - Menu

Страницы

2.11.12

Олимпийский цикл CISO

Ехал тут с работы домой и слушал "Эхо Москвы", где обсуждали проблемы отечественного футбола. Ничего нового не сказали, но прозвучала интересная мысль о том, что одной из причин того, что наши футболисты находятся на задворках мирового спорта, является несоблюдение олимпийского цикла для главного тренера сборной России. Их слишком часто меняют - после 1-2 лет работы. При этом, для демонстрации каких-то позитивных результатов тренер должен проработать не менее 4-х лет, т.е. так называемый олимпийский цикл (между Олимпийскими Играми).

Суть цикла проста. На первом году тренер привыкает и изучает команду, которая попала ему в руки. Он присматривается, отмечая сильные и слабые стороны игроков команды и того окружения в котором приходится играть футболистам. На втором году стоит задача стабилизировать результаты команды, уйдя постепенно от хаотического ритма игры. На третий год ставится задача начать рост результатов, а на 4-й - показывать уже только положительную и постоянную динамику, которая и позволяет выигрывать на Олимпийских Играх.

Выслушав такую концепцию (достаточно здравую, на мой взгляд), я подумал, что для руководителя службы ИБ подход должен быть тем же. Если не для малого предприятия (но там CISO и так нет), то для среднего и крупного точно. При этом сохраняется именно этот 4-хлетний цикл - изучение нового места работы и своей команды, стабилизация работы и установление взаимоотношений с подразделениями компании и внешними заинтересованными лицами (регуляторы и т.п.), старт серьезных изменений с точки зрения ИБ (новые проекты и процессы) и установление нормального процесса управления информационной безопасностью во всем ее многообразии.


ЗЫ. Кстати, размышления про CISO недавно были опубликованы в блоге Сергея Борисова.

13 комментариев:

  1. Этот комментарий был удален автором.

    ОтветитьУдалить
  2. Ну есть же 4-х стадийная концепция формирования команды (правда не обязательно стадия длится год): forming, storming, norming, performing

    ОтветитьУдалить
  3. Ну да. К ИБ тоже имеет отношение. Насчет годового круга согласен - забыл написать, что это скорее для крупных предприятий работает. Помельче и сроки будут поменьше

    ОтветитьУдалить
  4. >Помельче и сроки будут поменьше
    А покрупнее, соответственно, и сроки покрупнее :)

    Я знаю предприятия, где за 4 года ничего не успеть значимого реализовать - такой цикл там будет порядка 12 лет (!)

    ОтветитьУдалить
  5. Я бы не стал сравнивать с футболом - исходные данные немного другие - наши футболисты в любом случае и без тренеров могут играть на среднем мировом уровне (да, плохо, но играют же?). С точки зрения ИБ в организациях как крупных так и мелких могут быть различные уровни зрелости и ждать 4 года пока все будет хорошо означает 4 года потерь. На мой взгляд если CISO за месяц не наведет порядок, то он его и за 10 лет потом не наведет. А совершенствоваться потом можно сколько угодно. Сколько было примеров оформления на работу на пару месяцев профессионалов за оооочень большие компенсации, а затем замена на более дешевого "исполнителя".

    ОтветитьУдалить
  6. Не соглашусь - причесывание компании за пару месяцев, это из области фантастики. У организации не хватит гибкости, чтобы так быстро перестроиться.
    За пару месяцев можно, разве что, разработать, согласовать и утвердить некую общую концепцию - но это даже не план мероприятий.

    ОтветитьУдалить
  7. >За пару месяцев можно, разве что, разработать, согласовать и утвердить некую общую концепцию - но это даже не план мероприятий.

    Еще вполне можно успеть вытащить пару основных критичных рисков и начать внедрять их смягчение. Больше времени руководство компании не будет ждать эфемерных построек Плана. Руководству действия подавай )))

    Все это укладывается в ISO 27001 - PDCA. Согласен с х

    ОтветитьУдалить
  8. >Еще вполне можно успеть вытащить пару основных критичных рисков и начать внедрять их смягчение
    Это сразу же подразумевает следующие предположения:
    1. На предприятии идентифицированы риски (что уже круто)
    2. На предприятии гибкое бюджетирование (т.е. не надо пару лет выколачивать деньги на проектирование чего-то там, что еще через 3 года можно будет строить).

    А ведь так далеко не везде...

    ОтветитьУдалить
  9. >На предприятии идентифицированы риски (что уже круто)

    По опыту в 3-х компаниях: идентифицировать 2-3 наиболее критичных риска можно успеть и за месяц, если сразу приступить к опросу владельцев критичных активов. В добавок Вы наберете массу сырого материала для дальнейшего анализа по утвержденной в дальнейшем методике.

    >На предприятии гибкое бюджетирование (т.е. не надо пару лет выколачивать деньги на проектирование чего-то там, что еще через 3 года можно будет строить).

    Мы говорим о смягчении рисков - это под силу решить и админстративными мерами. Степень смягчения определите в ходе первого доклада о результатах идентификации (через месяц-полтора).
    Дальше влючаем PDCA и совершенствуемся до бесконечности: идентифицируем оставшиеся риски, планируем тяжелые мероприятия с солидным бюджетом и т.д. - все 4 года, как пишет Алексей.

    ОтветитьУдалить
  10. >если сразу приступить к опросу владельцев критичных активов
    И снова предположение. Найти владельца актива (про критичные активы, т.е. провести классификацию я тоже молчу) на многих предприятиях нереально.
    Если речь хоть немного про ИТ актив, то все будут показывать в сторону соответствующего админа, что, естественно, неправильно.

    ОтветитьУдалить
  11. >Найти владельца актива ... на многих предприятиях нереально.

    Поддерживаю, если с 1С:Бухгалтерией сразу все понятно, бухгалтерия не отвертиться, то выяснить кто владелец (ака возьмет на себя ответственность) СЭД, CRM сходу выяснить вряд ли получиться.

    ОтветитьУдалить
  12. >Поддерживаю, если с 1С:Бухгалтерией сразу все понятно

    Да я и тут бы поспорил :)
    1С даже у нас используют: бухгалтерия, кадры, логистика, руководители проектов.
    Причем где-то понятен владелец информационного ресурса, а где-то совсем даже нет (как правило это речь о данных, которые использует сразу несколько подразделений, причем все на чтение/запись).
    В общем случае, чтобы понять кто владелец ресурса, надо понять как он используется в соответствующем бизнес процессе (а потом можно владельца процесса и владельцем ресурса сделать) - а если СМК и не пахнет на предприятии?

    ОтветитьУдалить

Примечание. Отправлять комментарии могут только участники этого блога.