Существует очень простая «модель 4П», которая описывает все, что волнует любое лицо, принимающее решение на вашем предприятии. Любая деятельность может быть и должна быть увязана с этими 4П. Если вам это удалось, то вы сделали большой шаг вперед. Если, как бы вы не старались, у вас не получается связать ваши проекты по кибербезопасности с 4П, значит вы делаете что-то не то (хотя отсутствие связи фиксируется достаточно часто).
Что же это за 4П? Прибыль, процессы, персонал и ***. Последнее слово, скрытое звездочками, я могу произнести вслух но не могу воспроизвести на бумаге из-за опасений блокирования блога Роскомнадзором). Но это то, что приходит неожиданно и сможет смешать все карты. Мы не будем дальше обсуждать эту четвертую П, сосредоточившись на первых трех).
Генеральному директору не нужен маркетинг – ему нужно решить эти три проблемы. Финансовому директору не нужен новый модуль в SAP – ему нужно решить эти три проблемы (или некоторые из них). ИТ-директору не нужен аутсорсинг – ему нужно решить эти три проблемы. И так далее. SAP, маркетинг, аутсорсинг только помогают в решении этих задач. Тоже самое и с кибербезопасностью. Надо просто связать два компонента вместе – с одной стороны у нас будет одна (или все) из «П», а с другой ИБ. Попробуем раскрыть каждую из трех букв «П».
Прибыль… Это то, ради чего существует любая компания (хотя есть и те, кто хочет нарастить клиентскую базу и продаться кому-то большому). Любая деятельность в компании должна быть увязана с прибылью в той или иной форме, в том числе и безопасность. Любой проект в этой области, когда вы его представляете топ-менеджменту своего работодателя, должен заканчиваться следующей фразой: «так, чтобы вы...». А в качестве многоточия может быть один из следующих вариантов:
Что же это за 4П? Прибыль, процессы, персонал и ***. Последнее слово, скрытое звездочками, я могу произнести вслух но не могу воспроизвести на бумаге из-за опасений блокирования блога Роскомнадзором). Но это то, что приходит неожиданно и сможет смешать все карты. Мы не будем дальше обсуждать эту четвертую П, сосредоточившись на первых трех).
Генеральному директору не нужен маркетинг – ему нужно решить эти три проблемы. Финансовому директору не нужен новый модуль в SAP – ему нужно решить эти три проблемы (или некоторые из них). ИТ-директору не нужен аутсорсинг – ему нужно решить эти три проблемы. И так далее. SAP, маркетинг, аутсорсинг только помогают в решении этих задач. Тоже самое и с кибербезопасностью. Надо просто связать два компонента вместе – с одной стороны у нас будет одна (или все) из «П», а с другой ИБ. Попробуем раскрыть каждую из трех букв «П».
Прибыль… Это то, ради чего существует любая компания (хотя есть и те, кто хочет нарастить клиентскую базу и продаться кому-то большому). Любая деятельность в компании должна быть увязана с прибылью в той или иной форме, в том числе и безопасность. Любой проект в этой области, когда вы его представляете топ-менеджменту своего работодателя, должен заканчиваться следующей фразой: «так, чтобы вы...». А в качестве многоточия может быть один из следующих вариантов:
- «Зарабатывали больше». Можно ли зарабатывать больше на ИБ? Если речь не идет о производители средств защиты информации, то вроде бы и нет. Но это поверхностное суждение. Например, кибербезопасность может сделать сайт Интернет-магазина доступнее, то есть обслужить больше клиентов и заработать больше.
- «Продавали больше». Представьте, что мы сможем ускорить процесс проверки заемщика в банке, тем самым уменьшив время на заключение сделки и увеличив их число?
- «Открыли новые рынки»
- «Снизили издержки». Утечка информации о клиентах, тарифах или ноу-хау приводит к издержкам. Расследование инцидентов ИБ тоже приводит к издержкам. Атаки «отказ в обслуживании» тоже. Борьба с этими издержками (а не с самими атаками или инцидентами) и есть еще одна задача кибербезопасности на предприятии в контексте бизнеса.
Про остальные две "П" модели "4П" можно прочитать в моей статье для "ИТ-Меенеджера", опубликованной на днях...
2 коммент.:
Дык, это..., мы уже читали про 4П здесь: https://www.allcio.ru/cionews/manage_secure/143456.html
Дык, это.... не все читают мой Твиттер или Фейсбук :-)
Отправить комментарий