- PVSM.RU - https://www.pvsm.ru -
Используй то, что под рукою, и не ищи себе другое...
Филеас Фогг
В условиях современного мира безопасность является одним из основополагающих факторов развития бизнеса. Это не требует лишних слов! Темой размышлений здесь может быть только размер инвестиций, которые бизнес готов вложить в построение и поддержание эффективной системы безопасности, гарантирующей защиту от возможных инцидентов.
Данный вопрос не имеет простого решения — ведь для выбора правильной стратегии по защите бизнеса необходимо провести детальный анализ, уточнить цели и выбрать правильный подход для их достижения. Как правило, наиболее оптимальным подходом для средних и крупных компаний будет поэтапное внедрение системы безопасности: начав с защиты наиболее критичных активов, постепенно расширять область, включая менее приоритетные. Большие дела начинаются с малого, и чтобы получить гарантию того, что система безопасности будет развиваться в правильном направлении и достигнет требуемого уровня зрелости к определенному сроку, необходимо уделить особое внимание самим процессам, призванным защищать компанию. Такими процессами являются управление инцидентами, рисками, управление непрерывностью, управление доступом, контроль изменений и многие другие. Если компания уделяет достаточно внимания правильности исполнения таких процессов, то проект по построению системы безопасности практически обречен на успех.
Чтобы обеспечить правильность исполнения этих процессов ими нужно управлять. Управление заключается в планировании, мониторинге, оценке эффективности, адекватной поддержке и модификациях, если такая потребность возникает. В этой деятельности очень важным моментом является взаимодействие людей, которое заключается в сборе, обработке, анализе информации, а также ее обмене с исполнителями процессов и другими заинтересованными лицами. Это занимает наибольшую часть деятельности по управлению процессами.
Для средних (и особенно крупных компаний) даже при изначально малой области внедрения системы безопасности это представляет собой уже немалый объем работ: встречи, интервью, запись полученной информации, анализ данных, выработка стратегий и корректирующих мер, разработка планов, контроль деятельности и управление задачами по внедрению систем и процессов безопасности. Большой объем работ в этой области всегда определяет и большой объем информации.
Здесь возникает вопрос: как обеспечить эффективную работу с большим объемом информации?
Безусловно, ответственные сотрудники должны обучаться эффективным техникам анализа, акцентировать свое внимание на изучении и использовании лучших практик по управлению процессами. Здесь очевидным видится также такое решение: автоматизация процессов сбора, анализа и взаимодействия, создание общего информационного поля для всех участников процессов.
Для реализации последнего решения необходимо использовать (а перед этим — создать) специальную информационную систему, которая:
Информационная система сама по себе — это не панацея! Основную работу (сбор, анализ, принятие решений) делает человек, при условии, что у него есть правильный инструмент, и его время не занято длительными поисками необходимых данных, их копированием из одного приложения в другое и т.п.
У человека, оснащенного специализированной системой, есть доступ к общему информационному полю, которое содержит в себе всю нужную информацию и позволяет эффективно взаимодействовать с другими сотрудниками. В таком контексте Excel-таблички и Word-документы не кажутся приемлемым вариантом.
При выборе нужной информационной системы всегда возникает необходимость принятия следующего решения: какую систему лучше всего выбрать для гарантированного достижения поставленных целей? В данном случае цель — эффективное управление процессами информационной безопасности.
Обычно есть такие варианты:
На нашем рынке существует множество компаний с разными целями и возможностями, но очень часто для крупных и средних компаний наиболее экономически выгодным подходом является именно построение и полная утилизация своей собственной системы с последующим наращиванием ее функционала.
В своей компании для построения системы управления процессами безопасности я выбрал уже много лет успешно используемый MS SharePoint.
Для этого были такие очевидные предпосылки:
• Web-интерфейс удобен и понятен
• Эта система уже знакома и активно используется всеми сотрудниками
• Удобное управление доступом
• Наличие дополнительных компонент по гранулированному управлению доступом
• Богатая функциональность:
• Возможность легко интегрировать разрабатываемую систему с существующими системами управления бизнес-процессами на базе одной информационной платформы
• Гибкость разработки:
• Минимальный размер инвестиций
Интеграция процессов безопасности с бизнесс-процессами это очень важный момент. Такое объединение в рамках одной информационной системы дает еще одно дополнительное и, безусловно, очень важное преимущество — общий для всего предприятия портал обмена важной производственной информацией. Перечень активов компании, сотрудников, подразделений, анализируемых проблем, как правило, уже существует в системе, следовательно, не нужно тратить дополнительные ресурсы на добавление функционала по управлению такой информацией.
В результате при минимальных инвестициях был построен полноценный инструмент Infopulse Corporate Security Management System для управления такими процессами:
Система реализует единое информационное поле, охватывающее процессы, системы и сопутствующие данные в рамках управления безопасностью предприятия, а также позволяет централизовано документировать и контролировать текущее состояние всех важных компонентов системы безопасности.
Удобство каждодневной работы с построенным своими руками инструментом побудило во мне желание поделиться опытом с помощью выше изложенных рассуждений. Надеюсь, они станут полезными для моих коллег в сфере информационной безопасности.
Автор: SeMaI
Сайт-источник PVSM.RU: https://www.pvsm.ru
Путь до страницы источника: https://www.pvsm.ru/upravlenie-riskami/6143
Нажмите здесь для печати.