Кто-то скажет с «оценки рисков», кто-то с «инвентаризации активов», но большинство ответят с разработки и внедрения документа, который чаще всего называют «Политика Информационной Безопасности».
И вот вчера у вас не было Политики ИБ, а сегодня она есть. Вы стали более защищенным?
Часто звучит ответ «нет, потому как на местах ее не исполняют». В поисках ответа на вопрос, почему так происходит приходиться слышать различные мнения: кто-то скажет, что «много написано», другой, что наоборот «кратко», для кого-то «слишком абстрактно», а кто-то возразит, что «слишком конкретно»…
Самое интересное, что часто эксперты правы в своих суждениях, но правдой остается и то, что правки текста, доведение его «под подпись», подробное и детальное разъяснение написанного к успеху не приводят.
В чем же дело? Почему? Может не с Политики надо начинать?
Начинать то надо с Политики, но не с той.
Для того, что бы Система Управления ИБ была эффективной она должна быть гармонизирована с общей Системой Управления Предприятием. При этом последняя должна соответствовать определенным критериям.
Лично я привык использовать термин СУИБ, но в некоторых переводах можно увидеть термин СМИБ, может он действительно и лучше, потому как может ускорить смену парадигмы в головах некоторых CISO: потому, как здесь «управление» - это не с родни «управлению техническими системами», а это «менеджмент» - то есть это немного из другой области.И так, какая же политика управления или, другими словами, стиль менеджмента, более предпочтителен для предприятий, видящие риски для своего бизнеса, связанные с ИБ?
Рассмотрим, очень кратко, типовой процесс формирования успешного предприятия.
После успешного преодоления этап «становления», на предприятии запускаются процессы, которые способствуют его росту. Для нашего анализа, необходимо выделить, в первую очередь, такие, как увеличение числа сотрудников, сопровождаемое разделением труда/специализацией, что порождает более формальные и обезличенные коммуникации. В дальнейшем ситуация развивается так, что рано или поздно, приводит к автократичной политике управления.
Даже самый «маленький руководитель» склонен к автократии, более того этот факт окружающими часто воспринимается нормально, как естественный процесс.Дальнейший рост и успех приводит к большей зрелости системы управления, но тот факт, что она носит автократический характер, приводит к тому, что наступает момент, когда возникает антагонизм между уровнями иерархии: происходит деление работников на классы. Причем это не два класса «начальников» и «не начальников», все еще сложнее и в идеале каждый уровень иерархии представлен своим классом:
- «не начальники» - низший класс
- «начальник не начальников» - низший класс + 1
- «начальник начальников не начальников» - низший класс + 2
- и т.д.
Идет развал внутренней культуры предприятия!!!
Кто-то скажет, ну и что? Так жило и живет большинство очень и очень успешных компаний. А если кратко, то «сильная рука – это залог успеха».
Так то, оно так, да вот немножечко не так. Такие схемы управления неплохо себя зарекомендовали в сфере «производства товаров и услуг», но ведь мы говорим о Безопасности.
Какая разница? Разница очень большая: в сфере «производства товаров и услуг» гораздо легче контролировать работника. Не составляет большого труда определить обьем выполненной работы, насколько качественно выполнена его работа, как это соотносится с поставленными перед ним задачами.
А вот с Безопасностью все гораздо сложнее. Если вернутся к началу, к документу «Политика ИБ», то (очень и очень) трудно контролировать выполнение работником предписанных указаний. В лучшем случае можно говорить «выполняет» - «не выполняет» да и то не всегда, а вот «качество» и «обьем» выполняемого оценить практически невозможно.
Конечно, инциденты могут многое прояснить, но ведь главная задача Безопасности упредить инциденты.
Что же делать? Как изменить ситуацию? Эти вопросы не имеют простого и тем более единственного ответа. Как первый шаг и не исключаю что самый трудный, я бы предложил задуматься над вопросом демократизации политики управления.
Работники предприятия относится к той группе stakeholder-ов, которые должны как никто быть заинтересованы в успешной работе предприятия и должны принимать активное участие в процессе достижения этого успеха.Об уровне демократичности управления можно говорить в той мере, насколько полно реализуются следующие возможности:
Автократия – обезличивает влияние, отстраняет от управления работника, что наносит непоправимый вред, который впоследствии приводит предприятие к упадку и краху.
- Каждый работник должен иметь возможность принимать участие в принятии решения, которое затрагивает его интересы. Такое участие может быть прямым (непосредственным), а может быть косвенным: через избираемых представителей.
- Каждый руководитель имеющий власть над подчиненными в отдельности, должен быть подвластен им как коллективу. Власть должна передаваться «снизу-вверх», а не «сверху-вниз».
- Должно быть признано право за работником, делать все, что угодно если это не затрагивает интересы других людей, но вменено в обязанность, что если интересы других людей могут быть затронуты, то должно быть получено их согласие.
Какую бы Политику ИБ вы не написали, главным будет, не текст, его всегда можно поправить, а то кем будет чувствовать тот, кому она адресована: партнером, помощником или просто наемным рабочим…
Эффективная система Безопасности не может быть построена в царстве безразличия и равнодушия. Она не может быть навязана «из вне», она должна исходить «изнутри». Убежденность, патриотизм, чувство собственной значимости, и главное понимание, что от тебя зависит твоя Безопасность и Безопасность твоих близких…
Здесь, наверное, я пока поставлю многоточие. И так много получилась не совсем обычного ;-)
Немає коментарів:
Дописати коментар