Я сторонник того, что бы ответить: «На защиту интересов тех, кто заинтересован в успешности данного конкретного Бизнеса»
А кто это? Кратко, по-английски, их называют «stakeholders», а на русский переводят как «заинтересованные стороны».
Краткие, но емкие термины очень хороши для стандартов, но на практике, когда руководствуясь стандартом, разрабатывается методика его внедрения, с некоторыми терминами происходят неприятные метаморфозы: они выхолащиваются, превращаясь из «емких» в «пресные».
Не обошла эта беда и термина Stakeholders, а ведь именно защита интересов «заинтересованных сторон» есть «краеугольным камнем» при построении Системы Управления (Информационной) Безопасности.
Часто приходится сталкиваться с тем фактом, что «Главный по ИБ» стэйкхолдерами видит только: Владельцев Бизнеса, Руководителей Бизнеса и Непосредственного Руководителя.
Для «Главного по ИБ» - это удобно, потому, как именно эти люди (по крайней мере так принято считать) определяют его «судьбу», с другой стороны, удовлетворить потребности небольшого круга (иногда вырождаемого в Одно Лицо) гораздо проще.
В реальности, круг стэйкхолдеров значительно шире. Например, он может быть таким:
Список может варьироваться, но главное понимать, что стэйкхолдеры это не только: «хозяин», «генеральный» и «шеф».
Следует помнить, что не все, например, «сотрудники» или «клиенты», становятся стэйкхолдерами автоматически, просто получив статус. И это надо видеть, и их нельзя выбирать в качестве помощников, от них вообще лучше избавляться.
С другой стороны, неправильный подход (неправильная политика) может привести к самому страшному: когда в стэйкхолдере будет убит стэйкхолдер. Этого нельзя допустить. Это порождает в лучшем случае равнодушных, в худшем – инсайдеров/аутсайдеров.
И если «Главный по ИБ» хочет стать настоящим CISO, он должен стать лидером и возглавить (или хотя бы примкнуть) к тем, кто ратует за реализацию таких понятий как «культура», «этика», «нормы поведения»…
CISO должен четко представлять почему та или другая сторона, то или другое лицо, заинтересовано в успешности предприятия. Должен понимать их нужды и требования.
CISO должен уметь распознавать внешние и внутренние силы которые могут влиять на мнение стэйкхолдеров. Например, это могут быть средства массовой информации или различные сообщества и группы.
Очень важно понимать каналы и принципы такого влияния. Это необходимо не только для того, что бы уберечь стэйкхолдера, но и для того, что бы «достучаться» к нему в случае сложных ситуаций.
Должна быть организована и взята под контроль система коммуникаций как со стэйкхолдерами, так и между ними.
Интересы стейкхолдеров должны быть постоянно в поле зрения и при необходимости должны вноситься в СУИБ соответствующие контроли для их защиты.
Закрыть все бреши, а главное поддерживать их в закрытом состоянии, невозможно силами специально выделенного персонала, уже не говорю Подразделения. В процесс защиты должно быть вовлечено максимальное количество помощников, а помощников можно найти только среди стэйкхолдеров.
Немає коментарів:
Дописати коментар