Как интегрировать ИБ в процессы компании?

Оказываем внутренним заказчикам ИБ как сервис

Экспо-Линк, ООО

Краткий конспект мастер-класса Дениса Горчакова

1. Традиционно в коммерческих организациях информационная безопасность относится к категории бэкофисных подразделений наравне с ИТ, HR, бухгалтерией и юристами. Проблематика отрасли – «не дают денег», «не слышат».

2. У бэкофисных подразделений обычно выработаны стандартные процессы и интерфейсы взаимодействия с внутренними клиентами – процессы оплаты счетов, найма сотрудников, выдачи оборудования и настройки рабочего места и т.д. Для таких процессов обычно применяются CRM, CMS, порталы, системы автоматизации.

3. Как выглядит информационная безопасность с точки зрения внутреннего клиента? В лучшем случае в организации существуют процессы вовлечения ИБ в вопросы согласования проектов, выдачи прав доступа, контроля соблюдения правил.

4. Как выглядит информационная безопасность для вас, когда вы покупаете услуги у MSSP? Продавец приходит к вам с красочной презентацией передовых сервисов, описывает свои возможности и планы развития. Вы чётко прописываете SLA, формализуете состав услуг и уровень ответственности исполнителя, для вас выделяется сервис-менеджер. Подумайте, так ли хорошо выглядите вы в глазах внутреннего заказчика?

5. Что такое сервис? Понятные вводные, понятный конечный результат. Можно ли представить деятельность ИБ как сервисы для внутреннего заказчика? Определение перечня сервисов.

6. Презентация сервисной модели руководителям как метод внутренних продаж. Корреляция с затратами на информационную безопасность. Сбор обратной связи и потребностей.

7. Операционная интеграция с процессами HR, IT, R&D. Интегрировано ли повышение осведомлённости в HR-процесс? Есть ли у вас инструмент работы с пользовательскими заявками и SLA по ним, как у IT? Работа с R&D – только SDL?

8. Плюс сервисной модели – вклад в культуру ИБ: формирование внутренних амбассадоров, повышение осведомлённости у руководителей и вовлечённости рядовых пользователей.

Купить полную запись выступления


Денис Горчаков
Директор по кибербезопасности в OKS Group

Ранее Директор проектов кибербезопасности в Ростелеком

Сервисная деятельность – создание для компании возможностей по достижению её целей.
Сервисный процесс осуществляется в интересах потребителя, внутреннего по отношению к организации.

Заказчики не заинтересованы в услугах, они заинтересованы в решении задач и удовлетворении своих потребностей

Ценность услуг для заказчика трудноизмерима и субъективна, зависит от:
👉свидетельства ценности услуги
👉опыта и предпочтений
👉внешних факторов

Поставщик должен:
👉демонстрировать ценность
👉влиять на восприятие
👉отвечать на предпочтения

👆 Нужно стремиться привести деятельность к такому состоянию, когда внутренний потребитель будет платить за сервис своими деньгами, т.е. осознанно бюджетировать услуги.

Хотите ещё больше практики и ответов на ваши вопросы по управлению ИБ?

Шаг 1: Присоединяйтесь к интенсиву для CISO Код ИБ ПРОФИ
- Узнаете, как делать ИБ незаметной для пользователей, а не запрещать все подряд;
- Решать задачи по ИБ с минимальным бюджетом;
- Научитесь говорить с бизнесом в его терминах;
- Научитесь своевременно и грамотно реагировать на инциденты, а лучше предотвращать их;
- Поймёте, как в целом строить эффективную ИБ в любых условиях.



Узнать больше

Шаг 2: Подписывайтесь и самостоятельно изучайте материалы Код ИБ Академии 
100+ мастер-классов по управлению ИБ, собранных по 24 основным разделам в соответствии со стандартом ISO 27001: 
- Планирование;
- Взаимодействие с бизнесом;
- Повышение осведомленности пользователей;
- Управление соответствием;
- Оценка защищенности;
и ещё 19 модулей.

Перейти в АКАДЕМИЮ