Как интегрировать ИБ в процессы компании?

1. Традиционно в коммерческих организациях информационная безопасность относится к категории бэкофисных подразделений наравне с ИТ, HR, бухгалтерией и юристами. Проблематика отрасли – «не дают денег», «не слышат».

2. У бэкофисных подразделений обычно выработаны стандартные процессы и интерфейсы взаимодействия с внутренними клиентами – процессы оплаты счетов, найма сотрудников, выдачи оборудования и настройки рабочего места и т.д. Для таких процессов обычно применяются CRM, CMS, порталы, системы автоматизации.

3. Как выглядит информационная безопасность с точки зрения внутреннего клиента? В лучшем случае в организации существуют процессы вовлечения ИБ в вопросы согласования проектов, выдачи прав доступа, контроля соблюдения правил.

4. Как выглядит информационная безопасность для вас, когда вы покупаете услуги у MSSP? Продавец приходит к вам с красочной презентацией передовых сервисов, описывает свои возможности и планы развития. Вы чётко прописываете SLA, формализуете состав услуг и уровень ответственности исполнителя, для вас выделяется сервис-менеджер. Подумайте, так ли хорошо выглядите вы в глазах внутреннего заказчика?

5. Что такое сервис? Понятные вводные, понятный конечный результат. Можно ли представить деятельность ИБ как сервисы для внутреннего заказчика? Определение перечня сервисов.

6. Презентация сервисной модели руководителям как метод внутренних продаж. Корреляция с затратами на информационную безопасность. Сбор обратной связи и потребностей.

7. Операционная интеграция с процессами HR, IT, R&D. Интегрировано ли повышение осведомлённости в HR-процесс? Есть ли у вас инструмент работы с пользовательскими заявками и SLA по ним, как у IT? Работа с R&D – только SDL?

8. Плюс сервисной модели – вклад в культуру ИБ: формирование внутренних амбассадоров, повышение осведомлённости у руководителей и вовлечённости рядовых пользователей.