Weitere ähnliche Inhalte
Ähnlich wie Security Governance (10)
Mehr von Aleksey Lukatskiy (20)
Kürzlich hochgeladen (20)
Security Governance
- 1. Управление ИБ как
Governance и как
Management : небо
и земля
Алексей Лукацкий
Бизнес-консультант по безопасности
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/25
- 2. Дурная репутация
«Дармоеды», «Растратчики», «Мешают заниматься
делом», «Что делают непонятно», «Усложняют мою
работу»
ИБ – технологическая задача, обеспечивающая
целостность, конфиденциальность и доступность
Ни слова про бизнес
Business Prevention Department
ВУЗы не готовят «правильных» специалистов
Специалисты по безопасности не всегда готовы
воспринимать новую реальность
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/25
- 3. “Невозможно решить проблему на том
же уровне, на котором она возникла.
Нужно стать выше этой проблемы,
поднявшись на следующий уровень.”
Альберт Эйнштейн
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/25
- 4. GRC – это решение!
ROHS Human
Revenue Credit Capital Project
SOX JSOX FDA Recognition Risk Risk
WEEE Risk
Board of
U.S. Directors
Compliance
Governance Campus
Finance
Germany Risk Mgmt. Governance
Legal
Risk
Japan Mgmt. Sales
Compliance
Risk Mgmt.
Contracts
Data Center
U.K.
Compliance
Compliance HR
Compliance
France
Risk Mgmt. Controller
Risk Mgmt.
China Governance IT
Compliance Branch
Policy Mgmt.
Canada
Governance Risk Mgmt. Audit &
Compliance
India
Treasury
Teleworker
Proj. Doc.
Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/25
- 5. “Концепция quot;governancequot; не нова. Она также
стара, как и человеческая цивилизация.
Просто quot;governancequot; означает: процесс
принятия решения и процесс, при котором
решения внедряются (или не внедряются).”
Комиссия по социальным и экономическим вопросам
ООН
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/25
- 6. Другие определения IT Governance
Governance (в бизнесе) – действие по разработке и
последовательному управлению связанных в единое
целое политиками, процессами и правильными
решениями в данной области ответственности
. . . связь между бизнесом и управлением ИТ
. . . стратегические ИТ-решения, за которые отвечает
корпоративный менеджмент, а не CIO или другие ИТ-
менеджеры
. . . ИТ Governance – это подмножество Corporate
Governance, фокусирующееся на информационных
системах
…подтверждение того, что ИТ-проекты легко
управляются и глубоко влияют на достижение бизнес-
целей организации
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/25
- 7. Другие определения IT Governance
ИТ Governance подразумевает систему, в которой все
ключевые роли, включая совет директоров и
внутренних клиентов, а также связанные области,
такие как, например, финансы, делают необходимый
вклад в процесс принятия ИТ-решений
…взаимосвязь между ИТ, инициативами соответствия
(compliance), управлением рисками и корпоративной
бизнес-стратегией
Аббревиатура IT может быть легко заменена на
Security (Security Governance)
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/25
- 8. Связь с другими ИТ-дисциплинами
Governance ≠ Management
При едином переводе на русский язык как «управление», это
понятия совершенно разного уровня
IT governance поддерживает следующие
дисциплины:
Управление ИТ-активами
Управление ИТ-портфолио
Архитектура предприятия
Управление проектами
Управление программами
Управление ИТ-сервисами
Оптимизация бизнес-технологий
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/25
- 9. Ключевые вопросы Governance
Непрерывный процесс…
Are we
Мы делаем Мы
Are we
Business doing
правильные получаем
getting
Governance the right
вещи? преиму-
the
of IT things? щества?
benefits?
Enterprise
Governance
of IT
IT Are we Мы
Are we
Мы делаем преуспели
Governance doing them
это
getting
of IT the right в
them done
правильно? достижении?
way? well?
Источник: The Information Paradox
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/25
- 10. 4 вопроса в деталях
Источник: Fujitsu Consulting
Стратегический вопрос. Инвестиции: Вопрос ценности. Мы имеем:
В соответствие с нашим видением? • Очевидное понимание ожидаемых
Соответствуют нашим бизнес-принципам? преимуществ?
Содействуют нашим стратегическим целям? • Релевантные метрики?
Обеспечивают оптимальное значение, затраты • Эффективные преимущества реализации
и уровень рисков? процесса?
Are we Мы
Are we
Мы делаем
doing получаем
getting
правильные
преиму-
вещи?
the right the
щества?
things? benefits?
Are we Are we
Мы
Мы делаем
doing them
это
getting
преуспели
the right
правильно? в
them done
достижении?
way? well?
Архитектурный вопрос. Инвестиции: Вопрос реализации. Мы имеем:
В соответствие с нашей архитектурой? Эффективный процесс управления
изменениями и реализации?
Соответствуют нашим архитектурным Компетентные и доступные технические и
принципам? бизнес-ресурсы для реализации:
Содействуют созданию архитектуры? Требуемых возможностей; и
Организационных изменений, требуемых для
В соответствие с другими инциативами? достижения возможностей.
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/25
- 11. ИТ Governance согласно Val IT
Руководство, процесс и структура
гарантирующие, что ИТ на
предприятии разрешают и
поддерживают стратегию и цели
предприятия, а также определяющие:
1. какие ключевые решения должны
быть приняты;
2. кто отвечает за их принятие;
как они должны быть приняты; и V
3. gic nt De alue
te liv
4. процессы и поддерживающие их ra me
t n er
S ig y
структуры для принятия решений, Al IT
IT
включающие мониторинг строгого Governance
ent
Pe f su eme
Perf sureme
Pe f su eme
Pe f su eme
Mea
Mea
Mea
Mea
соблюдения процессов и Domains
agem
Man isk
or
or
or
orm
эффективности принятия решений
R
anc t
nc
nc
nce
Resource
nt
t
t
Management
Источник : ITGI
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/25
- 13. Чем выше, тем больше влияния
CEO
Аналитики Аналитики
CFO/COO CIO
СМИ СМИ
Функции VP
Демократизация
VP технологий ведет IT
Влияние Влияние
к командному
принятию
Функции решений Data
Консультанты Консультанты
директора TDM
Влияние
Партнеры Партнеры
Функции Voice
менеджера TDM
Нельзя забывать про «серых кардиналов»
Источник: компании с 1,000+ сотрудников, Strategic Oxygen 7/04
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/25
- 14. Важность высокого полета
Понижение в уровне приводит к невозможности
эффективного решения многих задач
Прямой контакт сотрудника на нижних уровнях
иерархии с топ-менеджментом возможен, но это
будет неэффективно во множестве случаев
Управление рисками, юридические вопросы и BCP
Борьбы с инсайдерами должна вестись и на самом
верхнем уровне компании
Из 80% внутренних атак только малая часть наносит
большой ущерб и часто это связано с руководством высокого
уровня
Это требует, чтобы CISO находился на том же уровне, что и
топ-менеджмент
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/25
- 15. Техническая структура – «классика»
CIO
Формально
выделенной ИБ
нет
Network Systems App. Dev.
Ответственность
за ИБ ложится на
специалистов в Firewall, System Adm, Application
отдельных ИТ- Router, IPS Sys Prog, Acct Programmer,
направлениях Admin Mgmt Developer
ИБ = IT Security
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/25
- 16. Координатор ИБ
Давление со Давление со стороны
стороны ISO по CIO для снижения
части Compliance CIO издержек
ISO Network Systems App Dev
Acct Mgmt, Firewall, System Application
IT Policy, Router, IPS Admin, Sys Programmer,
Awareness Admin Prog Developer
Сетевые TDM
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/25
- 17. Советник руководителя
Security Council CIO
ISO Network Systems App Dev
Governance, Firewall, System App
Risk Mgmt, Router, IPS Admin, Sys Programmer,
Corp Policy Admin Prog Developer
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/25
- 18. ИБ - стратегический бизнес-партнер
Security Council CFO, COO, CxO
CISO CIO
Governance, ISO (Bus. Operational
Risk Mgmt, Unit) Directors
Corp Policy
Acct Mgt, IT Техническая
Policy, Проекты ИБ
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/25
- 19. Почему не под CIO?
Широкий спектр не ИТ-задач
Безопасность информации в бумажном представлении
Взаимодействие с HR
Взаимодействие с юристами
Взаимодействие с правоохранительными органами
Такой спектр задач выходит за рамки деятельности
CIO
Частое и необходимое общение с другими топ-
менеджерами
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/25
- 20. Почему не под CIO?
Нельзя быть зависимым от CIO или CFO и
оставаться эффективным
Не из-за желания стать выше, а из-за природы безопасности,
как функции контроля, которая должна быть независимой от
контролируемых
Службы внутреннего контроля (внутреннего аудита)
контролируются непосредственно советом директоров
В крупных компаниях (с глубокой информационной
зависимостью) CISO должен быть на уровне CFO
или главного юриста (CLO)
Но в умах топ-менеджмента он может находится на
ступеньку-две ниже
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/25
- 21. Как во всем мире?
CIO/CTO or Top IS excutive 18%
IS/IT Director
14%
Security/IT Mgmt
CSO/CISO or top secuirty executive 8% 59%
Director of Security
8%
Other IS/IT manager 7%
Other security manager 4%
Other non-IT officer or asst. officer 15%
Chairman or CEO 9%
Executive Mgmt
CFO or VP Finance/Admn 7% 41%
President 6%
COO 5%
0% 5% 10% 15% 20% 25%
Q3. Кому вы подчиняетесь?
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 21/25
- 22. Новый взгляд на безопасность
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 22/25
- 23. Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410
Презентация выложена на сайте http://lukatsky.blogspot.com/
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 23/25