Upload
alexey-lukatsky
View
2.151
Download
0
Tags:
Embed Size (px)
Citation preview
1/25© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008
Управление ИБ как Governance и как Management : небо и земля
Алексей Лукацкий
Бизнес-консультант по безопасности
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 2/25
Дурная репутация
«Дармоеды», «Растратчики», «Мешают заниматься делом», «Что делают непонятно», «Усложняют мою работу»
ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность
Ни слова про бизнес
Business Prevention Department
ВУЗы не готовят «правильных» специалистов
Специалисты по безопасности не всегда готовы воспринимать новую реальность
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 3/25
“Невозможно решить проблему на том же уровне, на котором она возникла.Нужно стать выше этой проблемы, поднявшись на следующий уровень.”
Альберт Эйнштейн
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 4/25
ComplianceCompliance
Compliance
Compliance
Compliance
Governance
Compliance
Risk Mgmt.
GovernanceRisk Mgmt.
Risk Mgmt.
Governance
Risk Mgmt.
Risk Mgmt.
Risk Mgmt.
Governance
Compliance
Risk Mgmt.
Governance
U.S.
Germany
Japan
U.K.
France
China
Canada
India
SecurityProj.
Mgmt.Doc.
Mgmt. Contracts Planning Customers ERP Production Billing
SOX JSOXCreditRisk
HumanCapital
Risk
RevenueRecognitionFDA
ROHS
WEEE
ProjectRisk
Board of Directors
Finance
Legal
Sales
Contracts
HR
Controller
IT
Policy Mgmt.
Audit & Compliance
Treasury
Data Center
Campus
Branch
Teleworker
GRC – это решение!
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 5/25
“Концепция "governance" не нова. Она также стара, как и человеческая цивилизация. Просто "governance" означает: процесс принятия решения и процесс, при котором решения внедряются (или не внедряются).”
Комиссия по социальным и экономическим вопросам
ООН
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 6/25
Governance (в бизнесе) – действие по разработке и последовательному управлению связанных в единое целое политиками, процессами и правильными решениями в данной области ответственности
. . . связь между бизнесом и управлением ИТ
. . . стратегические ИТ-решения, за которые отвечает корпоративный менеджмент, а не CIO или другие ИТ-менеджеры
. . . ИТ Governance – это подмножество Corporate Governance, фокусирующееся на информационных системах
…подтверждение того, что ИТ-проекты легко управляются и глубоко влияют на достижение бизнес-целей организации
Другие определения IT Governance
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 7/25
ИТ Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений
…взаимосвязь между ИТ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией
Аббревиатура IT может быть легко заменена на Security (Security Governance)
Другие определения IT Governance
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 8/25
Governance ≠ Management
При едином переводе на русский язык как «управление», это понятия совершенно разного уровня
IT governance поддерживает следующиедисциплины:
Управление ИТ-активами
Управление ИТ-портфолио
Архитектура предприятия
Управление проектами
Управление программами
Управление ИТ-сервисами
Оптимизация бизнес-технологий
Связь с другими ИТ-дисциплинами
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 9/25
Источник: The Information Paradox
IT
Governance
of IT
Business
Governance
of IT
Enterprise
Governance
of IT
Непрерывный процесс…
Ключевые вопросы Governance
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
doing
the right
things?
Are we
doing
the right
things?
Are we
doing
the right
things?
Мы делаемправильные
вещи?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Мы делаемэто
правильно?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
them done
well?
Мыпреуспели
вдостижении?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Are we
getting
the
benefits?
Мыполучаемпреиму-щества?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 10/25
Are we
doing
the rightthings?
Are we
doing
the rightthings?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
thebenefits?
Are we
getting
thebenefits?
Are we
getting
thebenefits?
Are we
doing
the rightthings?
Are we
doing
the rightthings?
Are we
doing
the rightthings?
Мы делаемправильные
вещи?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Are we
doing them
the right
way?
Мы делаемэто
правильно?
Are we
getting
them done
well?
Are we
getting
them done
well?
Are we
getting
them done
well?
Мыпреуспели
вдостижении?
Are we
getting
thebenefits?
Are we
getting
thebenefits?
Are we
getting
thebenefits?
Are we
getting
thebenefits?
Are we
getting
thebenefits?
Мыполучаемпреиму-щества?
Стратегический вопрос. Инвестиции:
В соответствие с нашим видением?
Соответствуют нашим бизнес-принципам?
Содействуют нашим стратегическим целям?
Обеспечивают оптимальное значение, затраты
и уровень рисков?
Вопрос ценности. Мы имеем:
• Очевидное понимание ожидаемых
преимуществ?
• Релевантные метрики?
• Эффективные преимущества реализации
процесса?
Архитектурный вопрос. Инвестиции:
В соответствие с нашей архитектурой?
Соответствуют нашим архитектурным
принципам?
Содействуют созданию архитектуры?
В соответствие с другими инциативами?
Вопрос реализации. Мы имеем:Эффективный процесс управления изменениями и реализации?Компетентные и доступные технические и бизнес-ресурсы для реализации:
Требуемых возможностей; иОрганизационных изменений, требуемых для
достижения возможностей.
Источник: Fujitsu Consulting
4 вопроса в деталях
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 11/25
Руководство, процесс и структура гарантирующие, что ИТ на предприятии разрешают и поддерживают стратегию и цели предприятия, а также определяющие:
1. какие ключевые решения должны быть приняты;
2. кто отвечает за их принятие;3. как они должны быть приняты; и4. процессы и поддерживающие их
структуры для принятия решений, включающие мониторинг строгого соблюдения процессов и эффективности принятия решений
Stra
tegic
Alignm
ent
Value Delivery
Ris
k M
anagem
ent
Resource Management
Perfo
rmance
Measu
rem
ent
IT IT GovernanceGovernance
DomainsDomains
Stra
tegic
Alignm
ent
Value Delivery
Ris
k M
anagem
ent
Resource Management
Perfo
rmance
Measu
rem
ent
IT IT GovernanceGovernance
Stra
tegic
Alignm
ent
Value Delivery
Ris
k M
anagem
ent
Resource Management
Perfo
rmance
Measu
rem
ent
IT IT GovernanceGovernance
DomainsDomains
Stra
tegic
Alignm
ent
Value Delivery
Ris
k M
anagem
ent
Resource Management
Perfo
rmance
Measu
rem
ent
IT IT GovernanceGovernance
Источник : ITGI
ИТ Governance согласно Val IT
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 12/25
Структура ИБ Governance
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 13/25
CIO
Демократизациятехнологий ведет
к командномупринятиюрешений
CFO/COO
ФункцииVP
Функциидиректора
VPIT
DataTDM
VoiceTDM
CEO
Функциименеджера
Источник: компании с 1,000+ сотрудников, Strategic Oxygen 7/04
Влияние
Влияние
Влияние
Аналитики
СМИ
Консультанты
Партнеры
Аналитики
СМИ
Консультанты
Партнеры
Чем выше, тем больше влияния
Нельзя забывать про «серых кардиналов»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 14/25
Важность высокого полета
Понижение в уровне приводит к невозможности эффективного решения многих задач
Прямой контакт сотрудника на нижних уровнях иерархии с топ-менеджментом возможен, но это будет неэффективно во множестве случаев
Управление рисками, юридические вопросы и BCP
Борьбы с инсайдерами должна вестись и на самом верхнем уровне компании
Из 80% внутренних атак только малая часть наносит большой ущерб и часто это связано с руководством высокого уровня
Это требует, чтобы CISO находился на том же уровне, что и топ-менеджмент
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 15/25
Формально выделенной ИБ нет
Ответственность за ИБ ложится на специалистов в отдельных ИТ-направлениях
ИБ = IT Security
CIO
Network Systems App. Dev.
System Adm,
Sys Prog, Acct
Mgmt
Firewall,
Router, IPS
Admin
Application
Programmer,
Developer
Техническая структура – «классика»
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 16/25
CIO
Network Systems App Dev
Firewall,
Router, IPS
Admin
System
Admin, Sys
Prog
Application
Programmer,
Developer
ISO
Acct Mgmt,
IT Policy,
Awareness
Давление со стороныCIO для снижения
издержек
Давление со стороны ISO по
части Compliance
Сетевые TDM
Координатор ИБ
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 17/25
CIO
Network Systems App Dev
Governance,
Risk Mgmt,
Corp Policy
Security Council
ISO
App
Programmer,
Developer
Firewall,
Router, IPS
Admin
System
Admin, Sys
Prog
Советник руководителя
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 18/25
ИБ - стратегический бизнес-партнер
CIO
Operational
Directors
Acct Mgt, IT
Policy, Проекты
Security Council
ISO (Bus.
Unit)
Техническая
ИБ
CFO, COO, CxO
CISO
Governance,
Risk Mgmt,
Corp Policy
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 19/25
Почему не под CIO?
Широкий спектр не ИТ-задач
Безопасность информации в бумажном представлении
Взаимодействие с HR
Взаимодействие с юристами
Взаимодействие с правоохранительными органами
Такой спектр задач выходит за рамки деятельности CIO
Частое и необходимое общение с другими топ-менеджерами
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 20/25
Почему не под CIO?
Нельзя быть зависимым от CIO или CFO и оставаться эффективным
Не из-за желания стать выше, а из-за природы безопасности, как функции контроля, которая должна быть независимой от контролируемых
Службы внутреннего контроля (внутреннего аудита) контролируются непосредственно советом директоров
В крупных компаниях (с глубокой информационной зависимостью) CISO должен быть на уровне CFOили главного юриста (CLO)
Но в умах топ-менеджмента он может находится на ступеньку-две ниже
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 21/25
0% 5% 10% 15% 20% 25%
CIO/CTO or Top IS excutive
IS/IT Director
CSO/CISO or top secuirty executive
Director of Security
Other IS/IT manager
Other security manager
Other non-IT officer or asst. officer
Chairman or CEO
CFO or VP Finance/Admn
President
COO
18%
14%
8%
8%
7%
4%
15%
9%
7%
6%
5%
Q3. Кому вы подчиняетесь?
Security/IT Mgmt
59%
Executive Mgmt
41%
Как во всем мире?
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 22/25
Новый взгляд на безопасность
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 23/25
Вопросы?
Дополнительные вопросы Вы можете задать по электронной почте [email protected]или по телефону: +7 495 961-1410
Презентация выложена на сайте http://lukatsky.blogspot.com/
© 2008 Cisco Systems, Inc. All rights reserved.InfoSecurity 2008 24/25