Модерировал. Опять. Вчера. Я. На IDC CIO Summit в Санкт-Петербурге. Надо сказать, что я не так часто посещаю чисто айтишные мероприятия (по сравнению с мероприятиями по ИБ). Нижегородский клуб ИТ-директоров (правда, сейчас он стал менее активен по ряду причин). Да Высшие курсы CIO. Вот, пожалуй, и все (если не считать парочки эпизодических мероприятий региональных ИТ-клубов). Поэтому всегда интересно смотреть на аудиторию, с которой безопасники то дружат, то конфликтуют, но живут бок о бок. Нынешний CIO Summit выгодно отличался от других мероприятий тем, что хотя спонсоры там и присутствовали, но рекламных докладов от них не было вовсе. Хочу заметить, что презентаций там вообще не было, кроме двух затравочных со стороны самой IDC, — все остальное время занимали панельные дискуссии с CIO.
Меня попросили провести панельную дискуссию по информационной безопасности в деятельности CIO. Когда я планировал, о чем будет идти речь, я вспоминал мероприятие IDC IT Security Roadshow в Москве и в Алматы, где мне довелось принять участие и где, преимущественно, были представлены специалисты по ИБ. Так вот на обоих мероприятиях безопасники жаловались (либо в кулуарах, либо со сцены), что бизнес (и зачастую ИТ) их не понимает. Поэтому, когда организаторы попросили меня подготовить два вопроса для онлайн-опроса через web-приложение конференции, я включил в них следуюшие (см. две картинки).
Каково же было мое удивление, когда 2/3 CIO (а на мероприятии были только они, причем от компаний с числом сотрудников не менее 1000) отметили, что у них-то нет проблем общения со своими службами ИБ, которые мало того, что общаются с ИТ и бизнесом на одном языке, так еще и оценивают свою эффективность и свой вклад в достижение бизнес-целей (наезжание текста произошло из длинных вариантов ответа). Правда, не все смогли четко сформулировать, в чем измеряется эффективность ИБ в бизнес-терминах, но само взятое направление движения мне понравилось.
Возможно такой ответ был связан с тем, что в большинстве компаний-участников ИБ подчинялась непосредственно CIO и была неразрывно связана с ИТ. Многие брали ИБшников «под себя» и были «толмачами» между ИБ и бизнесом, то ответ выше становится более понятным.
Интересным оказался второй вопрос онлайн-голосования — кому должна подчиняться служба ИБ? Как показало последующее общение в кулуарах, это очень больная тема для многих и многие пытаются найти ответ на этот вопрос. Сразу скажу — универсального ответа нет. Все зависит от организации, отрасли, уровня зрелости, руководства и множества других факторов. В конце концов важно не столько место в иерархии, сколько то доверие, которое безопасник имеет со стороны топ-менеджмента.
Интересной оказалась и дискуссия о том, как оценивать эффективность ИБ — в терминах рисков или в том вкладе, который ИБ вносит в каждый выпускаемый компанией продукт или услугу. Однозначного ответа найти не удалось — у всех свой опыт в этом вопросе. Но большинство все-таки использует рисковый подход.
Из интересных фишек мероприятия хочу отметить приложение. Оно было не мобильным, как обычно делают на других мероприятиях, а в виде доступа к web-сайту. Но могу сказать, что в данном случае это было закономерно. В Питере нет проблем ни с Wi-Fi, ни с LTE, ни с 3G — поэтому можно было спокойно в онлайн-режиме обеспечивать доступ к программе, информации о спикерах и участниках, смотреть результаты голосования, задавать вопросы и даже контактировать с другими участниками.
Вот так выглядела «страницы» с голосованиями, результат которых можно было посмотреть в реальном времени. Сразу отмечу, что опросы по теме ИБ набрали самое большое число голосов.
А вот так выглядела страница с вопросами из зала, которые модератор сразу транслировал участникам панельной дискуссии. На IDC IT Security Roadshow в Москве IDC использовала для этого SMS и What’s Up, а сейчас была более продвинутая версия, позволяющая еще и проголосовать за тот или иной вопрос, «подняв» ее в списке задаваемых на самый верх.
В заключение хочу сказать спасибо не только организаторам, но и участникам модерируемой мной панельной дискуссии — Илье Горбунову (СПбГУ), Евгению Грищенко (Teleperformance), Дмитрию Иншакову (PwC) и Дмитрию Мананникову (СПСР-Экспресс).
ЗЫ. Интересным был опрос на тему ФЗ-242.
"Модерировал. Опять. Вчера." Звучит как запись извинения за что-то в крайней степени неприличное. Типа:
— доктор, я опять модерировал.
— как, опять?
— да, доктор. Опять.…
— когда?
— вчера, доктор.
— где это случилось?
— в Питере, доктор, на idc.
— тьфу ты, голубчик! Это же Питер! Там все модерируют! Не ездите в Питер и не будете модерировать!!! ни-ког-да!!!
Алексей, и вам спасибо!
Презентационные сборища отживают свое. На сцену выходит стэндап.
Уровень зрелости заметно увеличился.
"Возможно такой ответ был связан с тем, что в большинстве компаний-участников ИБ подчинялась непосредственно CIO и была неразрывно связана с ИТ." — именно так. Тоже писал про новый облик ИБ. Действительно обслуживание уходит в ИТ а в ИБ остается топ-менеджер за которым стратегия и работа на уровне бизнеса.
Куда девать ИБ — зависит конечно от компании и зрелости менеджмента. Тут если ИТ зрелее — туда если Дирекция по безопасности — туда, ну и т.п.
Как считать эффективность? Тоже стало понятно — зрелость низкая — по средней температуре и количеству инцидентов, средняя — по рискам, высокая — по рискам и методам как у Dmitriy Manannikov…
Паша 😉
Евгений, вам спасибо. Все зависит оттучастников дискуссии!
Женя, хорошие доклады всегда будут в цене
Кто бы спорил… Но даже не касаясь хороших докладов, нужно и второе блюдо — диалог с аудиторией! Привлечение аудитории к диалогу… К конструктивному конечно, потому как насколько мало хороших докладов, настолько же мало удачных разогревов собравшихся!
Еагений, качество докладов не равно качеству аудитории. Пример из Казани: сделали открытую дискуссию, слово взял представитель дочки Газпрома и дискуссия от вопросов ИБ перенеслась в целеполагание верховного главнокомандующего, готовности Газпрома поддержать курс и всплакиванию по тому как здорово было в СССР. При том, что представитель дочки в СССР, как и я, успел только родиться.
Лично я за продолжение курса экспертного диалога, с минимальным количеством вовлеченности аудитории: пришли — послушали — поймали в коридоре и уточнили.
Паша, не согласен 🙂 Нужен сбалансированный вариант. Ключевые доклады, мастер-классы и дискуссионные панели
Алексей, не буду спорить. Я не так часто "модерирую".