В одном интересном материале на днях прочитал, что эффективная программа ИБ внедряется в компании в течении 3-х лет. «Эффективная» в данном контексте значит, что она вынесена на уровень топ-менеджмента компании и увязана с бизнес-стратегией предприятия. 3 года — это некоторая усредненная (а возможно и минимальная) оценка для западных компаний (не SMB-уровня) с ИХ уровнем развития и зрелости. Иными словами не стоит рассчитывать, что в российских условиях эффективная программа ИБ будет внедрена быстрее чем за 3-4 года.
В такой ситуации достаточно интересно наблюдать метания ряда российских CISO, которые проработав менее 2-х лет в своей компании, уходят из нее на новое место, приговаривая при этом, что на прошлом рабочем месте их не поняли и не дали развивать направление информационной безопасности. А по другому просто и не могло быть. У любого процесса свои законы развития и перепрыгнуть через определенные эволюционные этапы невозможно. То же относится и к ИБ.
К чему я это написал? Не стоит рассчитывать на успех внедрения программы ИБ раньше 3-х лет. Это реальная временная оценка. И если у вас за 2 года программа не внедрилась, то это не значит, что вы что-то неправильно делаете (хотя и это возможно). Просто время еще не пришло.
Эээ, не так все просто. CISO пытается внедрять «безопасность, как процесс», интегрируя ее в то новое, что создается в компании. И видит, что руководство и сотрудники хотят работать по-старому: чтобы они сделали, а он потом «сделал им из этого безопасное». Разумеется, плюнет и уйдет. Не раз видели.
Либо ЦИСО понимает, что пришло время «платить по счетам», а кроме разводов руками показать нечего и он уходит до момента, когда с него могут что-то спросить.
А я полностью согласен с написанным. В России до руководства долго доходят проблемы ИБ. У нас так сложилось — пока петух в одно место не клюнет никто не зашевелится. У меня такая же ситуация — ощущение, что действительно не понимают, и порой, действительно, хочется сменить место работы. А что касается «кроме разводов руками показать нечего», то здесь все зависит от CISO. Если меня что-то спросят, я обязательно отвечу, а если ответить нечего, значит Вы плохой CISO.
CISO пытается внедрять «безопасность, как процесс»
Ну, э-э-э-та… Красиво конечно. И правильно. Но как-то с трудом я такое воспринимаю у нас ;-( Очень мало кто реально внедряет безопасность, как процесс. Сквозной процесс, разумеется.
ощущение, что действительно не понимают
Они и не должны понимать ИБ в том виде, как мы это все понимаем. Задачи у них немного иные. Проблема часто в том, что мы не можем до них донести, что такое ИБ в контексте бизнеса.