Бизнес-курс для руководителей служб информационной безопасности

Давно было желание подготовить бизнес-курс для руководителей служб ИБ. Теперь решил этим плотно заняться.

Так уж сложилось, что на рынок ИБ я пришел из бизнес-среды, да и на рынке ИБ в основном занимался налаживанием взаимодействия между ИБ и бизнесом. В зоне ответственности были самые разные вещи, начиная от подготовки обоснований затрат на ИБ и их презентаций руководству, и заканчивая переработкой планов CISO по дальнейшим ИБ-мероприятиям в компании. Работал с компаниями в десятках регионов нашей необъятной родины. С головой окунался в корпоративную культуру заказчиков (иногда бескультурье), внутренние политические игры и т.п. В общем повидал всякого, так что подготовка такого курса – это скорее логичное следствие полученного опыта, коего накопилось предостаточно. Осталось лишь структурировать его и оформить в виде курса.

Идея курса заключается в позиционировании CISO как бизнес-менеджера, а службы ИБ как бизнес-подразделения. Причем сосредоточится не на пространных рассуждениях на тему, а конкретных инструментах — как это делать? В результате получается что-то вроде «Micro-MBA» для CISO© ;-).

Подготовил предварительное описание курса и план, буду рад обратной связи:

Между CISO и бизнесом часто возникает недопонимание. Основная причина заключается в том, что профессионалы в области ИБ и бизнес говорят на «разных языках». Например, с позиции многих профессионалов в области ИБ работа над повышением уровня ИБ приносит компании огромную пользу, а серьезный инцидент ИБ может поставить под угрозу существование бизнеса. Однако по мнению бизнеса, работа над повышением уровня ИБ приносит лишь прямые затраты, а инциденты ИБ, по величине своего ущерба, не соответствуют даже затратам на службу ИБ. У каждой позиции есть свои аргументы «за» и аргументы «против». Решить возникающие противоречия через повышение осведомленности бизнеса (как рекомендует большинство экспертов), на практике оказывается невозможным. Единственным способом выстроить эффективную работу между службой ИБ и бизнесом является переход службы ИБ на уровень бизнес-подразделения с соответствующими атрибутами, а также позиционирование CISO как бизнес-менеджера. Все это позволяет разговаривать с бизнесом на «одном языке» и как следствие резко повышает эффективность работы службы ИБ в рамках целей и задач компании.

Целью данного курса является предоставление слушателям инструментария, позволяющего выстроить службу ИБ как эффективное бизнес-подразделение, а также инструментария по обоснованию необходимых инвестиций в ИБ компании.

Предварительная программа:

1) CISO как бизнес-менеджер. Требования, функциональные обязанности и зона ответственности. Модель эффективного руководителя службы ИБ.

2) Взаимодействие CISO с руководителями и сотрудниками других структурных подразделений компании.

3) Выстраивание службы ИБ как бизнес-подразделения компании. Что именно необходимо?

4) Анализ внутренней и внешней среды службы ИБ. Адаптация и использование общепринятых инструментов.

a. SWOT-анализ
b. Анализ пяти сил Портера
c. PEST-анализ

5) Согласование стратегии службы ИБ со стратегией компании.

6) Согласование целей службы ИБ с целями компании.

7) Согласование задач службы ИБ задачами компании.

8 ) Ценность службы ИБ для бизнеса. Позиционирование службы ИБ внутри компании.

9) Разработка концепции, стратегии и политики ИБ, которые работают.

10) Выстраивание «полноценной СОИБ»… А нужно? Как и кто решает? Стоит ли браться?

11) Показатели эффективности службы ИБ. Выбор и оценка.

a. Как адаптировать понятные в бизнесе показатели, и применить их к службе ИБ?
b. В чем их смысл и для кого они нужны?

12) Планирование мероприятий по ИБ и выделение необходимых ресурсов.

a. Выбор модели выполнения задач по ИБ («делаем все сами» или привлекаем интеграторов). Выбор оптимального варианта.
b. Подготовка финансового обоснования выбранной модели.
c. Планирование мероприятий по ИБ в рамках выбранной модели.
d. Выделение ресурсов (материальные, трудовые, финансовые и т.д.)

13) Финансовый анализ проектов по ИБ

a. Финансовые показатели применимые к службе ИБ.
b. Почему по классическим показателям эффективности все ИБ-проекты убыточны?
c. Как адаптировать понятные для бизнеса показатели, и применить их к проектам по ИБ?

14) Compliance с действующим российским законодательством в области ИБ и международными стандартами по ИБ. Кому, что и как делать? Выбор оптимального пути.

a. ISO 27001, COBIT, ITIL, СТО БР ИББС
b. Коммерческая тайна
c. Персональные данные

15) Кризисный менеджмент ИБ. Кризис как штатная ситуация.

a. Как бизнес реагирует на кризис? Модели и практика.
b. Прогнозирование поведения руководства компании.
c. Действия CISO в кризисной ситуации (резкое сокращение финансирования, остановка проектов, сокращение персонала и т.п.).

Я года 4 назад читал аналогичный по сути курс. Не могу сказать, что он был востребован ;-( Темы уж очень нетрадиционные для безопасников была и остается. Да и статус обучения был непонятен. Многим бумажка статусная была нужна, а я ее дать не мог.

Из тем я бы добавил:
— психология и ИБ
— теория организации в контексте ИБ
— архитектура ИБ
— управление программой ИБ на предприятии
— маркетинг ИБ
— security governance

[Ответить]

Царев Евгений Reply:

Все идет по спирали)) Это не столько ради денег, у нас реально только ПДн продается пока ;-(.
За темы спасибо.

[Ответить]

Алексей Т. Reply:

Евгений, побольше оптимизма, Вас могут читать ЗАказчики и кончатся последние проекты по ПДн, а также могут читать Ваши руководители, картина финансовых показателей Вашей компании идет вразрез с Вашими заявлениями 😉
Содержание курса интересное, но варианта 2: если слушатель грамотный, то он и сам сможет грамотно построить работу службы. А если неграмотный — то Вы ему не поможете…

[Ответить]

  • У нас и ПДн-то не сильно продается. Наказания нет. Стимула нет. Зачем напрягаться?

    [Ответить]

    Царев Евгений Reply:

    То ли еще будет. Рецессия набирает обороты, скоро обучение может ниже плинтуса упасть.

    [Ответить]

  • Мысли озаряют одновременно :-).
    Направление очень правильное.
    И проблема взаимопонимания действительно есть. При том ситуация шире. Данный вопрос актуален не только в связке ИБ — Бизнес, но и, например ИТ – Бизнес, иногда PM — ИБ. Вот только для ИТ эта проблема чуть более известна и над ней работают “MBA in IT”.
    Как раз мне предложили на днях читать в РУДН в рамках программы МВА краткий курс ИБ для руководителей не профильных направлений (16 часов всего) и в перспективе расширенный восьмидневный курс выходного дня. С другой стороны, но об одном и том же. Это решение аналогичной задачи. И значит спрос должен быть.
    Сейчас программа в разработке, до конца недели вывешу в блоге краткий план и суть.
    Я бы еще рекомендовал добавить в приведенный курс основы проектного менеджмента. И основы социальной психологии. Но это лично мое мнение.

    [Ответить]

  • Евгений, что это ты в обучение решил податься? 🙂 Стало совсем скучно?
    Вот тебе, чтобы скучно не было http://zakupki.gov.ru/pgz/public/action/orders/info/common_info/show?notificationId=2154411
    обучение может приносить нормальный доход 🙂

    [Ответить]

    Царев Евгений Reply:

    В данном случае не нам))

    [Ответить]

  • Евгений, как успехи в начинании?

    Думаю не только бумажка важна. Считаю, знания сами по себе тоже востребованы. Например, я сейчас смотрю на программу CSO MBA от itmane.ru… 378к … дороговато из кармана платить, тем более в Москву летать и проживание. Подумайте об электронном курсе, Москвой ИБ не ограничено =)

    [Ответить]

    Царев Евгений Reply:

    Хорошая идея, подумаю

    [Ответить]

    Добавить комментарий

    Войти с помощью: 

    Ваш e-mail не будет опубликован. Обязательные поля помечены *