Бизнес-курс для руководителей служб информационной безопасности

Давно было желание подготовить бизнес-курс для руководителей служб ИБ. Теперь решил этим плотно заняться.

Так уж сложилось, что на рынок ИБ я пришел из бизнес-среды, да и на рынке ИБ в основном занимался налаживанием взаимодействия между ИБ и бизнесом. В зоне ответственности были самые разные вещи, начиная от подготовки обоснований затрат на ИБ и их презентаций руководству, и заканчивая переработкой планов CISO по дальнейшим ИБ-мероприятиям в компании. Работал с компаниями в десятках регионов нашей необъятной родины. С головой окунался в корпоративную культуру заказчиков (иногда бескультурье), внутренние политические игры и т.п. В общем повидал всякого, так что подготовка такого курса – это скорее логичное следствие полученного опыта, коего накопилось предостаточно. Осталось лишь структурировать его и оформить в виде курса.

Идея курса заключается в позиционировании CISO как бизнес-менеджера, а службы ИБ как бизнес-подразделения. Причем сосредоточится не на пространных рассуждениях на тему, а конкретных инструментах - как это делать? В результате получается что-то вроде «Micro-MBA» для CISO© ;-).

Подготовил предварительное описание курса и план, буду рад обратной связи:

Между CISO и бизнесом часто возникает недопонимание. Основная причина заключается в том, что профессионалы в области ИБ и бизнес говорят на «разных языках». Например, с позиции многих профессионалов в области ИБ работа над повышением уровня ИБ приносит компании огромную пользу, а серьезный инцидент ИБ может поставить под угрозу существование бизнеса. Однако по мнению бизнеса, работа над повышением уровня ИБ приносит лишь прямые затраты, а инциденты ИБ, по величине своего ущерба, не соответствуют даже затратам на службу ИБ. У каждой позиции есть свои аргументы «за» и аргументы «против». Решить возникающие противоречия через повышение осведомленности бизнеса (как рекомендует большинство экспертов), на практике оказывается невозможным. Единственным способом выстроить эффективную работу между службой ИБ и бизнесом является переход службы ИБ на уровень бизнес-подразделения с соответствующими атрибутами, а также позиционирование CISO как бизнес-менеджера. Все это позволяет разговаривать с бизнесом на «одном языке» и как следствие резко повышает эффективность работы службы ИБ в рамках целей и задач компании.

Целью данного курса является предоставление слушателям инструментария, позволяющего выстроить службу ИБ как эффективное бизнес-подразделение, а также инструментария по обоснованию необходимых инвестиций в ИБ компании.

Предварительная программа:

1) CISO как бизнес-менеджер. Требования, функциональные обязанности и зона ответственности. Модель эффективного руководителя службы ИБ.

2) Взаимодействие CISO с руководителями и сотрудниками других структурных подразделений компании.

3) Выстраивание службы ИБ как бизнес-подразделения компании. Что именно необходимо?

4) Анализ внутренней и внешней среды службы ИБ. Адаптация и использование общепринятых инструментов.

a. SWOT-анализ b. Анализ пяти сил Портера c. PEST-анализ

5) Согласование стратегии службы ИБ со стратегией компании.

6) Согласование целей службы ИБ с целями компании.

7) Согласование задач службы ИБ задачами компании.

8 ) Ценность службы ИБ для бизнеса. Позиционирование службы ИБ внутри компании.

9) Разработка концепции, стратегии и политики ИБ, которые работают.

10) Выстраивание «полноценной СОИБ»… А нужно? Как и кто решает? Стоит ли браться?

11) Показатели эффективности службы ИБ. Выбор и оценка.

a. Как адаптировать понятные в бизнесе показатели, и применить их к службе ИБ? b. В чем их смысл и для кого они нужны?

12) Планирование мероприятий по ИБ и выделение необходимых ресурсов.

a. Выбор модели выполнения задач по ИБ («делаем все сами» или привлекаем интеграторов). Выбор оптимального варианта. b. Подготовка финансового обоснования выбранной модели. c. Планирование мероприятий по ИБ в рамках выбранной модели. d. Выделение ресурсов (материальные, трудовые, финансовые и т.д.)

13) Финансовый анализ проектов по ИБ

a. Финансовые показатели применимые к службе ИБ. b. Почему по классическим показателям эффективности все ИБ-проекты убыточны? c. Как адаптировать понятные для бизнеса показатели, и применить их к проектам по ИБ?

14) Compliance с действующим российским законодательством в области ИБ и международными стандартами по ИБ. Кому, что и как делать? Выбор оптимального пути.

a. ISO 27001, COBIT, ITIL, СТО БР ИББС b. Коммерческая тайна c. Персональные данные

15) Кризисный менеджмент ИБ. Кризис как штатная ситуация.

a. Как бизнес реагирует на кризис? Модели и практика. b. Прогнозирование поведения руководства компании. c. Действия CISO в кризисной ситуации (резкое сокращение финансирования, остановка проектов, сокращение персонала и т.п.).