Quis custodiet ipsos custodes?

Disclaimer

Disclaimer
Все мысли, изложенные на данном блоге, являются исключительно плодом воображения автора и отражают его личную точку зрения. Точка зрения автора никак не взаимосвязана с точкой зрения других физических и юридических лиц, за исключением тех случаев, когда это особо указано в тексте.

понедельник, 9 августа 2010 г.

CISO <> менеджер по безопасности <> специалист по безопасности

Почитал в прошлый четверг отзыв о 4-м собрании украинской группы информационных безопасников. Наводит на мысли...
Человек имеет за плечами ИТ образование и много лет занимался борьбой с фродом в банках - деятельность очень близкая по духу и подходам к информационной безопасности. И при этом пишет: "я чувствовал себя "глухим" на 60% докладов". Можно конечно объяснить сей факт обилием глубоких технических деталей, которыми изобиловали дискуссии...
Но, если посмотреть шире, вот также большинство безопасников пытается объясняться с бизнесом. И бизнес также остается глух - услышал много непонятных технических терминов, не понял, не понял на сколько критично, решил, что скорее всего что нет, выбросил из головы. С одной лишь небольшой разницей - потом не дает денег на инициативы.
И вроде уже все осознали, что есть техники, позволяющие говорить с бизнесом на "языке денег" - оценка рисков, выраженная в деньгах, кто-то  ROSI вспоминает...
И тут становятся глухими безопасники. Базового понимания финансов, хотя бы на уровне тренинга "финансы для нефинансовых менеджеров" у большинства специалистов по безопасности нет. Вот и пойди поговори с бизнесом на его языке... Ты ему про уязвимости и DOS-атаки, мол страшно это, давайте бюджет - будем закрывать. А он в ответ:  "каково от этого влияние на EBT?" И специалист по безопасности поджав хвост отступает. И пока для такого специалиста EBITDA - это неприличное ругательство - его потолок профессионального развития мененджер по техническим вопросам с совещательным голосом. А бюджет будет завистеть от:
  1. настроения начальника
  2. рекомендаций внешних консультантов (если они были убедительны)

2 комментария:

  1. Абсолютно и бесповоротно согласен.
    Стыкался с тем, что "безопасники" говорили, все что касается бизнеса пусть решает бизнес(что важно, а что нет, что надо защищать, а что нет), а они будут контролировать только техническую сторону ИТ (читать как "сканить сеть и заниматься антивирусом, а так же выпускать мертворожденные документы).

    ОтветитьУдалить
  2. Владимир, как на 60% глухой человек, заявляю, что глухота была вызвана именно изобилием глубоких технических деталей во время дискуссий.
    Но проблема, которую Вы описываете, так же римеет обратную сторону медали. Как сотрудники ИБ не могут понять финансового языка, так и остальным трудно понять язык ИБ. К примеру у меня 2 образования - финансовое и ИТ. Я был заместителем CRO Приватбанка, организовывал управление всеми видами банковских рисков, управлял операционными рисками, безопасностью и антифродом в банке с иностранным капиталом.
    Но термин "поднять виртуальную машину" и прочее для меня дремучий лес.
    Тут уж приходится говорить о том, чтобы бизнес и финансы учили ИБшную терминологию. Глухота тут, как вижу, имеет двусторонний характер...

    ОтветитьУдалить