В пятницу прошло 5-е собрание linkedin'овской группы USIG (Украинской группы специалистов по информационной безопасности).
Мероприятие прошло хорошо. Растет количество заинтересованных специалистов. Из порядка 500 мифических членов группы, фигурирующих только в ее списках, вырисовываются 50-60 профессионалов готовых обсуждать насущие вопросы информационной безопасности.
Собрание поддержал украинский чаптер ISACA. Хотя от "поддержки" осталось двойственное впечатление.
Во-первых, от чаптера пришли только президент и вице-президент (еще ваш покорный слуга и коллега, но мы бы пришли вне зависимости от участия чаптера). И это из почти 60 членов, которые были приглашены на мероприятие.
Во-вторых, исследование, проведенное и представленное чаптером... Вроде провели исследование по важным вопросам управления ИТ. Тема действительно актуальная. Что такое IT governance понимают далеко не все, кто должен понимать. Даже перевода устоявшегося нет. И исследование проводила ISACA - одна из передовых международных ассоциаций, призванных нестисветлое будущее ведущие мировые практики по управлению ИТ в массы. Но во время презентации, почему-то в голову все время закрадывалось подозрение, что король голый.
Кто были респонденты исследования и на сколько репрезентативна выборка осталось тайной, покрытой мраком.
Некоторые наблюдения, выводы и рекомендации навевали на мысль, что исследование делалось в докризисные годы, упало за шкаф, потерялось, и только теперь его нашли и решили показать общественности.
Взять хотя бы рекомендации (напомню, что речь шла о 9 наиболее приоритетных направлениях) о формализации ИТ-стратегии. Какая, простите, ИТ-стратегия, если в бизнес стратегия есть только 30% компаний (речь шла преимущественно о банках)?!? На основании чего, простите, ее составлять?
Или мысли о том, что ИТ - это конкурентное преимущество компании? Друзья мои! ИТ было конкурентным преимуществом, когда не каждая компания могла его себе позволить. Так же как и электричество во времена паровых двигателей. Сейчас чуть-чуть все по другому.
Банки, кстати, уже не являются безусловными лидерами по информатизации. Многие компании из других секторов экономики, например, FMCG компании, могут похвастаться более современными и зрелыми процессами и решениями.
Бизнес не может сформулировать ИТ чего он хочет? А должен ли? А может это ИТ должно понимать как работает бизнес-процессы и предлагать как ИТ может помочь их улучшить?
В общем, спасибо, что нашли время для исследования и рассказа.
Завершилось выступление тоже туманно. Вроде прозвучал призыв помогать развивать чаптер. Даже вызвались желающие. Но конкретики так и не прозвучало. После оспаповского "о дне следующего заседания будет сообщено дополнительно" мы расстались...
И все же, в целом, мероприятие прошло замечательно. Даже спонсорские доклады, от которых народ подустал, по причине их невероятного количества (за последний год, гонимые кризисом вендоры устраивают мероприятия о своих продуктах каждый месяц), принесли свежие мысли и идеи. Кроме технических аспектов было и немного философии. Владимир Стыран поделился своими мыслями о социальных аспектах безопасности.
Мой доклад был посвящен эффективному построению процесса управления информационными рисками. Хотя приводимая методика годится для построения процесса управления рисками и других видов.
Материалы прилагаю.
P.S. По мотивам чаптеровского выступления вспомнились пару хороших книг (не очень свежих - лет по 7 каждой, но все еще актуальных), которые я рекомендую почитать :
Мероприятие прошло хорошо. Растет количество заинтересованных специалистов. Из порядка 500 мифических членов группы, фигурирующих только в ее списках, вырисовываются 50-60 профессионалов готовых обсуждать насущие вопросы информационной безопасности.
Собрание поддержал украинский чаптер ISACA. Хотя от "поддержки" осталось двойственное впечатление.
Во-первых, от чаптера пришли только президент и вице-президент (еще ваш покорный слуга и коллега, но мы бы пришли вне зависимости от участия чаптера). И это из почти 60 членов, которые были приглашены на мероприятие.
Во-вторых, исследование, проведенное и представленное чаптером... Вроде провели исследование по важным вопросам управления ИТ. Тема действительно актуальная. Что такое IT governance понимают далеко не все, кто должен понимать. Даже перевода устоявшегося нет. И исследование проводила ISACA - одна из передовых международных ассоциаций, призванных нести
Кто были респонденты исследования и на сколько репрезентативна выборка осталось тайной, покрытой мраком.
Некоторые наблюдения, выводы и рекомендации навевали на мысль, что исследование делалось в докризисные годы
Взять хотя бы рекомендации (напомню, что речь шла о 9 наиболее приоритетных направлениях) о формализации ИТ-стратегии. Какая, простите, ИТ-стратегия, если в бизнес стратегия есть только 30% компаний (речь шла преимущественно о банках)?!? На основании чего, простите, ее составлять?
Или мысли о том, что ИТ - это конкурентное преимущество компании? Друзья мои! ИТ было конкурентным преимуществом, когда не каждая компания могла его себе позволить. Так же как и электричество во времена паровых двигателей. Сейчас чуть-чуть все по другому.
Банки, кстати, уже не являются безусловными лидерами по информатизации. Многие компании из других секторов экономики, например, FMCG компании, могут похвастаться более современными и зрелыми процессами и решениями.
Бизнес не может сформулировать ИТ чего он хочет? А должен ли? А может это ИТ должно понимать как работает бизнес-процессы и предлагать как ИТ может помочь их улучшить?
В общем, спасибо, что нашли время для исследования и рассказа.
Завершилось выступление тоже туманно. Вроде прозвучал призыв помогать развивать чаптер. Даже вызвались желающие. Но конкретики так и не прозвучало. После оспаповского "о дне следующего заседания будет сообщено дополнительно" мы расстались...
И все же, в целом, мероприятие прошло замечательно. Даже спонсорские доклады, от которых народ подустал, по причине их невероятного количества (за последний год, гонимые кризисом вендоры устраивают мероприятия о своих продуктах каждый месяц), принесли свежие мысли и идеи. Кроме технических аспектов было и немного философии. Владимир Стыран поделился своими мыслями о социальных аспектах безопасности.
Мой доклад был посвящен эффективному построению процесса управления информационными рисками. Хотя приводимая методика годится для построения процесса управления рисками и других видов.
Материалы прилагаю.
P.S. По мотивам чаптеровского выступления вспомнились пару хороших книг (не очень свежих - лет по 7 каждой, но все еще актуальных), которые я рекомендую почитать :
- Nicholas G.Carr "Does IT Matter?" На тему является ли ИТ конкурентным преимуществом
- Terry White "What Business Realy Want From IT?" на тему должен ли бизнес объяснять ИТ чего он хочет
Владимир, а есть более детальная информация о зрелости ИТ процессов в FMCG? а то на основании изучения Verizon PCI compliance репорта, у меня сложилось впечатление что там дела обстоят ещё хуже чем в банках и ИТ компаниях
ОтветитьУдалитьА причем PCI к зрелости ИТ процессов?
ОтветитьУдалитьВпечатление о зрелости процессов у меня сформировано на основании общения с компаниями, с которыми я работаю как консультант.
То что украинские компании пока плохо управляют ИТ есть факт и общая «температура по больнице», озвученная докладчиком от ISACA, честно говоря - не информативна.
ОтветитьУдалитьНа данном историческом этапе развития, ИМХО, было бы полезно давать не интегрирующую оценку, а выделять процессы (мапируя их, например, на процессы CobIT или ITIL), которые пользователь пытается «обуздать», что бы попытаться определить понимание клиентом проблемы ...
напрямую - не при чём, конечное. но косвенно, свидетельствует об этом, мне кажется. например, внедрённый процес сбора и мониторинга лог файлов, защиты критичной информации (данные о владельцах пластиковых карт), итп.
ОтветитьУдалить2 Владимир Гнинюк:
ОтветитьУдалитьДокладчик от ISACA как раз и пытался давать оценку используя процессы CobIT. Те "9 ключевых направлений", которые прозвучали в докладе - это 9 критичных с точки зрения CobIT процессов управления ИТ. Судя по комментариям, докладчику не удалось раскрыть эту мысль.
2 Punker:
Внедрённый процесс сбора и мониторинга лог файлов, защиты критичной информации (данные о владельцах пластиковых карт), итп -это все правильно, но с точки зрения CobIT - это один единственный процесс. Мой комментарий о зрелости процессов ИТ относился к процессам _управления ИТ_ именно с точки зрения CobIT.
ага, точку зрения понял, спасибо
ОтветитьУдалитьКак ключевые направления анализа ситуации - принимается, но как девять процессов управления ИТ по CobIT - не вижу.
ОтветитьУдалитьА могли бы, как говорится "ткнуть носом", т е помочь увидеть? ;-)
Имеются в виду процессы, имеющие importance high: PO1, PO9, PO10, AI6, DS5, DS11, ME1, ME3 и ME4
ОтветитьУдалить;-)
ОтветитьУдалитьМне показалось, что там также была попытка затронуть и PO5, и DS2 ...
Ну да ладно, я далек от тонкостей, посему и использовал слово "мапировать", подразумевая прямое отражение на конкретные процессы конкретной методики. Доклад был, как не крути, не перед "рафинированным бизнесом", где тебя могут обвинить в использовании "птичьего языка".
Мне показалось, что большинству участников конференции (и я не исключение), не хватает методологической подготовки. Конечно, не надо следовать слепо чему-то одному, но за основными методиками десятилетия теории, практики и оптимизации, а подход «лучших практик» никто не отменял.
Если возвращаться к моему первому посту, то я также хотел сказать, что МНЕ была бы интересна информация не только "что народ не делает", но и "что он делает". (далек от мысли, что можно накопать, что-то уникальное, не ложащиеся ни в один framework).
Ведь не исключено, что может оказаться, что в силу ментальности, образования, осведомленности, локального законодательства (и т.п.) народ расставляет приоритеты не так как скажем ISACA, OGC, BSI, etc... Неужели это не интересно?
PS: Спасибо автору блога за возможность высказаться. Во многом разделяю впечатления автора о прошедшем мероприятии.
Аудитория была не подготовлена методологически, но это нормально. Аудитория состояла из специалистов по информационной безопасности. А доклад был на тему управления процессами ИТ
ОтветитьУдалитьПлохое управление процессами ИТ – прямая угроза ИБ.
ОтветитьУдалитьХорошие инженеры ИБэшники очень нужны, но они у нас уже есть, но этого, как мы видим, не достаточно для для реализации ИБ в жизни (как бизнеса, так и личности).
Не хватает системности в подходе. ИМХО, на данном историческом отрезке, концепция GRC может быть неплохим «краегольным каменем» для выроботки подходов в реализации ИБ. Посему я не считаю, что доклад ребят из ISACA, как таковой, был не к месту. Очень даже на оборот…
Я разве говорил, что она не к месту?
ОтветитьУдалитьПо-хорошему информационная безопасность должна кроме ИТ еще и хорошо понимать работу бизнес-процессов.
Просто аудитория даже в вопросах информационной безопасности имела очень разный уровень подготовки. Даже не информационной, а компьютерной.