понедельник, 6 декабря 2010 г.

Впечатления от USIG V

В пятницу прошло 5-е собрание linkedin'овской группы USIG (Украинской группы специалистов по информационной безопасности).
Мероприятие прошло хорошо. Растет количество заинтересованных специалистов. Из порядка 500 мифических членов группы, фигурирующих только в ее списках, вырисовываются 50-60 профессионалов готовых обсуждать насущие вопросы информационной безопасности.

Собрание поддержал украинский чаптер ISACA. Хотя от "поддержки" осталось двойственное впечатление.
Во-первых, от чаптера пришли только президент и вице-президент (еще ваш покорный слуга и коллега, но мы бы пришли вне зависимости от участия чаптера). И это из почти 60 членов, которые были приглашены на мероприятие.
Во-вторых, исследование, проведенное и представленное чаптером... Вроде провели исследование по важным вопросам управления ИТ. Тема действительно актуальная. Что такое IT governance  понимают далеко не все, кто должен понимать. Даже перевода устоявшегося нет. И исследование проводила ISACA - одна из передовых международных ассоциаций, призванных нести светлое будущее ведущие мировые практики по управлению ИТ в массы. Но во время презентации, почему-то в голову все время закрадывалось подозрение, что король голый.
Кто были респонденты исследования и на сколько репрезентативна выборка осталось тайной, покрытой мраком.
Некоторые  наблюдения, выводы и рекомендации навевали на мысль, что исследование делалось в докризисные годы, упало за шкаф, потерялось, и только теперь его нашли и решили показать общественности.
Взять хотя бы рекомендации (напомню, что речь шла о 9 наиболее приоритетных направлениях) о формализации ИТ-стратегии. Какая, простите, ИТ-стратегия, если в бизнес стратегия есть только 30% компаний (речь шла преимущественно о банках)?!?  На основании чего, простите, ее составлять?
Или мысли о том, что ИТ - это конкурентное преимущество компании? Друзья мои! ИТ было конкурентным преимуществом, когда не каждая компания могла его себе позволить. Так же как и электричество во времена паровых двигателей. Сейчас чуть-чуть все по другому.
Банки, кстати, уже не являются безусловными лидерами по информатизации. Многие компании из других секторов экономики, например,  FMCG компании, могут похвастаться более современными и зрелыми процессами и решениями.
Бизнес не может сформулировать ИТ чего он хочет? А должен ли? А может это ИТ должно понимать как работает бизнес-процессы и предлагать как ИТ может помочь их улучшить?
В общем, спасибо, что нашли время для исследования и рассказа.
Завершилось выступление тоже туманно. Вроде прозвучал призыв помогать развивать чаптер. Даже вызвались желающие. Но конкретики так и не прозвучало. После оспаповского "о дне следующего заседания будет сообщено дополнительно" мы расстались...

И все же, в целом, мероприятие прошло замечательно. Даже спонсорские доклады, от которых народ подустал, по причине их невероятного количества (за последний год, гонимые кризисом вендоры устраивают мероприятия о своих продуктах каждый месяц), принесли свежие мысли и идеи. Кроме технических аспектов было и немного философии. Владимир Стыран поделился своими мыслями о социальных аспектах безопасности.

Мой доклад был посвящен эффективному построению процесса управления информационными рисками. Хотя приводимая методика годится для построения процесса управления рисками и других видов.
Материалы прилагаю.


P.S. По мотивам чаптеровского выступления вспомнились пару хороших книг (не очень свежих - лет по 7 каждой, но все еще актуальных), которые я  рекомендую почитать :
  • Nicholas G.Carr "Does IT Matter?"  На тему является ли ИТ конкурентным преимуществом
  • Terry White "What Business Realy Want From IT?" на тему должен ли бизнес объяснять ИТ чего он хочет
P.P.S. Нет все-таки устоявшегося понимания чем же мы занимаемся. 70% докладов были посвящены ИТ -безопасности 30% - информационной. Нет еще единого понимания, что информационная безопасность - это безопасность информации, а не ИТ. И это - основная проблема, почему нет поддержки от бизнеса. Но об этом в другой раз...

12 комментариев:

  1. Владимир, а есть более детальная информация о зрелости ИТ процессов в FMCG? а то на основании изучения Verizon PCI compliance репорта, у меня сложилось впечатление что там дела обстоят ещё хуже чем в банках и ИТ компаниях

    ОтветитьУдалить
  2. А причем PCI к зрелости ИТ процессов?

    Впечатление о зрелости процессов у меня сформировано на основании общения с компаниями, с которыми я работаю как консультант.

    ОтветитьУдалить
  3. То что украинские компании пока плохо управляют ИТ есть факт и общая «температура по больнице», озвученная докладчиком от ISACA, честно говоря - не информативна.
    На данном историческом этапе развития, ИМХО, было бы полезно давать не интегрирующую оценку, а выделять процессы (мапируя их, например, на процессы CobIT или ITIL), которые пользователь пытается «обуздать», что бы попытаться определить понимание клиентом проблемы ...

    ОтветитьУдалить
  4. напрямую - не при чём, конечное. но косвенно, свидетельствует об этом, мне кажется. например, внедрённый процес сбора и мониторинга лог файлов, защиты критичной информации (данные о владельцах пластиковых карт), итп.

    ОтветитьУдалить
  5. 2 Владимир Гнинюк:
    Докладчик от ISACA как раз и пытался давать оценку используя процессы CobIT. Те "9 ключевых направлений", которые прозвучали в докладе - это 9 критичных с точки зрения CobIT процессов управления ИТ. Судя по комментариям, докладчику не удалось раскрыть эту мысль.

    2 Punker:
    Внедрённый процесс сбора и мониторинга лог файлов, защиты критичной информации (данные о владельцах пластиковых карт), итп -это все правильно, но с точки зрения CobIT - это один единственный процесс. Мой комментарий о зрелости процессов ИТ относился к процессам _управления ИТ_ именно с точки зрения CobIT.

    ОтветитьУдалить
  6. ага, точку зрения понял, спасибо

    ОтветитьУдалить
  7. Как ключевые направления анализа ситуации - принимается, но как девять процессов управления ИТ по CobIT - не вижу.

    А могли бы, как говорится "ткнуть носом", т е помочь увидеть? ;-)

    ОтветитьУдалить
  8. Имеются в виду процессы, имеющие importance high: PO1, PO9, PO10, AI6, DS5, DS11, ME1, ME3 и ME4

    ОтветитьУдалить
  9. ;-)
    Мне показалось, что там также была попытка затронуть и PO5, и DS2 ...

    Ну да ладно, я далек от тонкостей, посему и использовал слово "мапировать", подразумевая прямое отражение на конкретные процессы конкретной методики. Доклад был, как не крути, не перед "рафинированным бизнесом", где тебя могут обвинить в использовании "птичьего языка".

    Мне показалось, что большинству участников конференции (и я не исключение), не хватает методологической подготовки. Конечно, не надо следовать слепо чему-то одному, но за основными методиками десятилетия теории, практики и оптимизации, а подход «лучших практик» никто не отменял.

    Если возвращаться к моему первому посту, то я также хотел сказать, что МНЕ была бы интересна информация не только "что народ не делает", но и "что он делает". (далек от мысли, что можно накопать, что-то уникальное, не ложащиеся ни в один framework).

    Ведь не исключено, что может оказаться, что в силу ментальности, образования, осведомленности, локального законодательства (и т.п.) народ расставляет приоритеты не так как скажем ISACA, OGC, BSI, etc... Неужели это не интересно?


    PS: Спасибо автору блога за возможность высказаться. Во многом разделяю впечатления автора о прошедшем мероприятии.

    ОтветитьУдалить
  10. Аудитория была не подготовлена методологически, но это нормально. Аудитория состояла из специалистов по информационной безопасности. А доклад был на тему управления процессами ИТ

    ОтветитьУдалить
  11. Плохое управление процессами ИТ – прямая угроза ИБ.

    Хорошие инженеры ИБэшники очень нужны, но они у нас уже есть, но этого, как мы видим, не достаточно для для реализации ИБ в жизни (как бизнеса, так и личности).

    Не хватает системности в подходе. ИМХО, на данном историческом отрезке, концепция GRC может быть неплохим «краегольным каменем» для выроботки подходов в реализации ИБ. Посему я не считаю, что доклад ребят из ISACA, как таковой, был не к месту. Очень даже на оборот…

    ОтветитьУдалить
  12. Я разве говорил, что она не к месту?
    По-хорошему информационная безопасность должна кроме ИТ еще и хорошо понимать работу бизнес-процессов.
    Просто аудитория даже в вопросах информационной безопасности имела очень разный уровень подготовки. Даже не информационной, а компьютерной.

    ОтветитьУдалить