С чего начать построение ИБ в компании
Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе.
Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим.
Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции).
Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов.
Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам.
А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.
Как ни странно, одна из частых причин, по которой бизнес не занимается ИБ, звучит так: "мы не знаем, что делать". ИБ — это дорого, страшно, требует специфических знаний итд итп. На самом деле — и да, и нет, и все немного иначе.
Первое, о чем надо понять, задумавшись об ИБ в компании — это о рисках. Что может случиться с инфраструктурой? Какой ущерб будет нанесен? Сколько это будет стоить? Без хотя бы приблизительного ответа на эти вопросы, бегать по рынку, покупать софт и искать подрядчиков смысла нет. Более того, есть очень много компаний, которым услуги по ИБ вообще не нужны. О чем мы им периодчески и говорим.
Второе — надо честно ответить на вопрос "как у меня сейчас обстоят дела". Если бизнес не занимался ИБ — это нормально. Если бизнес не понимает, что такое ИБ — это тоже нормально. Главное — правильно оценить уровень защищенности, и вот тут можно пробовать находить подрядчика (если есть инфраструктура) или разбираться самому (если есть компетенции).
Третье — активные действия. Вот только на этом этапе, когда понятны и возможные потери, и состояние дел — имеет смысл пробовать идти на рынок и что-то искать. Нет, можно идти и раньше, если деньги есть. Но все равно есть неиллюзорные шансы нарваться на продажу очередной DLP-системы для компании по перевозке пылесосов.
Четвертое — повышать компетенции. Здесь все очень просто, чем более компетентен заказчик, тем более эффективно он потратит деньги. Разбираться самому, нанимать профильного сотрудника или стороннего директора по ИБ на part time (кстати, CISO как услуга у нас тоже есть) — каждый решает для себя сам.
А вообще, на наш взгляд ИБ риски — это вполне типичный пример рисков операционных, и работать с ними надо примерно так же. Здесь самое главное это здравая и адекватная оценка состояния собственной инфраструктуры и величины возможного ущерба.