Your SlideShare is downloading. ×

Security Governance

2,130
views

Published on

Published in: Technology, Business

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total Views
2,130
On Slideshare
0
From Embeds
0
Number of Embeds
4
Actions
Shares
0
Downloads
123
Comments
0
Likes
0
Embeds 0
No embeds

Report content
Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
No notes for slide

Transcript

  • 1. Управление ИБ как Governance и как Management : небо и земля Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/25
  • 2. Дурная репутация  «Дармоеды», «Растратчики», «Мешают заниматься делом», «Что делают непонятно», «Усложняют мою работу»  ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность Ни слова про бизнес  Business Prevention Department  ВУЗы не готовят «правильных» специалистов  Специалисты по безопасности не всегда готовы воспринимать новую реальность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/25
  • 3. “Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.” Альберт Эйнштейн InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/25
  • 4. GRC – это решение! ROHS Human Revenue Credit Capital Project SOX JSOX FDA Recognition Risk Risk WEEE Risk Board of U.S. Directors Compliance Governance Campus Finance Germany Risk Mgmt. Governance Legal Risk Japan Mgmt. Sales Compliance Risk Mgmt. Contracts Data Center U.K. Compliance Compliance HR Compliance France Risk Mgmt. Controller Risk Mgmt. China Governance IT Compliance Branch Policy Mgmt. Canada Governance Risk Mgmt. Audit & Compliance India Treasury Teleworker Proj. Doc. Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/25
  • 5. “Концепция quot;governancequot; не нова. Она также стара, как и человеческая цивилизация. Просто quot;governancequot; означает: процесс принятия решения и процесс, при котором решения внедряются (или не внедряются).” Комиссия по социальным и экономическим вопросам ООН InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/25
  • 6. Другие определения IT Governance  Governance (в бизнесе) – действие по разработке и последовательному управлению связанных в единое целое политиками, процессами и правильными решениями в данной области ответственности  . . . связь между бизнесом и управлением ИТ  . . . стратегические ИТ-решения, за которые отвечает корпоративный менеджмент, а не CIO или другие ИТ- менеджеры  . . . ИТ Governance – это подмножество Corporate Governance, фокусирующееся на информационных системах  …подтверждение того, что ИТ-проекты легко управляются и глубоко влияют на достижение бизнес- целей организации InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/25
  • 7. Другие определения IT Governance  ИТ Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений  …взаимосвязь между ИТ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией  Аббревиатура IT может быть легко заменена на Security (Security Governance) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/25
  • 8. Связь с другими ИТ-дисциплинами  Governance ≠ Management При едином переводе на русский язык как «управление», это понятия совершенно разного уровня  IT governance поддерживает следующие дисциплины: Управление ИТ-активами Управление ИТ-портфолио Архитектура предприятия Управление проектами Управление программами Управление ИТ-сервисами Оптимизация бизнес-технологий InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/25
  • 9. Ключевые вопросы Governance Непрерывный процесс… Are we Мы делаем Мы Are we Business doing правильные получаем getting Governance the right вещи? преиму- the of IT things? щества? benefits? Enterprise Governance of IT IT Are we Мы Are we Мы делаем преуспели Governance doing them это getting of IT the right в them done правильно? достижении? way? well? Источник: The Information Paradox InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/25
  • 10. 4 вопроса в деталях Источник: Fujitsu Consulting Стратегический вопрос. Инвестиции: Вопрос ценности. Мы имеем: В соответствие с нашим видением? • Очевидное понимание ожидаемых Соответствуют нашим бизнес-принципам? преимуществ? Содействуют нашим стратегическим целям? • Релевантные метрики? Обеспечивают оптимальное значение, затраты • Эффективные преимущества реализации и уровень рисков? процесса? Are we Мы Are we Мы делаем doing получаем getting правильные преиму- вещи? the right the щества? things? benefits? Are we Are we Мы Мы делаем doing them это getting преуспели the right правильно? в them done достижении? way? well? Архитектурный вопрос. Инвестиции: Вопрос реализации. Мы имеем: В соответствие с нашей архитектурой? Эффективный процесс управления изменениями и реализации? Соответствуют нашим архитектурным Компетентные и доступные технические и принципам? бизнес-ресурсы для реализации: Содействуют созданию архитектуры? Требуемых возможностей; и Организационных изменений, требуемых для В соответствие с другими инциативами? достижения возможностей. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/25
  • 11. ИТ Governance согласно Val IT Руководство, процесс и структура гарантирующие, что ИТ на предприятии разрешают и поддерживают стратегию и цели предприятия, а также определяющие: 1. какие ключевые решения должны быть приняты; 2. кто отвечает за их принятие; как они должны быть приняты; и V 3. gic nt De alue te liv 4. процессы и поддерживающие их ra me t n er S ig y структуры для принятия решений, Al IT IT включающие мониторинг строгого Governance ent Pe f su eme Perf sureme Pe f su eme Pe f su eme Mea Mea Mea Mea соблюдения процессов и Domains agem Man isk or or or orm эффективности принятия решений R anc t nc nc nce Resource nt t t Management Источник : ITGI InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/25
  • 12. Структура ИБ Governance InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/25
  • 13. Чем выше, тем больше влияния CEO Аналитики Аналитики CFO/COO CIO СМИ СМИ Функции VP Демократизация VP технологий ведет IT Влияние Влияние к командному принятию Функции решений Data Консультанты Консультанты директора TDM Влияние Партнеры Партнеры Функции Voice менеджера TDM  Нельзя забывать про «серых кардиналов» Источник: компании с 1,000+ сотрудников, Strategic Oxygen 7/04 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/25
  • 14. Важность высокого полета  Понижение в уровне приводит к невозможности эффективного решения многих задач  Прямой контакт сотрудника на нижних уровнях иерархии с топ-менеджментом возможен, но это будет неэффективно во множестве случаев Управление рисками, юридические вопросы и BCP  Борьбы с инсайдерами должна вестись и на самом верхнем уровне компании Из 80% внутренних атак только малая часть наносит большой ущерб и часто это связано с руководством высокого уровня Это требует, чтобы CISO находился на том же уровне, что и топ-менеджмент InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/25
  • 15. Техническая структура – «классика» CIO  Формально выделенной ИБ нет Network Systems App. Dev.  Ответственность за ИБ ложится на специалистов в Firewall, System Adm, Application отдельных ИТ- Router, IPS Sys Prog, Acct Programmer, направлениях Admin Mgmt Developer  ИБ = IT Security InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/25
  • 16. Координатор ИБ Давление со Давление со стороны стороны ISO по CIO для снижения части Compliance CIO издержек ISO Network Systems App Dev Acct Mgmt, Firewall, System Application IT Policy, Router, IPS Admin, Sys Programmer, Awareness Admin Prog Developer Сетевые TDM InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/25
  • 17. Советник руководителя Security Council CIO ISO Network Systems App Dev Governance, Firewall, System App Risk Mgmt, Router, IPS Admin, Sys Programmer, Corp Policy Admin Prog Developer InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/25
  • 18. ИБ - стратегический бизнес-партнер Security Council CFO, COO, CxO CISO CIO Governance, ISO (Bus. Operational Risk Mgmt, Unit) Directors Corp Policy Acct Mgt, IT Техническая Policy, Проекты ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/25
  • 19. Почему не под CIO?  Широкий спектр не ИТ-задач Безопасность информации в бумажном представлении Взаимодействие с HR Взаимодействие с юристами Взаимодействие с правоохранительными органами  Такой спектр задач выходит за рамки деятельности CIO  Частое и необходимое общение с другими топ- менеджерами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/25
  • 20. Почему не под CIO?  Нельзя быть зависимым от CIO или CFO и оставаться эффективным Не из-за желания стать выше, а из-за природы безопасности, как функции контроля, которая должна быть независимой от контролируемых Службы внутреннего контроля (внутреннего аудита) контролируются непосредственно советом директоров  В крупных компаниях (с глубокой информационной зависимостью) CISO должен быть на уровне CFO или главного юриста (CLO) Но в умах топ-менеджмента он может находится на ступеньку-две ниже InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/25
  • 21. Как во всем мире? CIO/CTO or Top IS excutive 18% IS/IT Director 14% Security/IT Mgmt CSO/CISO or top secuirty executive 8% 59% Director of Security 8% Other IS/IT manager 7% Other security manager 4% Other non-IT officer or asst. officer 15% Chairman or CEO 9% Executive Mgmt CFO or VP Finance/Admn 7% 41% President 6% COO 5% 0% 5% 10% 15% 20% 25% Q3. Кому вы подчиняетесь? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 21/25
  • 22. Новый взгляд на безопасность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 22/25
  • 23. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 23/25
  • 24. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 24/25

×