SlideShare a Scribd company logo

YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва

Yuriy Gudz
Yuriy Gudz

Керівництво не оцінює вашу роботу по заслугам? Можливо ваш Керівник просто не розуміє, скільки важливої роботи ви виконуєте стосовно Інформаційної Безпеки компанії? Донесіть це через якісний Звіт про виконану роботу, у правильний час, у доречному форматі.

Business
1 of 13
Download to read offline
Яким має бути Звіт по роботі ІБ 044 232 63 02 068 558 39 48 Юрій Гудзь Управляющий ІТ Аудитор ygudz@yvgconsulting.com.ua www.yvgconsulting.com.ua
2YVG Consulting Робота ІБ та Звіт Загальною метою компанії, Власників компанії, співробітників ІБ, Керівництва ІБ, Керівництва компанії є Інформаційна Безпека Компанії. Але насправді, в кожній організації у кожного свої цілі.
3YVG Consulting Робота ІБ та Звіт Аби компанія була убезпечена з точки зору Інформаційної Безпеки реально можуть бути зацікавлені тільки ВласникиАкціонери компанії.
4YVG Consulting Робота ІБ та Звіт ТОП-Менеджмент компанії зацікавлений у виконанні KPI, які виставляють їм Власники, тому вони зацікавлені в ІБ рівно настільки, наскільки вимагають від них Акціонери. В реальності окремі KPI зазвичай ніхто відносно ІБ не ставить, тому залишається один єдиний KPI який звучить як «аби нічого не сталось відносно безпеки інформації та ІТ систем». В цілому Очікування Керівництва від ІБ можна сформулювати так: 1. Аби не було проблем 2. Якщо є проблема, знайти винуватого 3. Контролювати ІТ 4. Моніторити співробітників, хто чим займається 5. Озвучувати ризики, які соромляться озвучувати ІТ
5YVG Consulting Робота ІБ та Звіт ІТ зазвичай в цілому не турбує інформаційна безпека компанії, їх турбує ефективність роботи ІТ систем, а відхилення в сторону безпечності роботи зазвичай знижує ефективність роботи систем та процесів. Але навіть якщо у ІТ відсутні поставлені KPI з боку Керівництва відносно ІБ, все одно залишається один KPI який існує незалежно від його фактичної наявності в Company Balanced Scorecard – «аби чого не сталось». Якщо є інциденти ІБ (як стосовно інформації так і стосовно ІТ систем), то це косяки ІТ, і Керівництво їх за це зазвичай по головці не погладить. І якщо інцидентів забагато – то це прямий шлях до зміни штату ІТ, тому мотивація у ІТ має бути, але вона має постійно підвищуватись з боку Керівництва, бо має тенденцію з-за слабкої уваги з боку Керівництва поступово згасати.
6YVG Consulting Робота ІБ та Звіт Співробітники ІБ звісно зацікавлені в Інформаційній Безпеці компанії, бо це безпосередня їхня робота та зона відповідальності, але вони також зацікавлені в своїх робочих місцях, отримуванні зарплати, бо вони є найманими працівниками і матеріальна сторона роботи безпосередньо пов’язана з Інформаційною Безпекою Компанії. Будуть проблеми з безпекою – будуть працювати інші співробітники у Відділі ІБ. Тут з мотивацією все зрозуміло.
7YVG Consulting Робота ІБ та Звіт З інструментом для виконання роботи ІБ в компанії також визначитись просто – це міжнародний стандарт з інформаційної безпеки ISO 27001.
8YVG Consulting Робота ІБ та Звіт Як і будь-який складний інструмент ISO 27001 зрозумілий виконавцям, але людям не в темі важко його зрозуміти і адекватно оцінити його використання. Тому існує великий розрив між щоденною роботою Відділу ІБ і результатами роботи Керівництвом. Є багато статей та книжок щодо підходів в оцінці ефективності роботи Служб ІБ, але я пропоную простий підхід, який буде працювати в реаліях українського бізнесу – Звіт Керівництву.
9YVG Consulting Робота ІБ та Звіт Відділ ІБ має проводити роботу по всім напрямкам, які визначені в ISO 27001, але якщо ми спробуємо поставити відповідність між Очікуваннями Керівництва та Структурою ISO 27001 то побачимо, що відповідності є нерівними. Очікування ISO 27001 Аби не було проблем • Весь ISO 27001 Якщо є проблема, знайти винуватого • Управління активами • Управління доступом • Управління інцидентами ІБ • Питання ІБ щодо персоналу Контролювати ІТ • Політики ІБ • Прийом, розробка і підтримка систем • Відповідність Моніторити співробітників • Відповідність Озвучувати ризики • Відповідність • Безперервність бізнесу • Управління інцидентами ІБ
10YVG Consulting Робота ІБ та Звіт Отже ми маємо подати інформацію в звіті, яка цікава Керівництву, але й показати всю роботу, яку ми виконуємо. Формат Звіту Керівництву потрібно визначати в залежності від прийнятих в компанії підходів. Якщо всі подають свої звіти ТОП Менеджменту у вигляді Службових Записок, варто дотриматись такого ж підходу. Якщо Керівництво більш схильне до прийняття інформації у вигляді Презентацій Powerpoint – варто дотриматись цього формату. Формат подачі дуже важливий, так як якщо ви подасте інформацію у незручному чи незвичному форматі Отримувачу, інформація може бути сприйнята невірно, або навіть несприйнята взагалі, і вся ваша робота за місяць (або й рік) не буде оцінена достойно.
11YVG Consulting Робота ІБ та Звіт З форматом визначились, переходимо до структури. На початку подаємо ту інформацію, яка релевантна відповідно до Очікувань Керівництва. Очікування Інформація Аби не було проблем • Кількість оброблених заявок Сервіс-деска • Кількість інцидентів • Кількість проведених розслідувань • Перелік виконаних проектівзадач за поточний місяць Якщо є проблема, знайти винуватого Контролювати ІТ • Кількість Заявок поданих Відділом ІБ для впорядкування відхилень в ІТ системахпроцесах • Кількість оброблених ТЗ • Кількість проаналізованих договорів з підрядниками відносно ІТ • Кількість проведених Аудитів ІТ систем чи ІТ процесів Моніторити співробітників • Кількісні результати роботи системи моніторингуSOC • Виконані задачі відносно системи моніторингуSOC Озвучувати ризики • Кількість проведених оглядів приміщень • Результати проведених Аудитів • Результати аналізу договорів з підрядниками • Результати аналізу ТЗ
12YVG Consulting Робота ІБ та Звіт Після основної інформації, яка найбільше цікава Керівництву варто описати і іншу роботу, яку виконує Відділ ІБ. Це може бути: 1. Результати роботи з Інформаційними активами 2. Кількість змінених внутрішніх документів (ПолітикСтандартівІнструкцій) 3. Кількість проведених презентаційнавчань для співробітників стосовно ІБ 4. Результати роботи Антивірусу 5. Результати роботи Анти-DDOS системи 6. Результати роботи Анти-СПАМ фільтру 7. Результати роботи сканеру по виявленню вразливостей всередині мережі 8. Результати роботи сканеру по виявленню вразливостей зовшнішніх серверів 9. Перелік поточних проектівзадач, в яких приймають участь співробітники Відділу ІБ.
13YVG Consulting Робота ІБ та Звіт Ми подали тільки основні ідеї щодо структури Звіту, який може готувати Відділ ІБ по результатам своєї роботи. Звісно, різні організації знаходяться на різних етапах розвитку, у різних компаній звіти будуть різнитись. На додачу до описаної інформації можна додавати у звіт Графіки, Таблиці, порівняльну аналітику з минулим періодом, аналітикою стану ІБ відносно того ж періоду минулого року і т.п. Головне, аби тяжка та кропітка робота ІБ не залишалась не поміченою та неоціненою Керівництвом.

Recommended

YVG Consulting - Послуги
YVG Consulting - ПослугиYVG Consulting - Послуги
YVG Consulting - ПослугиYuriy Gudz
 
YVG Consulting - ІТ Аудит
YVG Consulting - ІТ АудитYVG Consulting - ІТ Аудит
YVG Consulting - ІТ АудитYuriy Gudz
 
YVG Consulting - Допомога в міграції з 1с
YVG Consulting - Допомога в міграції з 1сYVG Consulting - Допомога в міграції з 1с
YVG Consulting - Допомога в міграції з 1сYuriy Gudz
 
IT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaIT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaAlexey Yankovski
 
Volodymyr Zhukov: Ключові труднощі в реальних імплементаціях AI. Досвід з пра...
Volodymyr Zhukov: Ключові труднощі в реальних імплементаціях AI. Досвід з пра...Volodymyr Zhukov: Ключові труднощі в реальних імплементаціях AI. Досвід з пра...
Volodymyr Zhukov: Ключові труднощі в реальних імплементаціях AI. Досвід з пра...Lviv Startup Club
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna IvchenkoAnastasiia Konoplova
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudituisgslide
 
Dmytro Bilash and Dmytro Pleshakov “How to create data science product? True ...
Dmytro Bilash and Dmytro Pleshakov “How to create data science product? True ...Dmytro Bilash and Dmytro Pleshakov “How to create data science product? True ...
Dmytro Bilash and Dmytro Pleshakov “How to create data science product? True ...Lviv Startup Club
 

Recommended

YVG Consulting - Послуги
YVG Consulting - ПослугиYVG Consulting - Послуги
YVG Consulting - ПослугиYuriy Gudz
 
YVG Consulting - ІТ Аудит
YVG Consulting - ІТ АудитYVG Consulting - ІТ Аудит
YVG Consulting - ІТ АудитYuriy Gudz
 
YVG Consulting - Допомога в міграції з 1с
YVG Consulting - Допомога в міграції з 1сYVG Consulting - Допомога в міграції з 1с
YVG Consulting - Допомога в міграції з 1сYuriy Gudz
 
IT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaIT questions on the Supervisory Board Agenda
IT questions on the Supervisory Board AgendaAlexey Yankovski
 
Volodymyr Zhukov: Ключові труднощі в реальних імплементаціях AI. Досвід з пра...
Volodymyr Zhukov: Ключові труднощі в реальних імплементаціях AI. Досвід з пра...Volodymyr Zhukov: Ключові труднощі в реальних імплементаціях AI. Досвід з пра...
Volodymyr Zhukov: Ключові труднощі в реальних імплементаціях AI. Досвід з пра...Lviv Startup Club
 
18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna Ivchenko18.05.2017 ISMS - Iryna Ivchenko
18.05.2017 ISMS - Iryna IvchenkoAnastasiia Konoplova
 
Uisg itgov 8_i_taudit
Uisg itgov 8_i_tauditUisg itgov 8_i_taudit
Uisg itgov 8_i_taudituisgslide
 
Dmytro Bilash and Dmytro Pleshakov “How to create data science product? True ...
Dmytro Bilash and Dmytro Pleshakov “How to create data science product? True ...Dmytro Bilash and Dmytro Pleshakov “How to create data science product? True ...
Dmytro Bilash and Dmytro Pleshakov “How to create data science product? True ...Lviv Startup Club
 
CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...
CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...
CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...E-5
 
Рішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпекиРішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпекиTechExpert
 
IS Risk Governance&Management
IS Risk Governance&ManagementIS Risk Governance&Management
IS Risk Governance&ManagementAnastasiia Konoplova
 
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...Lviv Startup Club
 
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”Dakiry
 
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...Lviv Startup Club
 
Tarasyk big data ai - gdpr (1)
Tarasyk big data ai - gdpr (1)Tarasyk big data ai - gdpr (1)
Tarasyk big data ai - gdpr (1)Lviv Startup Club
 
Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Nick Turunov
 
KPI - OEE- ISO22400 - MES
KPI - OEE- ISO22400 - MESKPI - OEE- ISO22400 - MES
KPI - OEE- ISO22400 - MESAPPAU_Ukraine
 
Natalia Pelykh BAQ
Natalia Pelykh BAQNatalia Pelykh BAQ
Natalia Pelykh BAQDakiry
 
Що таке Datawiz.io?
Що таке Datawiz.io?Що таке Datawiz.io?
Що таке Datawiz.io?Datawiz.io
 
ITIL (ukr)
ITIL (ukr)ITIL (ukr)
ITIL (ukr)Anatoliy Okhotnikov
 
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...Lviv Startup Club
 
Experts p1 v3.3 (1) (1)
Experts p1 v3.3 (1) (1)Experts p1 v3.3 (1) (1)
Experts p1 v3.3 (1) (1)Александр Печалин
 
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...IsacaKyiv
 
Результати проекту aCampus
Результати проекту aCampusРезультати проекту aCampus
Результати проекту aCampusAPPAU_Ukraine
 
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”Dakiry
 
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...Lviv Startup Club
 
Delivering business intelligence - Rava
Delivering business intelligence - RavaDelivering business intelligence - Rava
Delivering business intelligence - RavaIgor Bronovskyy
 
Looqme pr
Looqme prLooqme pr
Looqme prOksana Todorova
 
Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)
Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)
Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)Lviv Startup Club
 
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...Lviv Startup Club
 

More Related Content

Similar to YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва

CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...
CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...
CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...E-5
 
Рішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпекиРішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпекиTechExpert
 
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...Lviv Startup Club
 
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”Dakiry
 
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...Lviv Startup Club
 
Tarasyk big data ai - gdpr (1)
Tarasyk big data ai - gdpr (1)Tarasyk big data ai - gdpr (1)
Tarasyk big data ai - gdpr (1)Lviv Startup Club
 
Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Nick Turunov
 
KPI - OEE- ISO22400 - MES
KPI - OEE- ISO22400 - MESKPI - OEE- ISO22400 - MES
KPI - OEE- ISO22400 - MESAPPAU_Ukraine
 
Natalia Pelykh BAQ
Natalia Pelykh BAQNatalia Pelykh BAQ
Natalia Pelykh BAQDakiry
 
Що таке Datawiz.io?
Що таке Datawiz.io?Що таке Datawiz.io?
Що таке Datawiz.io?Datawiz.io
 
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...Lviv Startup Club
 
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...IsacaKyiv
 
Результати проекту aCampus
Результати проекту aCampusРезультати проекту aCampus
Результати проекту aCampusAPPAU_Ukraine
 
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”Dakiry
 
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...Lviv Startup Club
 
Delivering business intelligence - Rava
Delivering business intelligence - RavaDelivering business intelligence - Rava
Delivering business intelligence - RavaIgor Bronovskyy
 

Similar to YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва (20)

CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...
CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...
CBDA від IIBA або де бізнес аналітик зустрічається з дата аналізом | Презента...
 
Рішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпекиРішення для автоматизації діяльності підрозділу інформаційної безпеки
Рішення для автоматизації діяльності підрозділу інформаційної безпеки
 
IS Risk Governance&Management
IS Risk Governance&ManagementIS Risk Governance&Management
IS Risk Governance&Management
 
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...
Eldar Nagorniy: Стратегія хамелеона. Як просувати ІТ outsource, мімікруючи пі...
 
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”
Антон Вітязь та Марія Попова “Strategy Analysis: Who cares?”
 
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...
25-03-Dmytro Rodenko: Як регулярно залучати великі контракти для IT розробки ...
 
Tarasyk big data ai - gdpr (1)
Tarasyk big data ai - gdpr (1)Tarasyk big data ai - gdpr (1)
Tarasyk big data ai - gdpr (1)
 
Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)Bas consulting for_it_conference_(by_po)
Bas consulting for_it_conference_(by_po)
 
KPI - OEE- ISO22400 - MES
KPI - OEE- ISO22400 - MESKPI - OEE- ISO22400 - MES
KPI - OEE- ISO22400 - MES
 
Natalia Pelykh BAQ
Natalia Pelykh BAQNatalia Pelykh BAQ
Natalia Pelykh BAQ
 
Що таке Datawiz.io?
Що таке Datawiz.io?Що таке Datawiz.io?
Що таке Datawiz.io?
 
ITIL (ukr)
ITIL (ukr)ITIL (ukr)
ITIL (ukr)
 
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...
Jane Bodrichenko: Робота в стресових умовах: Як управляти проєктом про який н...
 
Experts p1 v3.3 (1) (1)
Experts p1 v3.3 (1) (1)Experts p1 v3.3 (1) (1)
Experts p1 v3.3 (1) (1)
 
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...Приклади визнання кращих практик ISACA в органах державної влади різних країн...
Приклади визнання кращих практик ISACA в органах державної влади різних країн...
 
Результати проекту aCampus
Результати проекту aCampusРезультати проекту aCampus
Результати проекту aCampus
 
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”
Роман Сахаров “Кар’єрний розвиток аналітика: стан та перспективи”
 
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...
Aleksandr Shevchenko: Історія змін у Проектному офісі на тлі світових потрясі...
 
Delivering business intelligence - Rava
Delivering business intelligence - RavaDelivering business intelligence - Rava
Delivering business intelligence - Rava
 
Looqme pr
Looqme prLooqme pr
Looqme pr
 

Recently uploaded

Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)
Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)
Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)Lviv Startup Club
 
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...Lviv Startup Club
 
Artem Bykovets: 4 Вершники апокаліпсису робочих стосунків (+антидоти до них) ...
Artem Bykovets: 4 Вершники апокаліпсису робочих стосунків (+антидоти до них) ...Artem Bykovets: 4 Вершники апокаліпсису робочих стосунків (+антидоти до них) ...
Artem Bykovets: 4 Вершники апокаліпсису робочих стосунків (+антидоти до них) ...Lviv Startup Club
 
Yuliia Pieskova: Фідбек: не лише "як", але й "коли" і "навіщо" (UA)
Yuliia Pieskova: Фідбек: не лише "як", але й "коли" і "навіщо" (UA)Yuliia Pieskova: Фідбек: не лише "як", але й "коли" і "навіщо" (UA)
Yuliia Pieskova: Фідбек: не лише "як", але й "коли" і "навіщо" (UA)Lviv Startup Club
 
Alexander Marchenko: Проблеми росту продуктової екосистеми (UA)
Alexander Marchenko: Проблеми росту продуктової екосистеми (UA)Alexander Marchenko: Проблеми росту продуктової екосистеми (UA)
Alexander Marchenko: Проблеми росту продуктової екосистеми (UA)Lviv Startup Club
 
Oleksandr Grytsenko: Save your Job або прокачай скіли до Engineering Manageme...
Oleksandr Grytsenko: Save your Job або прокачай скіли до Engineering Manageme...Oleksandr Grytsenko: Save your Job або прокачай скіли до Engineering Manageme...
Oleksandr Grytsenko: Save your Job або прокачай скіли до Engineering Manageme...Lviv Startup Club
 
Maksym Stelmakh : Державні електронні послуги та сервіси: чому бізнесу варто ...
Maksym Stelmakh : Державні електронні послуги та сервіси: чому бізнесу варто ...Maksym Stelmakh : Державні електронні послуги та сервіси: чому бізнесу варто ...
Maksym Stelmakh : Державні електронні послуги та сервіси: чому бізнесу варто ...Lviv Startup Club
 
Mariya Yeremenko: Вплив Генеративного ШІ на сучасний світ та на особисту ефек...
Mariya Yeremenko: Вплив Генеративного ШІ на сучасний світ та на особисту ефек...Mariya Yeremenko: Вплив Генеративного ШІ на сучасний світ та на особисту ефек...
Mariya Yeremenko: Вплив Генеративного ШІ на сучасний світ та на особисту ефек...Lviv Startup Club
 
Yaroslav Osolikhin: «Неідеальний» проєктний менеджер: People Management під ч...
Yaroslav Osolikhin: «Неідеальний» проєктний менеджер: People Management під ч...Yaroslav Osolikhin: «Неідеальний» проєктний менеджер: People Management під ч...
Yaroslav Osolikhin: «Неідеальний» проєктний менеджер: People Management під ч...Lviv Startup Club
 
Anna Chalyuk: 7 інструментів та принципів, які допоможуть зробити вашу команд...
Anna Chalyuk: 7 інструментів та принципів, які допоможуть зробити вашу команд...Anna Chalyuk: 7 інструментів та принципів, які допоможуть зробити вашу команд...
Anna Chalyuk: 7 інструментів та принципів, які допоможуть зробити вашу команд...Lviv Startup Club
 
Andrii Skoromnyi: Чому не працює методика "5 Чому?" – і яка є альтернатива? (UA)
Andrii Skoromnyi: Чому не працює методика "5 Чому?" – і яка є альтернатива? (UA)Andrii Skoromnyi: Чому не працює методика "5 Чому?" – і яка є альтернатива? (UA)
Andrii Skoromnyi: Чому не працює методика "5 Чому?" – і яка є альтернатива? (UA)Lviv Startup Club
 
groups of outages 24_merged 11111111.pdf
groups of outages 24_merged 11111111.pdfgroups of outages 24_merged 11111111.pdf
groups of outages 24_merged 11111111.pdfRbc Rbcua
 
Oleksii Kyselov: Що заважає ПМу зростати? Розбір практичних кейсів (UA)
Oleksii Kyselov: Що заважає ПМу зростати? Розбір практичних кейсів (UA)Oleksii Kyselov: Що заважає ПМу зростати? Розбір практичних кейсів (UA)
Oleksii Kyselov: Що заважає ПМу зростати? Розбір практичних кейсів (UA)Lviv Startup Club
 
Oksana Smilka: Цінності, цілі та (де) мотивація (UA)
Oksana Smilka: Цінності, цілі та (де) мотивація (UA)Oksana Smilka: Цінності, цілі та (де) мотивація (UA)
Oksana Smilka: Цінності, цілі та (де) мотивація (UA)Lviv Startup Club
 

Recently uploaded (14)

Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)
Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)
Oksana Krykun: Перші 90 днів в роботі над новим продуктом (UA)
 
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...
Sergii Melnichenko: Лідерство в Agile командах: ТОП-5 основних психологічних ...
 
Artem Bykovets: 4 Вершники апокаліпсису робочих стосунків (+антидоти до них) ...
Artem Bykovets: 4 Вершники апокаліпсису робочих стосунків (+антидоти до них) ...Artem Bykovets: 4 Вершники апокаліпсису робочих стосунків (+антидоти до них) ...
Artem Bykovets: 4 Вершники апокаліпсису робочих стосунків (+антидоти до них) ...
 
Yuliia Pieskova: Фідбек: не лише "як", але й "коли" і "навіщо" (UA)
Yuliia Pieskova: Фідбек: не лише "як", але й "коли" і "навіщо" (UA)Yuliia Pieskova: Фідбек: не лише "як", але й "коли" і "навіщо" (UA)
Yuliia Pieskova: Фідбек: не лише "як", але й "коли" і "навіщо" (UA)
 
Alexander Marchenko: Проблеми росту продуктової екосистеми (UA)
Alexander Marchenko: Проблеми росту продуктової екосистеми (UA)Alexander Marchenko: Проблеми росту продуктової екосистеми (UA)
Alexander Marchenko: Проблеми росту продуктової екосистеми (UA)
 
Oleksandr Grytsenko: Save your Job або прокачай скіли до Engineering Manageme...
Oleksandr Grytsenko: Save your Job або прокачай скіли до Engineering Manageme...Oleksandr Grytsenko: Save your Job або прокачай скіли до Engineering Manageme...
Oleksandr Grytsenko: Save your Job або прокачай скіли до Engineering Manageme...
 
Maksym Stelmakh : Державні електронні послуги та сервіси: чому бізнесу варто ...
Maksym Stelmakh : Державні електронні послуги та сервіси: чому бізнесу варто ...Maksym Stelmakh : Державні електронні послуги та сервіси: чому бізнесу варто ...
Maksym Stelmakh : Державні електронні послуги та сервіси: чому бізнесу варто ...
 
Mariya Yeremenko: Вплив Генеративного ШІ на сучасний світ та на особисту ефек...
Mariya Yeremenko: Вплив Генеративного ШІ на сучасний світ та на особисту ефек...Mariya Yeremenko: Вплив Генеративного ШІ на сучасний світ та на особисту ефек...
Mariya Yeremenko: Вплив Генеративного ШІ на сучасний світ та на особисту ефек...
 
Yaroslav Osolikhin: «Неідеальний» проєктний менеджер: People Management під ч...
Yaroslav Osolikhin: «Неідеальний» проєктний менеджер: People Management під ч...Yaroslav Osolikhin: «Неідеальний» проєктний менеджер: People Management під ч...
Yaroslav Osolikhin: «Неідеальний» проєктний менеджер: People Management під ч...
 
Anna Chalyuk: 7 інструментів та принципів, які допоможуть зробити вашу команд...
Anna Chalyuk: 7 інструментів та принципів, які допоможуть зробити вашу команд...Anna Chalyuk: 7 інструментів та принципів, які допоможуть зробити вашу команд...
Anna Chalyuk: 7 інструментів та принципів, які допоможуть зробити вашу команд...
 
Andrii Skoromnyi: Чому не працює методика "5 Чому?" – і яка є альтернатива? (UA)
Andrii Skoromnyi: Чому не працює методика "5 Чому?" – і яка є альтернатива? (UA)Andrii Skoromnyi: Чому не працює методика "5 Чому?" – і яка є альтернатива? (UA)
Andrii Skoromnyi: Чому не працює методика "5 Чому?" – і яка є альтернатива? (UA)
 
groups of outages 24_merged 11111111.pdf
groups of outages 24_merged 11111111.pdfgroups of outages 24_merged 11111111.pdf
groups of outages 24_merged 11111111.pdf
 
Oleksii Kyselov: Що заважає ПМу зростати? Розбір практичних кейсів (UA)
Oleksii Kyselov: Що заважає ПМу зростати? Розбір практичних кейсів (UA)Oleksii Kyselov: Що заважає ПМу зростати? Розбір практичних кейсів (UA)
Oleksii Kyselov: Що заважає ПМу зростати? Розбір практичних кейсів (UA)
 
Oksana Smilka: Цінності, цілі та (де) мотивація (UA)
Oksana Smilka: Цінності, цілі та (де) мотивація (UA)Oksana Smilka: Цінності, цілі та (де) мотивація (UA)
Oksana Smilka: Цінності, цілі та (де) мотивація (UA)
 

YVG Consulting - Яким має бути Звіт по роботі ІБ для керівництва

  • 1. Яким має бути Звіт по роботі ІБ 044 232 63 02 068 558 39 48 Юрій Гудзь Управляющий ІТ Аудитор ygudz@yvgconsulting.com.ua www.yvgconsulting.com.ua
  • 2. 2YVG Consulting Робота ІБ та Звіт Загальною метою компанії, Власників компанії, співробітників ІБ, Керівництва ІБ, Керівництва компанії є Інформаційна Безпека Компанії. Але насправді, в кожній організації у кожного свої цілі.
  • 3. 3YVG Consulting Робота ІБ та Звіт Аби компанія була убезпечена з точки зору Інформаційної Безпеки реально можуть бути зацікавлені тільки ВласникиАкціонери компанії.
  • 4. 4YVG Consulting Робота ІБ та Звіт ТОП-Менеджмент компанії зацікавлений у виконанні KPI, які виставляють їм Власники, тому вони зацікавлені в ІБ рівно настільки, наскільки вимагають від них Акціонери. В реальності окремі KPI зазвичай ніхто відносно ІБ не ставить, тому залишається один єдиний KPI який звучить як «аби нічого не сталось відносно безпеки інформації та ІТ систем». В цілому Очікування Керівництва від ІБ можна сформулювати так: 1. Аби не було проблем 2. Якщо є проблема, знайти винуватого 3. Контролювати ІТ 4. Моніторити співробітників, хто чим займається 5. Озвучувати ризики, які соромляться озвучувати ІТ
  • 5. 5YVG Consulting Робота ІБ та Звіт ІТ зазвичай в цілому не турбує інформаційна безпека компанії, їх турбує ефективність роботи ІТ систем, а відхилення в сторону безпечності роботи зазвичай знижує ефективність роботи систем та процесів. Але навіть якщо у ІТ відсутні поставлені KPI з боку Керівництва відносно ІБ, все одно залишається один KPI який існує незалежно від його фактичної наявності в Company Balanced Scorecard – «аби чого не сталось». Якщо є інциденти ІБ (як стосовно інформації так і стосовно ІТ систем), то це косяки ІТ, і Керівництво їх за це зазвичай по головці не погладить. І якщо інцидентів забагато – то це прямий шлях до зміни штату ІТ, тому мотивація у ІТ має бути, але вона має постійно підвищуватись з боку Керівництва, бо має тенденцію з-за слабкої уваги з боку Керівництва поступово згасати.
  • 6. 6YVG Consulting Робота ІБ та Звіт Співробітники ІБ звісно зацікавлені в Інформаційній Безпеці компанії, бо це безпосередня їхня робота та зона відповідальності, але вони також зацікавлені в своїх робочих місцях, отримуванні зарплати, бо вони є найманими працівниками і матеріальна сторона роботи безпосередньо пов’язана з Інформаційною Безпекою Компанії. Будуть проблеми з безпекою – будуть працювати інші співробітники у Відділі ІБ. Тут з мотивацією все зрозуміло.
  • 7. 7YVG Consulting Робота ІБ та Звіт З інструментом для виконання роботи ІБ в компанії також визначитись просто – це міжнародний стандарт з інформаційної безпеки ISO 27001.
  • 8. 8YVG Consulting Робота ІБ та Звіт Як і будь-який складний інструмент ISO 27001 зрозумілий виконавцям, але людям не в темі важко його зрозуміти і адекватно оцінити його використання. Тому існує великий розрив між щоденною роботою Відділу ІБ і результатами роботи Керівництвом. Є багато статей та книжок щодо підходів в оцінці ефективності роботи Служб ІБ, але я пропоную простий підхід, який буде працювати в реаліях українського бізнесу – Звіт Керівництву.
  • 9. 9YVG Consulting Робота ІБ та Звіт Відділ ІБ має проводити роботу по всім напрямкам, які визначені в ISO 27001, але якщо ми спробуємо поставити відповідність між Очікуваннями Керівництва та Структурою ISO 27001 то побачимо, що відповідності є нерівними. Очікування ISO 27001 Аби не було проблем • Весь ISO 27001 Якщо є проблема, знайти винуватого • Управління активами • Управління доступом • Управління інцидентами ІБ • Питання ІБ щодо персоналу Контролювати ІТ • Політики ІБ • Прийом, розробка і підтримка систем • Відповідність Моніторити співробітників • Відповідність Озвучувати ризики • Відповідність • Безперервність бізнесу • Управління інцидентами ІБ
  • 10. 10YVG Consulting Робота ІБ та Звіт Отже ми маємо подати інформацію в звіті, яка цікава Керівництву, але й показати всю роботу, яку ми виконуємо. Формат Звіту Керівництву потрібно визначати в залежності від прийнятих в компанії підходів. Якщо всі подають свої звіти ТОП Менеджменту у вигляді Службових Записок, варто дотриматись такого ж підходу. Якщо Керівництво більш схильне до прийняття інформації у вигляді Презентацій Powerpoint – варто дотриматись цього формату. Формат подачі дуже важливий, так як якщо ви подасте інформацію у незручному чи незвичному форматі Отримувачу, інформація може бути сприйнята невірно, або навіть несприйнята взагалі, і вся ваша робота за місяць (або й рік) не буде оцінена достойно.
  • 11. 11YVG Consulting Робота ІБ та Звіт З форматом визначились, переходимо до структури. На початку подаємо ту інформацію, яка релевантна відповідно до Очікувань Керівництва. Очікування Інформація Аби не було проблем • Кількість оброблених заявок Сервіс-деска • Кількість інцидентів • Кількість проведених розслідувань • Перелік виконаних проектівзадач за поточний місяць Якщо є проблема, знайти винуватого Контролювати ІТ • Кількість Заявок поданих Відділом ІБ для впорядкування відхилень в ІТ системахпроцесах • Кількість оброблених ТЗ • Кількість проаналізованих договорів з підрядниками відносно ІТ • Кількість проведених Аудитів ІТ систем чи ІТ процесів Моніторити співробітників • Кількісні результати роботи системи моніторингуSOC • Виконані задачі відносно системи моніторингуSOC Озвучувати ризики • Кількість проведених оглядів приміщень • Результати проведених Аудитів • Результати аналізу договорів з підрядниками • Результати аналізу ТЗ
  • 12. 12YVG Consulting Робота ІБ та Звіт Після основної інформації, яка найбільше цікава Керівництву варто описати і іншу роботу, яку виконує Відділ ІБ. Це може бути: 1. Результати роботи з Інформаційними активами 2. Кількість змінених внутрішніх документів (ПолітикСтандартівІнструкцій) 3. Кількість проведених презентаційнавчань для співробітників стосовно ІБ 4. Результати роботи Антивірусу 5. Результати роботи Анти-DDOS системи 6. Результати роботи Анти-СПАМ фільтру 7. Результати роботи сканеру по виявленню вразливостей всередині мережі 8. Результати роботи сканеру по виявленню вразливостей зовшнішніх серверів 9. Перелік поточних проектівзадач, в яких приймають участь співробітники Відділу ІБ.
  • 13. 13YVG Consulting Робота ІБ та Звіт Ми подали тільки основні ідеї щодо структури Звіту, який може готувати Відділ ІБ по результатам своєї роботи. Звісно, різні організації знаходяться на різних етапах розвитку, у різних компаній звіти будуть різнитись. На додачу до описаної інформації можна додавати у звіт Графіки, Таблиці, порівняльну аналітику з минулим періодом, аналітикою стану ІБ відносно того ж періоду минулого року і т.п. Головне, аби тяжка та кропітка робота ІБ не залишалась не поміченою та неоціненою Керівництвом.