В рубрику "В фокусе" | К списку рубрик | К списку авторов | К списку публикаций
Недостаточно лишь войти в состав руководителей. Надо еще доказать, что вы "в теме".
Необходимость интегрировать вопросы информационной безопасности в общую модель ведения бизнеса в компании -это идея, о которой мы постоянно слышим, но далеко не всегда видим ее реализацию на практике.
Все понимают, что для того чтобы обеспечить безопасность организации, должностные лица, отвечающие за обеспечение информационной безопасности в компании, должны быть включены в процесс принятия решений руководством. Тысячи статей описывают, как системные администраторы, начальники ИТ отделов и т.п. занимают места за столом переговоров бок о бок с топ-менеджерами компании, чтобы обсудить, как информационная безопасность может послужить общему делу. Эти статьи рисуют картину хороших отношений между всеми членами правления, но реальность гораздо менее радужна.
Когда ответственные за информационную безопасность получают высокие посты, главный исполнительный директор и менеджеры из его команды часто замечают, что многие инициативы по обеспечению безопасности требуют оперативных действий, а также финансовых вложений. Партнерство нередко проваливается. Причина, конечно, не в том, что поставленная задача не важна, а в недостатке хорошего маркетинга информационной безопасности и разобщении понятий "информационная безопасность" и "успешный бизнес".
Получается своего рода троянский конь: многие входят в совет директоров под видом тех, кем не являются - настоящих предпринимателей с глубоким пониманием самой сути процессов бизнеса. А ведь нахождение среди руководящего состава требует хорошего знания таких областей бизнеса, как экономика, финансы, маркетинг и т.п. Скотт Форд (Scott Ford), главный исполнительный директор компании Alltel, согласен с этой точкой зрения: "Руководитель без понимания финансов - это как защитник в футболе, который знает только половину правил."
Недостаточно просто войти в совет директоров: надо быть знающим и активным членом руководящего состава. Необходимо, учитывая значение, которое небезосновательно придается сегодня вопросам защиты информации, хорошо разбираться в этих вопросах, ориентироваться на рынке средств и систем защиты информации и вкладывать эти знания в развитие бизнеса. Именно такие качества приносят успех руководителю.
Хорошая возможность получить необходимые знания в этих областях - обычная программа MBA в любом аккредитованном учебном учреждении. Хотя руководителю, отвечающему за вопросы безопасности, необязательно иметь диплом MBA, прохождение такой программы является дополнительным плюсом. Дисциплины, изучаемые участниками данной программы, дают студентам фундаментальные знания, позволяющие хорошо ориентироваться и принимать правильные решения в процессе ведения бизнеса. В число основных предметов входят маркетинг, бухгалтерский учет, поведение сотрудника в организации, финансы, управление производством, экономика, этика и юриспруденция, деловая стратегия. Дополнительные дисциплины, такие, как международный бизнес, деловое законодательство и информационные технологии, также очень важны.
Пока инициативы по обеспечению безопасности бизнеса будут представляться руководству компании только в контексте бизнес-концепций, они останутся на том уровне, который требуется нормами законодательства. Успешный игрок на рынке информационной безопасности должен хорошо разбираться в концепциях бизнеса, в цепочке процессов, ведущих к успеху компании, и понимать, какую роль в этих процессах играет безопасность информации.
Пришло время начать борьбу с этой проблемой, используя глубокие знания бизнес-процессов компании, и отказаться от троянских коней.
По материалам Information Security Magazine
Опубликовано: Журнал "Information Security/ Информационная безопасность" #3+4, 2006