Журнал "Information Security/ Информационная безопасность" #3, 2019

l наиболее низкий показатель TCO (снижение затрат на содер- жание проекта системы защиты); l увеличение ROI (процента возврата финансовых вложений в проект), но здесь есть нюанс: прямого влияния на рост дохо- дов система информационной безопасности не имеет. Поэто- му, как правило, этот показа- тель можно использовать в дополнение к разработанной системе оценок, не ожидая бешеного роста после инвести- ций в сферу информационной защищенности; l снижение окупаемости – как можно меньший период, жела- тельно не больше года, т.к. это позволит обосновать вложения в рамках годового бюджета. Определяются также ключе- вые KPI, по которым будет про- изводиться мониторинг реали- зации проектов портфеля. Следующим шагом будет выбор ПО для управления порт- фелем проектов и оперативного контроля внедряемых измене- ний и сбор реестра проектов, уже имеющихся в подразделе- нии и планируемых к реализа- ции. Проекты фильтруются на основании критериев и целей компании, и вырабатываются short-list изменений на кратко- срочную перспективу и бэклог проектов, следующих за ним в порядке очереди. Список утверждается коман- дой, управляющей портфелем. Затем на регулярной основе производится оперативный контроль по ходу реализации портфеля: происходит актуали- зация проектов, перераспреде- ление ресурсов и возможный вывод срочных и важных про- ектов. И здесь, в части распределе- ния ресурсов, можно натолк- нуться на следующую ошибку: зачастую безопасность начина- ет применять исключительно собственные ресурсы для реа- лизации проектов, хотя иногда отдать некоторые работы на аутсорс бывает эффективнее и дешевле. Поэтому хочется призвать коллег, которые вовлечены в управление портфелем, расши- рять границы собственного видения проектов и способов их воплощения в жизнь. Какие тенденции на рынке можно увидеть сегодня? Прошли нулевые, начались десятые, и после 15-го года наметилась тенденция исполь- зования аутсорсинга в сфере информационной безопасности. Ранее этого не наблюдалось, так как почти все владельцы бизнеса считали, что ИБ только внутренняя задача и "снаружи" ее не стоит решать, т.к. вопрос слишком интимный. Но рынок растет, и потребности меняются. И что же мы видим? Большое количество компаний начинает делегировать задачи по Cyber Security и ИБ внешнему контр- агенту. Причина такого делеги- рования лежит на поверхности: сейчас портфель проектов информационной безопасности содержит задачи не только из области, обслуживающей инте- ресы бизнеса, но и вопросы уве- личения доходности компании. Зачастую внутренними ресурсами перекрываются задачи нелинейные, и стои- мость их внешнего решения будет дороже использования внутреннего специалиста, а на аутсорсинг выносятся следую- щие вопросы: l администрирование СОИБ; l анализ данных из СОИБ; l форензика. Внешняя обработка, как мно- гие знают, позволяет экономить бизнесу на затратах ФОТ и дает возможность гибко масштаби- роваться при увеличении задач бизнеса. Внутренние ресурсы отвечают за стратегию и менеджмент вопросов, важных для бизнеса, и правильность управления этим портфелем будет уже зависеть не от классического подхода – владения большим штатом технических специали- стов и аналитиков, а от пра- вильного управления ресурсами на аутсорсинге и подбора в штат тех специалистов, которые будут решать вопросы по архи- тектуре и менеджменту внеш- него контрагента. Что важно отметить в тен- денциях: l в безопасности начинают управлять портфелем проектов, а не раздувать штат; l внешнее обслуживание вопросов информационной без- опасности позволяет оператив- но решать вопросы с большей эффективностью; l CISO теперь полноценный сотрудник компании, так как решает вопросы увеличения доходов бизнеса, используя свои механизмы; l время и средства – то, чем управляет современный CISO, а не сильно раздутым штатом, как ранее; l коммуникации – то, что выхо- дит на первый план у CISO: обще- ние с коллегами не языком силы, а языком взаимопомощи. l • 41 УПРАВЛЕНИЕ www.itsec.ru Чем интересны механизмы и инструменты автоматизации процессов? На мой взгляд, нали- чием простых и понятных алго- ритмов решения конкретной задачи за выделенный период времени. Таких частных приме- ров довольно много: частная автоматизация анализа защи- щенности, сбор данных о собы- тиях/состоянии процессов, эму- ляция определенных векторов атак (фишинг), автоматизация аудита ИБ. С другой стороны, если такие "лоскуты" (с их создателями) плотно вплетаются в общую систему и начинают превалиро- вать, то вся простота испаряется. Чем больше связей между ком- понентами, чем более они спе- цифичны и "подстроены", тем больших трудозатрат и компетенций требует такая система. Причем не только система в техническом про- чтении, но и система управления процессами: посто- янный циклический анализ и тестирование связей, формирование образа необходимых изменений может дать нужный результат на ограниченный период вре- мени. Одна из понятных иллюстраций – управление портфелем проектов. Основное искусство здесь в том, чтобы привнести элемент Data Driven: выходные данные одного проекта (вполне возможно, не являющиеся целью, сопутствующие) должны использоваться мак- симально эффективным образом в рамках других задач. Отдельное внимание стоит уделить формирова- нию гибкой системы приоритизации проектов, связанной со стратегией компании и учитывающей возможность изменения фокусных точек без серьезных последствий для результатов проектов. Про человеческую состав- ляющую говорить не буду, очевидно, что именно сфера управления требует от функционера внутри сложно- сочиненную комбинацию качеств, как личностных, так и профессиональных. l Лев Палей, начальник отдела ИТ- обеспечения защиты информации, АО “СО ЕЭС” Колонка редактора Ваше мнение и вопросы присылайте по адресу is@groteck.ru Профессиональный руководитель, который формирует слаженную команду, получает фору при достижении целей при прочих равных условиях, т.к. зачастую коммуникации в команде являются тем самым "бутылочным горлышком", которое тормозит достижение поставленных целей и в целом снижает производительность подразделения.