Руководитель отдела аудита и консалтинга департамента систем безопасности BSS Валерий Степанов в ходе своего выступления на ХХ Международной конференции iFin-2020 рассказал, как повысить зрелость своих процессов, как это связано с цифровой трансформацией и информационной безопасностью (ИБ).
«Для того, чтобы не возникало никаких инцидентов, связанных с ИБ мы должны всегда иметь четко выстроенные, структурированные процессы. Есть такое понятие как «зрелость процессов». По сути это оценка того, насколько процесс готов обеспечивать безопасность любых задач, будь то рутинные или же стратегические. Для того, чтобы оценить насколько ваш процесс зрелый существуют разные методологии», – сказал Валерий Степанов.
Несмотря на то, что все эти методологии очень разные, общее у них то, что большинство выделяет пять уровней. На первом уровне у процесса нет регламента и он выполняется кое-как. А вот уже на пятом процесс строго формализован, выполняется, управляется, существует программное обеспечение (ПО), которое способствует выполнению данного процесса, есть определенные метрики, KTI, а также есть планы развития для данного процесса.
«Вы спросите: как же повысить зрелость процессов? – обратился к аудитории Валерий Степанов. – Здесь мы выделяем комплексный подход, чтобы повысить зрелость ваших процессов. Этот подход состоит из двух блоков. Во-первых, это аудит ключевых процессов. Во-вторых, это тестирование на проникновение. По сути это два отдельных проекта. Но в совокупности они дают вам очень хорошее понимание того, насколько хорошо вы защищены».
Далее он пояснил, что аудит ключевых процессов дает понимание того, как должны быть выстроены процессы, а пентест дает техническое понимание, насколько уровень безопасности на данный конкретный момент времени готов противостоять угрозам изнутри и извне. По факту прохождения данных двух проектов компания будет иметь определенный перечень рекомендаций. Степанов отметил, что эти рекомендации ни в коем случае не противоречат друг другу, а взаимодополняют. При этом он сделал упор на том, что полученный перечень не просто чеклист, по которому необходимо пройти, что-то исправить, поставить галочки и сказать: «ага, мои процессы зрелые». «По сути эти рекомендации и являются тем самым road map, который вам нужен для того, чтобы успешно пройти цифровую трансформацию вашей компании», – добавил Валерий Степанов.
«Каждый день мы слышим: цифровая трансформация, цифровизация, диджитализация. Все этим занимаются. Но что это такое? Из чего состоит цифровая трансформация? Насколько этот вопрос действительно актуальный? – обратился к присутствующим Валерий Степанов. – По сути, цифровая трансформация — это переход от ручного труда к автоматизированному и автоматическому. Это не просто инвестиция в новые технологии, это серьезная и глубокая перестройка бизнеса».
Он отдельно подчеркнул, что цифровая трансформация крайне важна. Она позволяет всем компаниям выйти на абсолютно новый уровень в своем развитии. «Но здесь очень важно не забывать про ИБ, поскольку ИБ является связующим звеном между IT-технологиями и бизнес-процессами компании. То, насколько быстро будут работать в этой связке процессы, связанные с ИБ, это то, насколько быстро вы можете масштабировать ваш бизнес и то, насколько быстро вы можете получать новые деньги, новую прибыль. ИБ – это не история про хакеров, это история про то, чтобы способствовать вашему развитию. ИБ – ваш друг», – заключил Валерий Степанов.
.jpg)
.jpg)
.gif)