Руководитель отдела аудита и консалтинга департамента систем безопасности BSS Валерий Степанов в ходе своего выступления на ХХ Международной конференции iFin-2020 рассказал, как повысить зрелость своих процессов, как это связано с цифровой трансформацией и информационной безопасностью (ИБ). 

«Для того, чтобы не возникало никаких инцидентов, связанных с ИБ мы должны всегда иметь четко выстроенные, структурированные процессы. Есть такое понятие как «зрелость процессов». По сути это оценка того, насколько процесс готов обеспечивать безопасность любых задач, будь то рутинные или же стратегические. Для того, чтобы оценить насколько ваш процесс зрелый существуют разные методологии», – сказал Валерий Степанов. 

Несмотря на то, что все эти методологии очень разные, общее у них то, что большинство выделяет пять уровней. На первом уровне у процесса нет регламента и он выполняется кое-как. А вот уже на пятом процесс строго формализован, выполняется, управляется, существует программное обеспечение (ПО), которое способствует выполнению данного процесса, есть определенные метрики, KTI, а также есть планы развития для данного процесса. 

«Вы спросите: как же повысить зрелость процессов? – обратился к аудитории Валерий Степанов. – Здесь мы выделяем комплексный подход, чтобы повысить зрелость ваших процессов. Этот подход состоит из двух блоков. Во-первых, это аудит ключевых процессов. Во-вторых, это тестирование на проникновение. По сути это два отдельных проекта. Но в совокупности они дают вам очень хорошее понимание того, насколько хорошо вы защищены». 

Далее он пояснил, что аудит ключевых процессов дает понимание того, как должны быть выстроены процессы, а пентест дает техническое понимание, насколько уровень безопасности на данный конкретный момент времени готов противостоять угрозам изнутри и извне. По факту прохождения данных двух проектов компания будет иметь определенный перечень рекомендаций. Степанов отметил, что эти рекомендации ни в коем случае не противоречат друг другу, а взаимодополняют. При этом он сделал упор на том, что полученный перечень не просто чеклист, по которому необходимо пройти, что-то исправить, поставить галочки и сказать: «ага, мои процессы зрелые». «По сути эти рекомендации и являются тем самым road map, который вам нужен для того, чтобы успешно пройти цифровую трансформацию вашей компании», – добавил Валерий Степанов. 

«Каждый день мы слышим: цифровая трансформация, цифровизация, диджитализация. Все этим занимаются. Но что это такое? Из чего состоит цифровая трансформация? Насколько этот вопрос действительно актуальный? – обратился к присутствующим Валерий Степанов. – По сути, цифровая трансформация — это переход от ручного труда к автоматизированному и автоматическому. Это не просто инвестиция в новые технологии, это серьезная и глубокая перестройка бизнеса». 

Он отдельно подчеркнул, что цифровая трансформация крайне важна. Она позволяет всем компаниям выйти на абсолютно новый уровень в своем развитии. «Но здесь очень важно не забывать про ИБ, поскольку ИБ является связующим звеном между IT-технологиями и бизнес-процессами компании. То, насколько быстро будут работать в этой связке процессы, связанные с ИБ, это то, насколько быстро вы можете масштабировать ваш бизнес и то, насколько быстро вы можете получать новые деньги, новую прибыль. ИБ – это не история про хакеров, это история про то, чтобы способствовать вашему развитию. ИБ – ваш друг», – заключил Валерий Степанов.

20 февраля, 2020

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

01.12.2023
Из магазинов ПО продолжают пропадать приложения российских банков
01.12.2023
RePlay теперь позволяет создавать рекомендательные end-to-end-системы
01.12.2023
Контроль индикаторов — важный этап мониторинга атак на подрядчиков
01.12.2023
«Сегодня ломают всех, даже компании в области безопасности»
01.12.2023
Банкиры заплатят 1% капитала за SMS-коды и «пуши»?
30.11.2023
Эволюция кибератак, угроз и инцидентов неразрывно связана с геополитикой
30.11.2023
Тренд сменился: злоумышленники аккумулируют информацию для последующего использования
30.11.2023
Злоумышленники активно проникают в инфраструктуру заказчиков через подрядчиков
30.11.2023
Лукацкий: Мониторинг атак на подрядчиков — тема непростая и многосторонняя
30.11.2023
Компрометация систем удалённого управления при использовании услуг внешнего провайдера

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных