BIS Journal №3(14)/2014

5 августа, 2014

Стратегическое планирование – основа эффективного управления ИБ

В настоящее время, в условиях замедления роста экономики и финансового сектора, многие банки вынуждены актуализировать стратегии развития основных и вспомогательных направлений своего бизнеса. Стоит заметить, что в них обозначены такие аспекты как развитие информационных технологий, управление рисками, оптимизация расходов, совершенствование корпоративной системы управления и многое другое, однако, как правило, отсутствует упоминание о деятельности в области обеспечения информационной безопасности банка.

 

КОРЕНЬ ПРОБЛЕМ

Прежде всего это связано с тем, что высшее руководство финансовых организаций зачастую не уделяет должного внимания данному виду деятельности, поскольку не осознает важности обеспечения информационной безопасности (ИБ) для успешного ведения и развития бизнеса.

В то же время инициативы службы ИБ, направленные на развитие и повышение эффективности обеспечения ИБ банка, часто не содержат результаты оценки их значимости для достижения целей бизнеса и возврата инвестиций (ROI). В результате большинство предложений по развитию и повышению эффективности обеспечения ИБ не находят должной поддержки и блокируются топ-менеджментом на этапе выделения ресурсов.

Данную тенденцию подтверждает статистика – согласно результатам всемирного исследования в области ИБ финансовых организаций, проведенного компанией PricewaterhouseСoopers, недостаточная поддержка и финансирование деятельности по обеспечению ИБ со стороны высшего руководства компании, недостаточное понимание взаимосвязи ИБ и бизнеса, отсутствие или неэффективность стратегии ИБ, по мнению респондентов, являются основными препятствиями для повышения эффективности обеспечения ИБ в финансовых организациях (Илл. 1).

ИЛЛЮСТРАЦИЯ 1. Основные препятствия для повышения эффективности обеспечения ИБ в финансовых организациях.
Источник: PwC 2013 Financial Services.Key findings from The Global State of Information Security Survey, 2014

ПУТИ ВЫХОДА: РАЗРАБОТКА СТРАТЕГИИ ИБ

На наш взгляд, наиболее эффективным решением перечисленных выше проблем является стратегическое планирование деятельности по обеспечению ИБ, а именно – разработка и утверждение стратегии ИБ и плана по её реализации.

Основная цель стратегии ИБ – определить, что и каким образом должно быть сделано в области обеспечения ИБ для реализации бизнес-стратегии банка. Стратегия должна определять цели, задачи и стратегические инициативы, обоснование экономической целесообразности их внедрения, ключевые показатели достижения целей, позволяющие контролировать реализацию предложенных инициатив и эффективность стратегии ИБ в целом. Затем должен быть разработан план («дорожная карта») реализации предлагаемых инициатив с указанием ответственных лиц, состава проектов, последовательности реализации проектов, сроков и их стоимости.

Накопленный опыт позволил нам выработать собственный подход к разработке стратегии ИБ, сочетающий преимущества известных методологий стратегического планирования, управления и обеспечения ИБ.

ACTION PLAN

Условно, в рамках стратегического планирования в области обеспечения ИБ банка, мы выделяем следующие этапы.

1. Сбор исходных данных для разработки стратегии ИБ:

  • определение всех заинтересованных сторон, формирование рабочей группы;
  • анализ принятых/разрабатываемых в банке стратегий
  • с точки зрения их влияния на развитие ИБ: бизнеса, ИТ, управления рисками и другие;
  • • сбор и анализ информации о существующих потребностях в обеспечении ИБ;
  • сбор и анализ информации о текущем состоянии обеспечения ИБ банка на основе результатов оценки соответствия обеспечения ИБ банка требованиям законодательства и регуляторов, лучшим практикам, а также по итогам внутренних и внешних аудитов ИБ;
  • выявление и анализ факторов внутренней и внешней среды банка, оказывающих влияние на обеспечение ИБ банка, например, SWOT-анализ;
  • проведение BIA-анализа и оценки рисков ИБ.

2. Разработка стратегии ИБ:

  • формирование стратегических целей обеспечения ИБ (Илл. 2);
  • определение стратегических задач и инициатив по обеспечению ИБ для перехода из текущего состояния в целевое и соответствующих им показателей;
  • выявление получаемых выгод от реализации стратегических инициатив;
  • согласование стратегии ИБ со всеми заинтересованными сторонами и утверждение руководством банка.

ИЛЛЮСТРАЦИЯ 2. Пример карты стратегических целей обеспечения ИБ.
Источник: «Астерос Информационная безопасность», 2014

3. Разработка плана реализации стратегии ИБ:

  • формирование портфеля проектов ИБ;
  • оценка проектов ИБ и их приоритезация;
  • разработка «дорожной карты» поэтапной реализации стратегии ИБ;
  • разработка агрегированной оценки ежегодных инвестиций в ИБ.

СЕКРЕТ УСПЕХА

Секрет успеха разработки эффективной стратегии ИБ, на наш взгляд, заключается в применении интегрированного подхода, при котором учитываются стратегические инициативы банка, потребности бизнеса, а также выявленные по результатам анализа направления совершенствования обеспечения ИБ. Это позволяет гарантировать согласованность целей, задач, требований бизнеса и ИБ банка, повысить эффективность принимаемых решений и получить одобрение и поддержку разрабатываемых планов обеспечения ИБ со стороны руководства банка (Илл. 3).

ИЛЛЮСТРАЦИЯ 3. Стратегия ИБ обеспечивает согласованность ИБ и бизнеса. Источник: «Астерос Информационная безопасность», 2014

Важно учесть, что стратегия ИБ должна быть сформулирована в терминах, понятных топ-менеджменту банка и остальным заинтересованным сторонам.

НА ПРАКТИКЕ

Разработка стратегии является сложной задачей, которая требует немалых временных затрат и привлечения аналитиков, обладающих знаниями и навыками во многих областях обеспечения ИБ, ИТ, управления рисками и др. Поэтому привлечение к разработке стратегии ИБ сторонних консультантов – распространенная практика, позволяющая  снять со службы ИБ ряд наиболее трудоемких задач.

Предлагаемый нашими специалистами подход к разработке стратегии прошел проверку в ряде компаний и показал свою эффективность в решении стоящих перед ними задач в области ИБ. Так, в одном из крупных банков выполнен проект по разработке и реализации стратегии совершенствования обеспечения ИБ. Реализация проекта позволила банку расширить подразделение ИБ, создать корпоративную систему управления ИБ, базирующуюся на подходе управления рисками ИБ и охватывающую головной офис и более 40 филиалов банка. Также удалось реализовать ряд проектов по совершенствованию корпоративной системы обеспечения ИБ банка, что дало возможность значительно повысить эффективность и зрелость деятельности по обеспечению ИБ.

 

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

09.12.2024
Конференция «Сетевая безопасность». Эксперты — о трендах на рынке ИБ в 2024 году
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о самой конференции
09.12.2024
Конференция «Сетевая безопасность». Эксперты — об импортозамещении
09.12.2024
Конференция «Сетевая безопасность». Эксперты — о будущем
09.12.2024
Мошенники предлагают заявить на мошенников… и это тоже мошенничество
09.12.2024
У ВТБ появился свой «пэй». Сервис подключило уже 30 тысяч человек
06.12.2024
«Инфа с точностью до секунд». DLBI — о новом взломе БД «Почты России»
06.12.2024
На CX FinTech Day эксперты обсудили стратегии и технологии для улучшения клиентского опыта
06.12.2024
«Штурман» будет дружески подсматривать в экран пользователя
06.12.2024
«То, что госкомпании будут ориентированы на опытных игроков, скорее всего, пойдёт первым на пользу»

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных