5 августа, 2014, BIS Journal №3(14)/2014

Стратегическое планирование – основа эффективного управления ИБ


Кузнецов Владимир

заместитель руководителя практики аудита и консалтинга («Астерос Информационная безопасность»)

Шорина Любовь

консультант практики аудита и консалтинга («Астерос Информационная безопасность»)

Совершенствование корпоративной системы обеспечения ИБ значительно повышает эффективность её деятельности

В настоящее время, в условиях замедления роста экономики и финансового сектора, многие банки вынуждены актуализировать стратегии развития основных и вспомогательных направлений своего бизнеса. Стоит заметить, что в них обозначены такие аспекты как развитие информационных технологий, управление рисками, оптимизация расходов, совершенствование корпоративной системы управления и многое другое, однако, как правило, отсутствует упоминание о деятельности в области обеспечения информационной безопасности банка.

 

КОРЕНЬ ПРОБЛЕМ

Прежде всего это связано с тем, что высшее руководство финансовых организаций зачастую не уделяет должного внимания данному виду деятельности, поскольку не осознает важности обеспечения информационной безопасности (ИБ) для успешного ведения и развития бизнеса.

В то же время инициативы службы ИБ, направленные на развитие и повышение эффективности обеспечения ИБ банка, часто не содержат результаты оценки их значимости для достижения целей бизнеса и возврата инвестиций (ROI). В результате большинство предложений по развитию и повышению эффективности обеспечения ИБ не находят должной поддержки и блокируются топ-менеджментом на этапе выделения ресурсов.

Данную тенденцию подтверждает статистика – согласно результатам всемирного исследования в области ИБ финансовых организаций, проведенного компанией PricewaterhouseСoopers, недостаточная поддержка и финансирование деятельности по обеспечению ИБ со стороны высшего руководства компании, недостаточное понимание взаимосвязи ИБ и бизнеса, отсутствие или неэффективность стратегии ИБ, по мнению респондентов, являются основными препятствиями для повышения эффективности обеспечения ИБ в финансовых организациях (Илл. 1).

ИЛЛЮСТРАЦИЯ 1. Основные препятствия для повышения эффективности обеспечения ИБ в финансовых организациях.
Источник: PwC 2013 Financial Services.Key findings from The Global State of Information Security Survey, 2014

ПУТИ ВЫХОДА: РАЗРАБОТКА СТРАТЕГИИ ИБ

На наш взгляд, наиболее эффективным решением перечисленных выше проблем является стратегическое планирование деятельности по обеспечению ИБ, а именно – разработка и утверждение стратегии ИБ и плана по её реализации.

Основная цель стратегии ИБ – определить, что и каким образом должно быть сделано в области обеспечения ИБ для реализации бизнес-стратегии банка. Стратегия должна определять цели, задачи и стратегические инициативы, обоснование экономической целесообразности их внедрения, ключевые показатели достижения целей, позволяющие контролировать реализацию предложенных инициатив и эффективность стратегии ИБ в целом. Затем должен быть разработан план («дорожная карта») реализации предлагаемых инициатив с указанием ответственных лиц, состава проектов, последовательности реализации проектов, сроков и их стоимости.

Накопленный опыт позволил нам выработать собственный подход к разработке стратегии ИБ, сочетающий преимущества известных методологий стратегического планирования, управления и обеспечения ИБ.

ACTION PLAN

Условно, в рамках стратегического планирования в области обеспечения ИБ банка, мы выделяем следующие этапы.

1. Сбор исходных данных для разработки стратегии ИБ:

  • определение всех заинтересованных сторон, формирование рабочей группы;
  • анализ принятых/разрабатываемых в банке стратегий
  • с точки зрения их влияния на развитие ИБ: бизнеса, ИТ, управления рисками и другие;
  • • сбор и анализ информации о существующих потребностях в обеспечении ИБ;
  • сбор и анализ информации о текущем состоянии обеспечения ИБ банка на основе результатов оценки соответствия обеспечения ИБ банка требованиям законодательства и регуляторов, лучшим практикам, а также по итогам внутренних и внешних аудитов ИБ;
  • выявление и анализ факторов внутренней и внешней среды банка, оказывающих влияние на обеспечение ИБ банка, например, SWOT-анализ;
  • проведение BIA-анализа и оценки рисков ИБ.

2. Разработка стратегии ИБ:

  • формирование стратегических целей обеспечения ИБ (Илл. 2);
  • определение стратегических задач и инициатив по обеспечению ИБ для перехода из текущего состояния в целевое и соответствующих им показателей;
  • выявление получаемых выгод от реализации стратегических инициатив;
  • согласование стратегии ИБ со всеми заинтересованными сторонами и утверждение руководством банка.

ИЛЛЮСТРАЦИЯ 2. Пример карты стратегических целей обеспечения ИБ.
Источник: «Астерос Информационная безопасность», 2014

3. Разработка плана реализации стратегии ИБ:

  • формирование портфеля проектов ИБ;
  • оценка проектов ИБ и их приоритезация;
  • разработка «дорожной карты» поэтапной реализации стратегии ИБ;
  • разработка агрегированной оценки ежегодных инвестиций в ИБ.

СЕКРЕТ УСПЕХА

Секрет успеха разработки эффективной стратегии ИБ, на наш взгляд, заключается в применении интегрированного подхода, при котором учитываются стратегические инициативы банка, потребности бизнеса, а также выявленные по результатам анализа направления совершенствования обеспечения ИБ. Это позволяет гарантировать согласованность целей, задач, требований бизнеса и ИБ банка, повысить эффективность принимаемых решений и получить одобрение и поддержку разрабатываемых планов обеспечения ИБ со стороны руководства банка (Илл. 3).

ИЛЛЮСТРАЦИЯ 3. Стратегия ИБ обеспечивает согласованность ИБ и бизнеса. Источник: «Астерос Информационная безопасность», 2014

Важно учесть, что стратегия ИБ должна быть сформулирована в терминах, понятных топ-менеджменту банка и остальным заинтересованным сторонам.

НА ПРАКТИКЕ

Разработка стратегии является сложной задачей, которая требует немалых временных затрат и привлечения аналитиков, обладающих знаниями и навыками во многих областях обеспечения ИБ, ИТ, управления рисками и др. Поэтому привлечение к разработке стратегии ИБ сторонних консультантов – распространенная практика, позволяющая  снять со службы ИБ ряд наиболее трудоемких задач.

Предлагаемый нашими специалистами подход к разработке стратегии прошел проверку в ряде компаний и показал свою эффективность в решении стоящих перед ними задач в области ИБ. Так, в одном из крупных банков выполнен проект по разработке и реализации стратегии совершенствования обеспечения ИБ. Реализация проекта позволила банку расширить подразделение ИБ, создать корпоративную систему управления ИБ, базирующуюся на подходе управления рисками ИБ и охватывающую головной офис и более 40 филиалов банка. Также удалось реализовать ряд проектов по совершенствованию корпоративной системы обеспечения ИБ банка, что дало возможность значительно повысить эффективность и зрелость деятельности по обеспечению ИБ.

 

 

Смотрите также

Подпишись на новости!
Подписаться