BIS Journal №1(28)/2018

11 апреля, 2018

Как повысить?

«Осведомлённость повышать надо, кто ж спорит… Но «кем» это делать?» - мало что может скрасить безрадостные раздумья ИБ-руководителя над этим вопросом. В его ИБ-подразделении 2,5 человека, одновременно и непрерывно занимающиеся всем спектром ИБ-вопросов. А сунься к руководству с предложением закупить необходимые услуги «на стороне» – тут надо быть очень готовым к встречному вопросу «а ты на что?».

Предмет этой главы – можно ли повысить осведомлённость персонала в области информационной безопасности «собственными руками»? Или надо непременно звать платных консультантов, которые уверяют, что всё сделают лучше и за вас?

Не будем ходить вокруг да около: осведомлять персонал своими силами, разумеется, можно и, более того, нужно. А в некоторых организациях, где понимающий полезность повышения «безопасник» не находит должной поддержки, это вообще единственный путь хоть как-то минимизировать «человеческий фактор» при обеспечении ИБ.

ТРУДНОСТИ

Однако, если вы задумали действительно решать задачу повышения культуры обеспечения информационной безопасности персоналом (не для «галочки» или прохождения ближайшей проверки), надо быть готовым к тому, что дело это непростое. Потому что надо будет:

Самому хорошо понимать что и как делать, знать методологию выполнения проектов по повышению осведомлённости и чужой опыт их реализации.

Не только потому, что многое вам придётся делать самому, но ещё и потому, что в данном случае вам очень пригодится «тактика быстрых побед» - пока вам дают что-то делать, нужно быстро показать, что вы делаете это эффективно и позитивный результат налицо. В противном случае вполне возможно, что первая ошибка станет последней: ваше самоотвлечение от «стандартных» активностей «безопасника» будет быстро признано нецелесообразным.

Быть хорошим «маркетологом» проекта по повышению осведомлённости персонала.

Проекты по повышению – это проекты масштаба всей организации, вам не сделать их в одиночку, а потому будут нужны авторитетные коллеги-руководители, с пониманием относящиеся к вашим усилиям, и если не помогающие, то хотя бы не мешающие.

Быть ещё и хорошим руководителем проекта: иметь достаточный для реализации проекта объём ресурсов и правильно спланировать работы для достижения нужных результатов.

В данном случае вам придётся не только руководить, но и многое делать самому. При этом ответственность за результат остаётся на вас. Поэтому, с одной стороны, важно, чтобы ваших ресурсов (рук, времени, средств) хватило для реализации комплекса мер по повышению, а по итогам реализации проекта получился значимый с точки зрения бизнеса результат (как мы помним по предыдущим статьям, повышение должно быть многоканальным, поголовным и адаптированным под условия проведения; если вы сделаете презентацию с наспех сформулированными тезисами и надёрганными из интернета картинками и выложите её на интранет-портал с просьбой «всем прочитать» – эффективность такого повышения будет нулевой). Не исключено, что вам придётся доказывать руководству, что вы не зря потратили время и силы (причём, и сотрудников других подразделений), и ваши аргументы должны быть убедительными.

ВЫГОДЫ

Самостоятельно реализовывать меры по повышению осведомлённости в некоторых аспектах даже более выгодно и продуктивно, нежели в сотрудничестве с подрядчиком:

Не придётся тратить силы и время на объяснение подрядчику текущих условий реализации проекта, специфики функционирования вашей организации, идей и требований к результатам проекта. Далеко не каждый подрядчик способен делать не так, как ему удобнее, а так, как нужно именно в ваших конкретных условиях.
Вы не так «зажаты» проектными рамками и можете реализовывать меры по повышению практически в удобных вам манере и темпе. Однако, здесь есть опасность настолько растянуть повышение осведомлённости во времени, что его эффект будет близок к нулю.

С другой стороны, как известно, некоторые вещи лучше делать чужими руками. Проекты повышения осведомлённости имеют выраженную организационную составляющую – если вы не обладаете в организации достаточным политическим весом, не уверены в успехе и не готовы отстаивать проект и его результаты перед руководством и иными подразделениями, возможно, будет проще поручить реализацию проекта методологически «подкованному» подрядчику с профильным опытом.

И ДЕШЕВЛЕ?

Здесь мы умышленно не относим к выгодам «дешевле», ибо считаем, что дешевизна повышения собственными силами по сравнению с привлечением подрядчика:

Во-первых, неочевидна, учитывая совокупные прямые и косвенные затраты организации: внутренние ресурсы не являются бесплатными, а их отвлечение на повышение в ущерб другим, подчас не менее приоритетным задачам, может повлечь потери, многократно превышающие затраты на проект повышения и эффект от него;
Во-вторых, для проектов по повышению осведомлённости работает правило «дёшево не значит хорошо (эффективно)»: эффективное повышение осведомлённости предполагает создание комплексной программы, включающей организационно-методологическую (ОРД и методики), техническую (учебные материалы сразу по нескольким актуальным темам в различных форматах, что требует приличного количества ресурсов) и человеческую (собственно работа с персоналом) составляющие, в достаточно сжатые сроки (в среднем 3-6 месяцев). Это может быть затратно, но только в этом случае эффект будет максимальным. Повышая осведомлённость только лишь своими силами, вам вряд ли удастся сконцентрировать за короткое время много ресурсов, и проект может выродиться в вялотекущую активность с относительно низкой эффективностью. Правда, подчеркнём, и это лучше, чем ничего.

Резюмируя, повышение осведомлённости персонала в области информационной безопасности своими силами – вполне жизнеспособный вариант, если вы хорошо представляете его плюсы и минусы и готовы к интенсивной работе с некоторыми трудностями. Особенно учитывая перманентную ограниченность бюджета и сложности выбора подходящего подрядчика – рынок профессиональных консультационных услуг по повышению осведомлённости персонала в области информационной безопасности в России пока сложно назвать зрелым. Потому крайне трудно найти партнёра, который может не просто «на заказ рисовать картинки», а способен методологически правильно реализовать комплексный и законченный проект, адаптировав его результаты под специфику заказчика и в итоге измеримо изменив к лучшему ситуацию с обеспечением безопасности персоналом.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

02.12.2022
«Банк России выступает за запрет допуска криптовалют в регулируемую финансовую систему»
02.12.2022
В реестре российского ПО зарегистрирован новый программный продукт DosGate, защищающий ИТ-инфраструктуру компаний от DDoS-атак
02.12.2022
Корпоративные данные «Билайн» оказались в открытом доступе
02.12.2022
«… более устойчива и не подвержена внешним конъюнктурам с точки зрения обслуживания»
02.12.2022
«Из-за опасения попасть под санкции». Киргизия продолжает отказываться от «Мира»
01.12.2022
ЕЦБ: Биткоин нужно воспринимать как ничто
01.12.2022
Шифровальщик CryWiper атаковал системы российских госорганов
01.12.2022
Сервис LastPass снова попал под хак-атаку. Пароли клиентов целы
01.12.2022
«Это наиболее чувствительные данные для человека»
01.12.2022
Скамеры стали чаще звонить россиянам

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных