Не ищи себе другое

В условиях современного мира безопасность является одним из основополагающих факторов развития бизнеса. Это не требует лишних слов! Темой размышлений здесь может быть только размер инвестиций, которые бизнес готов вложить в построение и поддержание эффективной системы безопасности, гарантирующей защиту от возможных инцидентов.

Данный вопрос не имеет простого решения — ведь для выбора правильной стратегии по защите бизнеса необходимо провести детальный анализ, уточнить цели и выбрать правильный подход для их достижения. Как правило, наиболее оптимальным подходом для средних и крупных компаний будет поэтапное внедрение системы безопасности: начав с защиты наиболее критичных активов, постепенно расширять область, включая менее приоритетные. Большие дела начинаются с малого, и чтобы получить гарантию того, что система безопасности будет развиваться в правильном направлении и достигнет требуемого уровня зрелости к определенному сроку, необходимо уделить особое внимание самим процессам, призванным защищать компанию. Такими процессами являются управление инцидентами, рисками, управление непрерывностью, управление доступом, контроль изменений и многие другие. Если компания уделяет достаточно внимания правильности исполнения таких процессов, то проект по построению системы безопасности практически обречен на успех.

Чтобы обеспечить правильность исполнения этих процессов ими нужно управлять. Управление заключается в планировании, мониторинге, оценке эффективности, адекватной поддержке и модификациях, если такая потребность возникает. В этой деятельности очень важным моментом является взаимодействие людей, которое заключается в сборе, обработке, анализе информации, а также ее обмене с исполнителями процессов и другими заинтересованными лицами. Это занимает наибольшую часть деятельности по управлению процессами.

Для средних (и особенно крупных компаний) даже при изначально малой области внедрения системы безопасности это представляет собой уже немалый объем работ: встречи, интервью, запись полученной информации, анализ данных, выработка стратегий и корректирующих мер, разработка планов, контроль деятельности и управление задачами по внедрению систем и процессов безопасности. Большой объем работ в этой области всегда определяет и большой объем информации.

Здесь возникает вопрос: как обеспечить эффективную работу с большим объемом информации?

Безусловно, ответственные сотрудники должны обучаться эффективным техникам анализа, акцентировать свое внимание на изучении и использовании лучших практик по управлению процессами. Здесь очевидным видится также такое решение: автоматизация процессов сбора, анализа и взаимодействия, создание общего информационного поля для всех участников процессов.

Для реализации последнего решения необходимо использовать (а перед этим — создать) специальную информационную систему, которая:

  • обеспечит обмен информацией с пользователями такой системы;
  • автоматизирует работу с информацией.

Информационная система сама по себе — это не панацея! Основную работу (сбор, анализ, принятие решений) делает человек, при условии, что у него есть правильный инструмент, и его время не занято длительными поисками необходимых данных, их копированием из одного приложения в другое и т.п.

У человека, оснащенного специализированной системой, есть доступ к общему информационному полю, которое содержит в себе всю нужную информацию и позволяет эффективно взаимодействовать с другими сотрудниками. В таком контексте Excel-таблички и Word-документы не кажутся приемлемым вариантом.

При выборе нужной информационной системы всегда возникает необходимость принятия следующего решения: какую систему лучше всего выбрать для гарантированного достижения поставленных целей? В данном случае цель — эффективное управление процессами информационной безопасности.

Обычно есть такие варианты:

  1. Найти и использовать доступную бесплатную систему

    Такие системы существуют, но есть определенные недостатки: ограниченный функционал, негарантированная надежность, ошибки исполнения и пр. В дальнейшем также появляется необходимость помощи программистов для интеграции с другими информационными системами, которые уже внедрены в компании.

  2. Разработать такую систему с нуля самому

    Для этого нужны свои квалифицированные архитекторы, программисты, инженеры, специалисты в прикладной области — в информационной безопасности. В этом случае часто бывает выгодно привлечь другую компанию, которая имеет нужные компетенции и специализируется на разработке бизнес-приложений. Конечно, это требует дополнительных инвестиций. Но такой выбор также может быть оправдан.

  3. Использовать систему, которая уже есть в производстве

    Это известный подход, основанный на принципе «используй то, что под рукою и не ищи себе другое», который не требует дополнительных инвестиций на приобретение системы. Обычно используемая система не полностью загружена. А значит, есть возможность повысить утилизацию уже оплаченных ресурсов. В обратном случае, когда система загружена, она может быть масштабирована до необходимых мощностей, что дешевле закупки новых систем. Такой подход позволяет достичь более высокого уровня интеграции с уже существующими процессами, автоматизированными в этой системе, при меньших инвестициях.

  4. Купить готовую систему

    Такой подход решает задачу, но обычно это самое дорогое решение. Готовые для внедрения системы обсуждаемого класса длительное время разрабатываются зарубежными разработчиками и имеют богатый разнообразный функционал. Это означает, что стоимость таких систем не может быть маленькой. Для очень крупных зарубежных компаний, которые работают с процессами безопасности уже не первый десяток лет, широкая функциональность — это основной критерий, поэтому они и являются основными заказчиками таких систем. Но компаниям российского и украинского рынка, которые только начали внедрять свою систему безопасности, как правило, нужен только самый минимальный набор необходимых функций, которые реально будут задействованы с пользой. На рынке СНГ большая стоимость таких систем, имеющих избыточный функционал, который не будет использован покупателем в ближайшие 5 лет, делает такие серьезные инвестиции сомнительными.

На нашем рынке существует множество компаний с разными целями и возможностями, но очень часто для крупных и средних компаний наиболее экономически выгодным подходом является именно построение и полная утилизация своей собственной системы с последующим наращиванием ее функционала.

Александр Сологуб ,
специалист информационного отдела BLcons Group

Русский
8 (800) 350-81-96