Всем добра!
В четверг, 16 февраля, поделился своим vision по теме информационной безопасности на площадке Национального объединения специалистов по безопасности бизнеса (в девичестве российское отделение ACFE). Все это в рамках 6-ой ежегодной онлайн-конференции «Информационная безопасность: взгляд изнутри компании». Кстати, тематика конференции выходила далеко за рамки обозначенной – гляньте программу, легко поймете откуда такой вывод. Вообще эта площадка отличается от многих подобных тем, что всегда стремиться акцентировать именно практические аспекты. Вам сюда, если вас, как и меня уже утомило из года в год слушать про розовых единорогов, бороздящих просторы Средиземья в поисках (или под?) волшебной пыльцы. А это как раз то, что вы получите от большинства мероприятий по теме внутреннего контроля, внутреннего аудита, управления рисками и корпоративного управления. Ну, да мы отвлеклись.
Мой vision скрывался под вывеской «Управление рисками информационной безопасности – антинаучный подход». После некоторых размышлений (а также после получения обратной связи от участников, которая местами оказалась весьма восторженной, за что моя отдельная благодарность) все же решил поделиться своей презентацией. Но перед тем как вы окажите мне честь и ознакомитесь с ней, я хотел бы сделать небольшой дисклеймер. Итак:
1) Самое главное – это презентация именно о ПОДХОДЕ. Другими словами, здесь нет подробных инструкций как сделать тот или иной процесс или нечто подобного. Это концептуальная презентация. Но имейте в виду, что под весь материал существуют детальные практические методики и наработки.
2) Несмотря на название, сам подход применим в отношении ЛЮБОГО бизнес-процесса. При этом, как я и упоминаю в презентации, информационной безопасности повезло больше чем другим бизнес-процессам именно в части моделирования – существует множество источников, на основании которых вы можете создать полноценную целевую модель процесса. Имея понимание, где вы находитесь сейчас и куда вам идти (целевая модель), вы легко сможете составить план действий лет эдак на 5-7 вперед. Далее просто остается двигаться к этой цели попутно корректируя целевую модель исходя из имеющихся обстоятельств. Кстати, этот подход в том или ином виде используется многими весьма успешными компаниями. В нашей стране пока не слишком распространен. Так как мешает «реальным профессионалам» «творить» (читай, интуитивно и хаотично метаться из крайности в крайность), что в основном часто заканчивается реализацией стратегии хомяка – запихать за щеки как можно больше добра для себя любимого.
3) Универсальной модели, наверное, не существует – многое зависит от конкретных условий и выбора конкретной компании. Но здесь скрывается смысловой парадокс – речь идет о модели как ответ на вопрос «как?». Модель как ответ на вопрос «что?» более близка к такому состоянию.
4) В 43 минуты презентации втиснут материал, который в моих тренингах занимает не меньше 6 часов. Плюс, например, упоминаются такие управленческие (и даже философские) концепции и методы как теория ограничений (которая сама по себе требует не менее 10 часов для ознакомления), антихрупкость (Нассим Талеб), методы управления вариативностью (описаны в моей книге). О статистическом управлении процессами я вообще молчу – например, гуманитариям будет непросто с этим разобраться в принципе. В общем, имейте в виду, материал весьма концентрированный. Отсюда и вектор повествования – концептуальный.
5) Вам может показаться, что я отрицаю прогнозирование рисков или управление рисками как таковое. Это не совсем так. Просто многое из того, что сейчас вы встретите под этой вывеской на всяческих семинарах и иже с ними, управлением рисками не является. Опять же отсылаю вас, например, к концепции RM1 под авторством Алексея Сидоренко. RM1 это отличный пример того, что НЕ является управлением рисками.
6) Качество видео может слегка расстроить любителей блокбастеров с навороченной графикой на большом экране. Но здесь я понимаю организаторов – обработка видео занимает время, так что приходится жертвовать разрешением. Но в целом на восприятие материала особо не влияет. Просто в некоторых местах придется приглядеться.
7) Если презентация вам не зашла, что ж, судя по всему, не ваш формат или предмет забот. Например, мне часто бывало достаточно какой-то отдельной мысли/идеи/факта/примера, чтобы достроить понимание определенного вопроса. Аналогия с последним кусочком пазла прям на поверхности. Но понимаю, что все люди разные.
Также обратите внимание на некоторые другие статьи на моем сайте (например). Так станет понятней и материал данной презентации.
Что ж, а теперь не мешкая вперед к просмотру! И не забывайте – вы всегда можете задать вопрос автору, конструктивно подискутировать и поучаствовать в обсуждениях на канале https://t.me/ok_kontrol
Прямая ссылка на пост https://t.me/ok_kontrol/156
Да пребудет с вами контроль!