🤝 На Территории безопасности в секции Алексея Лукацкого обсуждаем "вечный вопрос" - как оценить результативность ИБ и как нашему брату коммуницировать с лицами принимающими решения 🖋

Вариант 1.
Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии❔

Вариант 2.
Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений❔

Вариант 3.
Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша❔

И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры.

В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз.
🕵‍♂️ А моё имхо очень простое: из-за того, что безопасность встроена в какое-то дело, в какой-то бизнес, то к ней нужно относиться так же, как мы относимся к сквозным бизнес-процессам. Выстраивать ее от А до Я в привязке не к комплаенсу или инженерно-техническим представлениям о прекрасном, а в привязке к измеримому импакту на бизнес, как это делается в маркетинге с CJM (Customer Journey Map).

И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками.

Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ. ✅

Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы? 🎙

#Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски

🤝У ИБ есть своя сезонность. Когда работаешь на стороне заказчика или в крупном вендоре - это может не ощущаться. Но в консалтинге в силу привязки проектов к временам года последний квартал - это часто половина годовой выручки или больше. Вот и получается как в "Бриллиантовой руке":

- Неужели ты ничего не помнишь?
- Почему? Помню! Поскользнулся, потерял сознание, очнулся, гипс...

С 30 октября прошло больше 3х месяцев. Год закрыт. Месячный отпуск отгулян. Пора возвращаться в эфир на новом витке восходящей спирали. Продолжим развитие Wine в ключе комплексной ИБ и расширения горизонтов.

Цель: минимум 2 поста в неделю, а там видно будет. 🤝

P.S. Этот пост не считается. 😁

#Рефлексия #Оргвопрос