Никогда не любил конференции и выставки по информационной безопасности, вернее их официальную часть, т.к. меня всегда при этом сопровождает четкое ощущение напрасно затрачиваемого времени.
Russian CSO Summit II не стал исключением из общего правила. Были доклады более и менее удачные, были и откровенно смешные доклады и комментарии к ним. Но, в целом на официальной части, тягостное ощущение меня не покидало. Особенно утомляет долгоговорение некоторых докладчиков. Доклады по полтора-два часа — это что-то. Это же не учебная аудитория, где в молодые неокрепшие умы университетские профессора вдалбливают все, что заблагорассудится. Надо же уважать коллег по цеху и готовится таким образом, чтобы уложить свои гениальные мысли в рамках 10-15 минут. Для докладчика резонно было бы предположить, что на съезде директоров по ИБ собирутся люди, не первый день занимающиеся этими вопросами и разбирающиеся в них порой не хуже вас. Поэтому не стоит воздействовать на таких людей потоком чистого сознания по-принципу «все о чем знаю о том и пою».
Впрочем это лишь мои субъективные ощущения, подобные тем, которые должен испытывать старшеклассник, придя на нормальный урок и оказавшись вместо этого на уроке арифметики в начальной школе. Помню у нас в 4-5 классе была пожилая классная руководительница — учительница русского языка и литературы. Я, честно признаюсь, недолюбливал и ее предметы и ее саму, а она отвечала мне взаимностью. Так вот, ее в определенный момент переклинило и с тех пор, все уроки русского языка у нас проходили по одному сценарию. Она вызывала какого-нибудь ученика к доске, открывала любую книгу на произвольной странице, зачитывала вслух произвольное предложение, это предложение записывалось на доске и начинался его разбор на подлежащие, сказумые и дополнения. Кроме этого упражнения в русском языке для нас больше ничего не существовало. Эта пытка длилась более года изо дня в день. Меня от этого избавил переход в другую школу.
Мое выступление называлось «О преимуществах системного подхода к управлению рисками информационной безопасности». Презентация размещена в пресс-центре на сайте GlobalTrust. Как я выступал в этот раз мне самому не понравилось — слишком сухо и без выражения я оттараторил свой доклад, в то время, как на таких мероприятиях не так важно что ты говоришь, а важно как ты это говоришь.
А основной смысл моего выступления заключался в том, что какие бы аргументы в пользу усиления функции ИБ не использовались, вряд ли стоит ожидать от руководителей компаний, которые и «в мирное то время» уделяли недостаточное внимание вопросам ИБ, серьезного разворота в эту сторону именно сейчас. Службы ИБ ждет сокращение и штатной численности и бюджетов. Исключение могут составить только те организации, в которых существует сбалансированная СУИР, построенная по Демингу, где не надо выдумывать какие-либо аргументы в пользу ИБ, где управения ИБ на основе риск-ориентированного подхода это рутинная работа менеджмента. В таких организациях решения по ИБ принимаются на основе оценки рисков, таким образом, чтобы максимизировать возврат инвестиций. В отлаженной системе управления, фундаментом которой служит СУИР, формализованные процессы, документооборот, грамотно выстроенная организационная структура, общие цели и правила играют куда большую роль, нежели изворотливость и красноречие отдельных директоров по ИБ. Отдельные элементы управления рисками есть во многих компаниях, при этом отсутствует фундамент, объединяющий эти элементы в систему, позволяющую получать стабильный и измеримый результат. И далее я более подробно остановился на том, чем отличается системный подход от несистемного (читай: успешная компания от неуспешной).
Я понимаю, что, к сожалению, для большинства собравшихся на мероприятии, рассказы о сбалансированной системе управления рисками, риск-ориентированном подходе и максимизации возврата инвестиций в ИБ, напоминают сказку про белого бычка, т.к. живем мы совсем в другой реальности, где существует огромная пропасть между теорией и практикой.