SlideShare une entreprise Scribd logo

IT Governance Framework

Aleksey Lukatskiy
Aleksey Lukatskiy
TechnologieBusiness
1  sur  24
Télécharger pour lire hors ligne
Управление ИБ как Governance и как Management : небо и земля Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/25
Дурная репутация  «Дармоеды», «Растратчики», «Мешают заниматься делом», «Что делают непонятно», «Усложняют мою работу»  ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность Ни слова про бизнес  Business Prevention Department  ВУЗы не готовят «правильных» специалистов  Специалисты по безопасности не всегда готовы воспринимать новую реальность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/25
“Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.” Альберт Эйнштейн InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/25
GRC – это решение! ROHS Human Revenue Credit Capital Project SOX JSOX FDA Recognition Risk Risk WEEE Risk Board of U.S. Directors Compliance Governance Campus Finance Germany Risk Mgmt. Governance Legal Risk Japan Mgmt. Sales Compliance Risk Mgmt. Contracts Data Center U.K. Compliance Compliance HR Compliance France Risk Mgmt. Controller Risk Mgmt. China Governance IT Compliance Branch Policy Mgmt. Canada Governance Risk Mgmt. Audit & Compliance India Treasury Teleworker Proj. Doc. Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/25
“Концепция quot;governancequot; не нова. Она также стара, как и человеческая цивилизация. Просто quot;governancequot; означает: процесс принятия решения и процесс, при котором решения внедряются (или не внедряются).” Комиссия по социальным и экономическим вопросам ООН InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/25
Другие определения IT Governance  Governance (в бизнесе) – действие по разработке и последовательному управлению связанных в единое целое политиками, процессами и правильными решениями в данной области ответственности  . . . связь между бизнесом и управлением ИТ  . . . стратегические ИТ-решения, за которые отвечает корпоративный менеджмент, а не CIO или другие ИТ- менеджеры  . . . ИТ Governance – это подмножество Corporate Governance, фокусирующееся на информационных системах  …подтверждение того, что ИТ-проекты легко управляются и глубоко влияют на достижение бизнес- целей организации InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/25
Другие определения IT Governance  ИТ Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений  …взаимосвязь между ИТ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией  Аббревиатура IT может быть легко заменена на Security (Security Governance) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/25
Связь с другими ИТ-дисциплинами  Governance ≠ Management При едином переводе на русский язык как «управление», это понятия совершенно разного уровня  IT governance поддерживает следующие дисциплины: Управление ИТ-активами Управление ИТ-портфолио Архитектура предприятия Управление проектами Управление программами Управление ИТ-сервисами Оптимизация бизнес-технологий InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/25
Ключевые вопросы Governance Непрерывный процесс… Are we Мы делаем Мы Are we Business doing правильные получаем getting Governance the right вещи? преиму- the of IT things? щества? benefits? Enterprise Governance of IT IT Are we Мы Are we Мы делаем преуспели Governance doing them это getting of IT the right в them done правильно? достижении? way? well? Источник: The Information Paradox InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/25
4 вопроса в деталях Источник: Fujitsu Consulting Стратегический вопрос. Инвестиции: Вопрос ценности. Мы имеем: В соответствие с нашим видением? • Очевидное понимание ожидаемых Соответствуют нашим бизнес-принципам? преимуществ? Содействуют нашим стратегическим целям? • Релевантные метрики? Обеспечивают оптимальное значение, затраты • Эффективные преимущества реализации и уровень рисков? процесса? Are we Мы Are we Мы делаем doing получаем getting правильные преиму- вещи? the right the щества? things? benefits? Are we Are we Мы Мы делаем doing them это getting преуспели the right правильно? в them done достижении? way? well? Архитектурный вопрос. Инвестиции: Вопрос реализации. Мы имеем: В соответствие с нашей архитектурой? Эффективный процесс управления изменениями и реализации? Соответствуют нашим архитектурным Компетентные и доступные технические и принципам? бизнес-ресурсы для реализации: Содействуют созданию архитектуры? Требуемых возможностей; и Организационных изменений, требуемых для В соответствие с другими инциативами? достижения возможностей. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/25
ИТ Governance согласно Val IT Руководство, процесс и структура гарантирующие, что ИТ на предприятии разрешают и поддерживают стратегию и цели предприятия, а также определяющие: 1. какие ключевые решения должны быть приняты; 2. кто отвечает за их принятие; как они должны быть приняты; и V 3. gic nt De alue te liv 4. процессы и поддерживающие их ra me t n er S ig y структуры для принятия решений, Al IT IT включающие мониторинг строгого Governance ent Pe f su eme Perf sureme Pe f su eme Pe f su eme Mea Mea Mea Mea соблюдения процессов и Domains agem Man isk or or or orm эффективности принятия решений R anc t nc nc nce Resource nt t t Management Источник : ITGI InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/25
Структура ИБ Governance InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/25
Чем выше, тем больше влияния CEO Аналитики Аналитики CFO/COO CIO СМИ СМИ Функции VP Демократизация VP технологий ведет IT Влияние Влияние к командному принятию Функции решений Data Консультанты Консультанты директора TDM Влияние Партнеры Партнеры Функции Voice менеджера TDM  Нельзя забывать про «серых кардиналов» Источник: компании с 1,000+ сотрудников, Strategic Oxygen 7/04 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/25
Важность высокого полета  Понижение в уровне приводит к невозможности эффективного решения многих задач  Прямой контакт сотрудника на нижних уровнях иерархии с топ-менеджментом возможен, но это будет неэффективно во множестве случаев Управление рисками, юридические вопросы и BCP  Борьбы с инсайдерами должна вестись и на самом верхнем уровне компании Из 80% внутренних атак только малая часть наносит большой ущерб и часто это связано с руководством высокого уровня Это требует, чтобы CISO находился на том же уровне, что и топ-менеджмент InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/25
Техническая структура – «классика» CIO  Формально выделенной ИБ нет Network Systems App. Dev.  Ответственность за ИБ ложится на специалистов в Firewall, System Adm, Application отдельных ИТ- Router, IPS Sys Prog, Acct Programmer, направлениях Admin Mgmt Developer  ИБ = IT Security InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/25
Координатор ИБ Давление со Давление со стороны стороны ISO по CIO для снижения части Compliance CIO издержек ISO Network Systems App Dev Acct Mgmt, Firewall, System Application IT Policy, Router, IPS Admin, Sys Programmer, Awareness Admin Prog Developer Сетевые TDM InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/25
Советник руководителя Security Council CIO ISO Network Systems App Dev Governance, Firewall, System App Risk Mgmt, Router, IPS Admin, Sys Programmer, Corp Policy Admin Prog Developer InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/25
ИБ - стратегический бизнес-партнер Security Council CFO, COO, CxO CISO CIO Governance, ISO (Bus. Operational Risk Mgmt, Unit) Directors Corp Policy Acct Mgt, IT Техническая Policy, Проекты ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/25
Почему не под CIO?  Широкий спектр не ИТ-задач Безопасность информации в бумажном представлении Взаимодействие с HR Взаимодействие с юристами Взаимодействие с правоохранительными органами  Такой спектр задач выходит за рамки деятельности CIO  Частое и необходимое общение с другими топ- менеджерами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/25
Почему не под CIO?  Нельзя быть зависимым от CIO или CFO и оставаться эффективным Не из-за желания стать выше, а из-за природы безопасности, как функции контроля, которая должна быть независимой от контролируемых Службы внутреннего контроля (внутреннего аудита) контролируются непосредственно советом директоров  В крупных компаниях (с глубокой информационной зависимостью) CISO должен быть на уровне CFO или главного юриста (CLO) Но в умах топ-менеджмента он может находится на ступеньку-две ниже InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/25
Как во всем мире? CIO/CTO or Top IS excutive 18% IS/IT Director 14% Security/IT Mgmt CSO/CISO or top secuirty executive 8% 59% Director of Security 8% Other IS/IT manager 7% Other security manager 4% Other non-IT officer or asst. officer 15% Chairman or CEO 9% Executive Mgmt CFO or VP Finance/Admn 7% 41% President 6% COO 5% 0% 5% 10% 15% 20% 25% Q3. Кому вы подчиняетесь? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 21/25
Новый взгляд на безопасность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 22/25
Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 23/25
InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 24/25

Recommandé

Enterprise Risk Management: Culture, Vision, Performance
Enterprise Risk Management: Culture, Vision, PerformanceEnterprise Risk Management: Culture, Vision, Performance
Enterprise Risk Management: Culture, Vision, PerformanceGuidon Performance Solutions
 
Valuendo Erm In An Extended Environment (March 2007)
Valuendo Erm In An Extended Environment (March 2007)Valuendo Erm In An Extended Environment (March 2007)
Valuendo Erm In An Extended Environment (March 2007)Marc Vael
 
Law
LawLaw
LawВиктория Ли
 
Управление через код и эволюция юриста
Управление через код и эволюция юристаУправление через код и эволюция юриста
Управление через код и эволюция юристаInfotropic Media
 
Thomas Loeschke - Cybersecurity for Lawyers. What to do?
Thomas Loeschke - Cybersecurity for Lawyers. What to do?Thomas Loeschke - Cybersecurity for Lawyers. What to do?
Thomas Loeschke - Cybersecurity for Lawyers. What to do?Infotropic Media
 
2010 презентация оптимизация корпоративного управления
2010 презентация оптимизация корпоративного управления2010 презентация оптимизация корпоративного управления
2010 презентация оптимизация корпоративного управленияEduard Maltsev
 
Civil law and criminal law
Civil law and criminal lawCivil law and criminal law
Civil law and criminal lawMuthurv Venkatachalam
 
Security and Crisis
Security and CrisisSecurity and Crisis
Security and CrisisAleksey Lukatskiy
 

Recommandé

Enterprise Risk Management: Culture, Vision, Performance
Enterprise Risk Management: Culture, Vision, PerformanceEnterprise Risk Management: Culture, Vision, Performance
Enterprise Risk Management: Culture, Vision, PerformanceGuidon Performance Solutions
 
Valuendo Erm In An Extended Environment (March 2007)
Valuendo Erm In An Extended Environment (March 2007)Valuendo Erm In An Extended Environment (March 2007)
Valuendo Erm In An Extended Environment (March 2007)Marc Vael
 
Law
LawLaw
LawВиктория Ли
 
Управление через код и эволюция юриста
Управление через код и эволюция юристаУправление через код и эволюция юриста
Управление через код и эволюция юристаInfotropic Media
 
Thomas Loeschke - Cybersecurity for Lawyers. What to do?
Thomas Loeschke - Cybersecurity for Lawyers. What to do?Thomas Loeschke - Cybersecurity for Lawyers. What to do?
Thomas Loeschke - Cybersecurity for Lawyers. What to do?Infotropic Media
 
2010 презентация оптимизация корпоративного управления
2010 презентация оптимизация корпоративного управления2010 презентация оптимизация корпоративного управления
2010 презентация оптимизация корпоративного управленияEduard Maltsev
 
Civil law and criminal law
Civil law and criminal lawCivil law and criminal law
Civil law and criminal lawMuthurv Venkatachalam
 
Security and Crisis
Security and CrisisSecurity and Crisis
Security and CrisisAleksey Lukatskiy
 
Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
Cyberwarfare examples
Cyberwarfare examplesCyberwarfare examples
Cyberwarfare examplesAleksey Lukatskiy
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Aleksey Lukatskiy
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirementsAleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Aleksey Lukatskiy
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security MisunderstandingAleksey Lukatskiy
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managersAleksey Lukatskiy
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымAleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Aleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 
Как писать?
Как писать?Как писать?
Как писать?Aleksey Lukatskiy
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and CrisisAleksey Lukatskiy
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минутAleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Aleksey Lukatskiy
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 
Inv306 going social in a world of grc v.1.1
Inv306 going social in a world of grc v.1.1Inv306 going social in a world of grc v.1.1
Inv306 going social in a world of grc v.1.1Arthur Fontaine
 
Sharing Practice on Enterprise Risk Management (ERM)
Sharing Practice on Enterprise Risk Management (ERM)Sharing Practice on Enterprise Risk Management (ERM)
Sharing Practice on Enterprise Risk Management (ERM)Diane Christina
 

Contenu connexe

En vedette

Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulationsAleksey Lukatskiy
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Aleksey Lukatskiy
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirementsAleksey Lukatskiy
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытAleksey Lukatskiy
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Aleksey Lukatskiy
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security MisunderstandingAleksey Lukatskiy
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымAleksey Lukatskiy
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Aleksey Lukatskiy
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and EfficiencyAleksey Lukatskiy
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiencyAleksey Lukatskiy
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытAleksey Lukatskiy
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийAleksey Lukatskiy
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минутAleksey Lukatskiy
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Aleksey Lukatskiy
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБAleksey Lukatskiy
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для биржAleksey Lukatskiy
 

En vedette (20)

Russia Security furure regulations
Russia Security furure regulationsRussia Security furure regulations
Russia Security furure regulations
 
Cyberwarfare examples
Cyberwarfare examplesCyberwarfare examples
Cyberwarfare examples
 
Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013Security trends for Russian CISO in 2012-2013
Security trends for Russian CISO in 2012-2013
 
Worldwide security requirements
Worldwide security requirementsWorldwide security requirements
Worldwide security requirements
 
Обеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опытОбеспечение качества ПО: международный опыт
Обеспечение качества ПО: международный опыт
 
Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?Security outsorcing in Russia - myth or reality?
Security outsorcing in Russia - myth or reality?
 
Banking Security Misunderstanding
Banking Security MisunderstandingBanking Security Misunderstanding
Banking Security Misunderstanding
 
DLP for top managers
DLP for top managersDLP for top managers
DLP for top managers
 
Ключевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным даннымКлючевые планируемые изменения законодательства по персональным данным
Ключевые планируемые изменения законодательства по персональным данным
 
Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)Crypto regulations in Russia (medium version)
Crypto regulations in Russia (medium version)
 
Security Effectivness and Efficiency
Security Effectivness and EfficiencySecurity Effectivness and Efficiency
Security Effectivness and Efficiency
 
Measurement of security efficiency
Measurement of security efficiencyMeasurement of security efficiency
Measurement of security efficiency
 
Глобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опытГлобальные системы предотвращения атак: международный опыт
Глобальные системы предотвращения атак: международный опыт
 
Как писать?
Как писать?Как писать?
Как писать?
 
Безопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычисленийБезопасность различных архитектур облачных вычислений
Безопасность различных архитектур облачных вычислений
 
Cisco Security and Crisis
Cisco Security and CrisisCisco Security and Crisis
Cisco Security and Crisis
 
Весь магнитогорск за 15 минут
Весь магнитогорск за 15 минутВесь магнитогорск за 15 минут
Весь магнитогорск за 15 минут
 
Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2Бизнес-модель киберпреступности v2
Бизнес-модель киберпреступности v2
 
Принцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБПринцип Парето в стандартизации ИБ
Принцип Парето в стандартизации ИБ
 
Требования ИБ для бирж
Требования ИБ для биржТребования ИБ для бирж
Требования ИБ для бирж
 

Similaire à IT Governance Framework

Inv306 going social in a world of grc v.1.1
Inv306 going social in a world of grc v.1.1Inv306 going social in a world of grc v.1.1
Inv306 going social in a world of grc v.1.1Arthur Fontaine
 
Sharing Practice on Enterprise Risk Management (ERM)
Sharing Practice on Enterprise Risk Management (ERM)Sharing Practice on Enterprise Risk Management (ERM)
Sharing Practice on Enterprise Risk Management (ERM)Diane Christina
 
Building The Smart Grid
Building The Smart GridBuilding The Smart Grid
Building The Smart Gridandrescarvallo
 
Business Governance Of Enterprise It
Business Governance Of Enterprise ItBusiness Governance Of Enterprise It
Business Governance Of Enterprise Itjponnoly
 
Global Services Jan 2012
Global Services Jan 2012Global Services Jan 2012
Global Services Jan 2012ajfitzer
 
2013 SOPAC presentation understanding hidden risks
2013 SOPAC presentation understanding hidden risks2013 SOPAC presentation understanding hidden risks
2013 SOPAC presentation understanding hidden risksKarl Davey
 

Similaire à IT Governance Framework (10)

Inv306 going social in a world of grc v.1.1
Inv306 going social in a world of grc v.1.1Inv306 going social in a world of grc v.1.1
Inv306 going social in a world of grc v.1.1
 
Sharing Practice on Enterprise Risk Management (ERM)
Sharing Practice on Enterprise Risk Management (ERM)Sharing Practice on Enterprise Risk Management (ERM)
Sharing Practice on Enterprise Risk Management (ERM)
 
Building The Smart Grid
Building The Smart GridBuilding The Smart Grid
Building The Smart Grid
 
Personal Profile
Personal ProfilePersonal Profile
Personal Profile
 
Simplifying IT GRC
Simplifying IT GRCSimplifying IT GRC
Simplifying IT GRC
 
Business Governance Of Enterprise It
Business Governance Of Enterprise ItBusiness Governance Of Enterprise It
Business Governance Of Enterprise It
 
Interest rate risk modeling day sun_gard_ambit banking
Interest rate risk modeling day sun_gard_ambit bankingInterest rate risk modeling day sun_gard_ambit banking
Interest rate risk modeling day sun_gard_ambit banking
 
TripleTree eDiscovery
TripleTree eDiscoveryTripleTree eDiscovery
TripleTree eDiscovery
 
Global Services Jan 2012
Global Services Jan 2012Global Services Jan 2012
Global Services Jan 2012
 
2013 SOPAC presentation understanding hidden risks
2013 SOPAC presentation understanding hidden risks2013 SOPAC presentation understanding hidden risks
2013 SOPAC presentation understanding hidden risks
 

Plus de Aleksey Lukatskiy

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадокAleksey Lukatskiy
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиAleksey Lukatskiy
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаAleksey Lukatskiy
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSAleksey Lukatskiy
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииAleksey Lukatskiy
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOCAleksey Lukatskiy
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceAleksey Lukatskiy
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПAleksey Lukatskiy
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Aleksey Lukatskiy
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компанииAleksey Lukatskiy
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииAleksey Lukatskiy
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутAleksey Lukatskiy
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологийAleksey Lukatskiy
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Aleksey Lukatskiy
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustAleksey Lukatskiy
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяAleksey Lukatskiy
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераAleksey Lukatskiy
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementAleksey Lukatskiy
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системAleksey Lukatskiy
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаAleksey Lukatskiy
 

Plus de Aleksey Lukatskiy (20)

4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок4 сценария мониторинга ИБ изолированных промышленных площадок
4 сценария мониторинга ИБ изолированных промышленных площадок
 
Аутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасностиАутсорсинг. Управление рисками информационной безопасности
Аутсорсинг. Управление рисками информационной безопасности
 
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступаЧеклист организации, выстраивающей стратегию безопасного удаленного доступа
Чеклист организации, выстраивающей стратегию безопасного удаленного доступа
 
Как ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNSКак ловить кибермафию с помощью DNS
Как ловить кибермафию с помощью DNS
 
Презентация по ИБ для руководства компании
Презентация по ИБ для руководства компанииПрезентация по ИБ для руководства компании
Презентация по ИБ для руководства компании
 
13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC13 советов, от которых зависит успешность вашего SOC
13 советов, от которых зависит успешность вашего SOC
 
От разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligenceОт разрозненных фидов к целостной программе Threat intelligence
От разрозненных фидов к целостной программе Threat intelligence
 
Дашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТПДашборды по ИБ АСУ ТП
Дашборды по ИБ АСУ ТП
 
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
Техническая защита персональных данных в соответствие с GDPR и ФЗ-152
 
17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании17 способов проникновения во внутреннюю сеть компании
17 способов проникновения во внутреннюю сеть компании
 
Бизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организацииБизнес-метрики ИБ для руководства финансовой организации
Бизнес-метрики ИБ для руководства финансовой организации
 
Уральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минутУральский форум 2020 за 15 минут
Уральский форум 2020 за 15 минут
 
Кибербезопасность прорывных технологий
Кибербезопасность прорывных технологийКибербезопасность прорывных технологий
Кибербезопасность прорывных технологий
 
Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?Тенденции киберугроз. Что необходимо знать?
Тенденции киберугроз. Что необходимо знать?
 
Новая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero TrustНовая концепция кибербезопасности Zero Trust
Новая концепция кибербезопасности Zero Trust
 
Измерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустяИзмерение эффективности SOC. 3 года спустя
Измерение эффективности SOC. 3 года спустя
 
Как правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнераКак правильно выборать аутсорсингового партнера
Как правильно выборать аутсорсингового партнера
 
ICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness MeasurementICS Cyber Security Effectiveness Measurement
ICS Cyber Security Effectiveness Measurement
 
Измерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных системИзмерение эффективности ИБ промышленных систем
Измерение эффективности ИБ промышленных систем
 
Один зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без снаОдин зеродей и тысяча ночей без сна
Один зеродей и тысяча ночей без сна
 

Dernier

Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024BookNet Canada
 
Integration and Automation in Practice: CI/CD in Mule Integration and Automat...
Integration and Automation in Practice: CI/CD in Mule Integration and Automat...Integration and Automation in Practice: CI/CD in Mule Integration and Automat...
Integration and Automation in Practice: CI/CD in Mule Integration and Automat...Patryk Bandurski
 
Nell’iperspazio con Rocket: il Framework Web di Rust!
Nell’iperspazio con Rocket: il Framework Web di Rust!Nell’iperspazio con Rocket: il Framework Web di Rust!
Nell’iperspazio con Rocket: il Framework Web di Rust!Commit University
 
My Hashitalk Indonesia April 2024 Presentation
My Hashitalk Indonesia April 2024 PresentationMy Hashitalk Indonesia April 2024 Presentation
My Hashitalk Indonesia April 2024 PresentationRidwan Fadjar
 
AI as an Interface for Commercial Buildings
AI as an Interface for Commercial BuildingsAI as an Interface for Commercial Buildings
AI as an Interface for Commercial BuildingsMemoori
 
DevoxxFR 2024 Reproducible Builds with Apache Maven
DevoxxFR 2024 Reproducible Builds with Apache MavenDevoxxFR 2024 Reproducible Builds with Apache Maven
DevoxxFR 2024 Reproducible Builds with Apache MavenHervé Boutemy
 
SIP trunking in Janus @ Kamailio World 2024
SIP trunking in Janus @ Kamailio World 2024SIP trunking in Janus @ Kamailio World 2024
SIP trunking in Janus @ Kamailio World 2024Lorenzo Miniero
 
Leverage Zilliz Serverless - Up to 50X Saving for Your Vector Storage Cost
Leverage Zilliz Serverless - Up to 50X Saving for Your Vector Storage CostLeverage Zilliz Serverless - Up to 50X Saving for Your Vector Storage Cost
Leverage Zilliz Serverless - Up to 50X Saving for Your Vector Storage CostZilliz
 
DevEX - reference for building teams, processes, and platforms
DevEX - reference for building teams, processes, and platformsDevEX - reference for building teams, processes, and platforms
DevEX - reference for building teams, processes, and platformsSergiu Bodiu
 
Anypoint Exchange: It’s Not Just a Repo!
Anypoint Exchange: It’s Not Just a Repo!Anypoint Exchange: It’s Not Just a Repo!
Anypoint Exchange: It’s Not Just a Repo!Manik S Magar
 
Commit 2024 - Secret Management made easy
Commit 2024 - Secret Management made easyCommit 2024 - Secret Management made easy
Commit 2024 - Secret Management made easyAlfredo García Lavilla
 
"Federated learning: out of reach no matter how close",Oleksandr Lapshyn
"Federated learning: out of reach no matter how close",Oleksandr Lapshyn"Federated learning: out of reach no matter how close",Oleksandr Lapshyn
"Federated learning: out of reach no matter how close",Oleksandr LapshynFwdays
 
Unraveling Multimodality with Large Language Models.pdf
Unraveling Multimodality with Large Language Models.pdfUnraveling Multimodality with Large Language Models.pdf
Unraveling Multimodality with Large Language Models.pdfAlex Barbosa Coqueiro
 
Designing IA for AI - Information Architecture Conference 2024
Designing IA for AI - Information Architecture Conference 2024Designing IA for AI - Information Architecture Conference 2024
Designing IA for AI - Information Architecture Conference 2024Enterprise Knowledge
 
Ensuring Technical Readiness For Copilot in Microsoft 365
Ensuring Technical Readiness For Copilot in Microsoft 365Ensuring Technical Readiness For Copilot in Microsoft 365
Ensuring Technical Readiness For Copilot in Microsoft 3652toLead Limited
 
SAP Build Work Zone - Overview L2-L3.pptx
SAP Build Work Zone - Overview L2-L3.pptxSAP Build Work Zone - Overview L2-L3.pptx
SAP Build Work Zone - Overview L2-L3.pptxNavinnSomaal
 
New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024BookNet Canada
 
Streamlining Python Development: A Guide to a Modern Project Setup
Streamlining Python Development: A Guide to a Modern Project SetupStreamlining Python Development: A Guide to a Modern Project Setup
Streamlining Python Development: A Guide to a Modern Project SetupFlorian Wilhelm
 
My INSURER PTE LTD - Insurtech Innovation Award 2024
My INSURER PTE LTD - Insurtech Innovation Award 2024My INSURER PTE LTD - Insurtech Innovation Award 2024
My INSURER PTE LTD - Insurtech Innovation Award 2024The Digital Insurer
 
Vertex AI Gemini Prompt Engineering Tips
Vertex AI Gemini Prompt Engineering TipsVertex AI Gemini Prompt Engineering Tips
Vertex AI Gemini Prompt Engineering TipsMiki Katsuragi
 

Dernier (20)

Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
Transcript: New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
 
Integration and Automation in Practice: CI/CD in Mule Integration and Automat...
Integration and Automation in Practice: CI/CD in Mule Integration and Automat...Integration and Automation in Practice: CI/CD in Mule Integration and Automat...
Integration and Automation in Practice: CI/CD in Mule Integration and Automat...
 
Nell’iperspazio con Rocket: il Framework Web di Rust!
Nell’iperspazio con Rocket: il Framework Web di Rust!Nell’iperspazio con Rocket: il Framework Web di Rust!
Nell’iperspazio con Rocket: il Framework Web di Rust!
 
My Hashitalk Indonesia April 2024 Presentation
My Hashitalk Indonesia April 2024 PresentationMy Hashitalk Indonesia April 2024 Presentation
My Hashitalk Indonesia April 2024 Presentation
 
AI as an Interface for Commercial Buildings
AI as an Interface for Commercial BuildingsAI as an Interface for Commercial Buildings
AI as an Interface for Commercial Buildings
 
DevoxxFR 2024 Reproducible Builds with Apache Maven
DevoxxFR 2024 Reproducible Builds with Apache MavenDevoxxFR 2024 Reproducible Builds with Apache Maven
DevoxxFR 2024 Reproducible Builds with Apache Maven
 
SIP trunking in Janus @ Kamailio World 2024
SIP trunking in Janus @ Kamailio World 2024SIP trunking in Janus @ Kamailio World 2024
SIP trunking in Janus @ Kamailio World 2024
 
Leverage Zilliz Serverless - Up to 50X Saving for Your Vector Storage Cost
Leverage Zilliz Serverless - Up to 50X Saving for Your Vector Storage CostLeverage Zilliz Serverless - Up to 50X Saving for Your Vector Storage Cost
Leverage Zilliz Serverless - Up to 50X Saving for Your Vector Storage Cost
 
DevEX - reference for building teams, processes, and platforms
DevEX - reference for building teams, processes, and platformsDevEX - reference for building teams, processes, and platforms
DevEX - reference for building teams, processes, and platforms
 
Anypoint Exchange: It’s Not Just a Repo!
Anypoint Exchange: It’s Not Just a Repo!Anypoint Exchange: It’s Not Just a Repo!
Anypoint Exchange: It’s Not Just a Repo!
 
Commit 2024 - Secret Management made easy
Commit 2024 - Secret Management made easyCommit 2024 - Secret Management made easy
Commit 2024 - Secret Management made easy
 
"Federated learning: out of reach no matter how close",Oleksandr Lapshyn
"Federated learning: out of reach no matter how close",Oleksandr Lapshyn"Federated learning: out of reach no matter how close",Oleksandr Lapshyn
"Federated learning: out of reach no matter how close",Oleksandr Lapshyn
 
Unraveling Multimodality with Large Language Models.pdf
Unraveling Multimodality with Large Language Models.pdfUnraveling Multimodality with Large Language Models.pdf
Unraveling Multimodality with Large Language Models.pdf
 
Designing IA for AI - Information Architecture Conference 2024
Designing IA for AI - Information Architecture Conference 2024Designing IA for AI - Information Architecture Conference 2024
Designing IA for AI - Information Architecture Conference 2024
 
Ensuring Technical Readiness For Copilot in Microsoft 365
Ensuring Technical Readiness For Copilot in Microsoft 365Ensuring Technical Readiness For Copilot in Microsoft 365
Ensuring Technical Readiness For Copilot in Microsoft 365
 
SAP Build Work Zone - Overview L2-L3.pptx
SAP Build Work Zone - Overview L2-L3.pptxSAP Build Work Zone - Overview L2-L3.pptx
SAP Build Work Zone - Overview L2-L3.pptx
 
New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
New from BookNet Canada for 2024: BNC CataList - Tech Forum 2024
 
Streamlining Python Development: A Guide to a Modern Project Setup
Streamlining Python Development: A Guide to a Modern Project SetupStreamlining Python Development: A Guide to a Modern Project Setup
Streamlining Python Development: A Guide to a Modern Project Setup
 
My INSURER PTE LTD - Insurtech Innovation Award 2024
My INSURER PTE LTD - Insurtech Innovation Award 2024My INSURER PTE LTD - Insurtech Innovation Award 2024
My INSURER PTE LTD - Insurtech Innovation Award 2024
 
Vertex AI Gemini Prompt Engineering Tips
Vertex AI Gemini Prompt Engineering TipsVertex AI Gemini Prompt Engineering Tips
Vertex AI Gemini Prompt Engineering Tips
 

IT Governance Framework

  • 1. Управление ИБ как Governance и как Management : небо и земля Алексей Лукацкий Бизнес-консультант по безопасности InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 1/25
  • 2. Дурная репутация  «Дармоеды», «Растратчики», «Мешают заниматься делом», «Что делают непонятно», «Усложняют мою работу»  ИБ – технологическая задача, обеспечивающая целостность, конфиденциальность и доступность Ни слова про бизнес  Business Prevention Department  ВУЗы не готовят «правильных» специалистов  Специалисты по безопасности не всегда готовы воспринимать новую реальность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 2/25
  • 3. “Невозможно решить проблему на том же уровне, на котором она возникла. Нужно стать выше этой проблемы, поднявшись на следующий уровень.” Альберт Эйнштейн InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 3/25
  • 4. GRC – это решение! ROHS Human Revenue Credit Capital Project SOX JSOX FDA Recognition Risk Risk WEEE Risk Board of U.S. Directors Compliance Governance Campus Finance Germany Risk Mgmt. Governance Legal Risk Japan Mgmt. Sales Compliance Risk Mgmt. Contracts Data Center U.K. Compliance Compliance HR Compliance France Risk Mgmt. Controller Risk Mgmt. China Governance IT Compliance Branch Policy Mgmt. Canada Governance Risk Mgmt. Audit & Compliance India Treasury Teleworker Proj. Doc. Security Mgmt. Mgmt. Contracts Planning Customers ERP Production Billing InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 4/25
  • 5. “Концепция quot;governancequot; не нова. Она также стара, как и человеческая цивилизация. Просто quot;governancequot; означает: процесс принятия решения и процесс, при котором решения внедряются (или не внедряются).” Комиссия по социальным и экономическим вопросам ООН InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 5/25
  • 6. Другие определения IT Governance  Governance (в бизнесе) – действие по разработке и последовательному управлению связанных в единое целое политиками, процессами и правильными решениями в данной области ответственности  . . . связь между бизнесом и управлением ИТ  . . . стратегические ИТ-решения, за которые отвечает корпоративный менеджмент, а не CIO или другие ИТ- менеджеры  . . . ИТ Governance – это подмножество Corporate Governance, фокусирующееся на информационных системах  …подтверждение того, что ИТ-проекты легко управляются и глубоко влияют на достижение бизнес- целей организации InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 6/25
  • 7. Другие определения IT Governance  ИТ Governance подразумевает систему, в которой все ключевые роли, включая совет директоров и внутренних клиентов, а также связанные области, такие как, например, финансы, делают необходимый вклад в процесс принятия ИТ-решений  …взаимосвязь между ИТ, инициативами соответствия (compliance), управлением рисками и корпоративной бизнес-стратегией  Аббревиатура IT может быть легко заменена на Security (Security Governance) InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 7/25
  • 8. Связь с другими ИТ-дисциплинами  Governance ≠ Management При едином переводе на русский язык как «управление», это понятия совершенно разного уровня  IT governance поддерживает следующие дисциплины: Управление ИТ-активами Управление ИТ-портфолио Архитектура предприятия Управление проектами Управление программами Управление ИТ-сервисами Оптимизация бизнес-технологий InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 8/25
  • 9. Ключевые вопросы Governance Непрерывный процесс… Are we Мы делаем Мы Are we Business doing правильные получаем getting Governance the right вещи? преиму- the of IT things? щества? benefits? Enterprise Governance of IT IT Are we Мы Are we Мы делаем преуспели Governance doing them это getting of IT the right в them done правильно? достижении? way? well? Источник: The Information Paradox InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 9/25
  • 10. 4 вопроса в деталях Источник: Fujitsu Consulting Стратегический вопрос. Инвестиции: Вопрос ценности. Мы имеем: В соответствие с нашим видением? • Очевидное понимание ожидаемых Соответствуют нашим бизнес-принципам? преимуществ? Содействуют нашим стратегическим целям? • Релевантные метрики? Обеспечивают оптимальное значение, затраты • Эффективные преимущества реализации и уровень рисков? процесса? Are we Мы Are we Мы делаем doing получаем getting правильные преиму- вещи? the right the щества? things? benefits? Are we Are we Мы Мы делаем doing them это getting преуспели the right правильно? в them done достижении? way? well? Архитектурный вопрос. Инвестиции: Вопрос реализации. Мы имеем: В соответствие с нашей архитектурой? Эффективный процесс управления изменениями и реализации? Соответствуют нашим архитектурным Компетентные и доступные технические и принципам? бизнес-ресурсы для реализации: Содействуют созданию архитектуры? Требуемых возможностей; и Организационных изменений, требуемых для В соответствие с другими инциативами? достижения возможностей. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 10/25
  • 11. ИТ Governance согласно Val IT Руководство, процесс и структура гарантирующие, что ИТ на предприятии разрешают и поддерживают стратегию и цели предприятия, а также определяющие: 1. какие ключевые решения должны быть приняты; 2. кто отвечает за их принятие; как они должны быть приняты; и V 3. gic nt De alue te liv 4. процессы и поддерживающие их ra me t n er S ig y структуры для принятия решений, Al IT IT включающие мониторинг строгого Governance ent Pe f su eme Perf sureme Pe f su eme Pe f su eme Mea Mea Mea Mea соблюдения процессов и Domains agem Man isk or or or orm эффективности принятия решений R anc t nc nc nce Resource nt t t Management Источник : ITGI InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 11/25
  • 12. Структура ИБ Governance InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 12/25
  • 13. Чем выше, тем больше влияния CEO Аналитики Аналитики CFO/COO CIO СМИ СМИ Функции VP Демократизация VP технологий ведет IT Влияние Влияние к командному принятию Функции решений Data Консультанты Консультанты директора TDM Влияние Партнеры Партнеры Функции Voice менеджера TDM  Нельзя забывать про «серых кардиналов» Источник: компании с 1,000+ сотрудников, Strategic Oxygen 7/04 InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 13/25
  • 14. Важность высокого полета  Понижение в уровне приводит к невозможности эффективного решения многих задач  Прямой контакт сотрудника на нижних уровнях иерархии с топ-менеджментом возможен, но это будет неэффективно во множестве случаев Управление рисками, юридические вопросы и BCP  Борьбы с инсайдерами должна вестись и на самом верхнем уровне компании Из 80% внутренних атак только малая часть наносит большой ущерб и часто это связано с руководством высокого уровня Это требует, чтобы CISO находился на том же уровне, что и топ-менеджмент InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 14/25
  • 15. Техническая структура – «классика» CIO  Формально выделенной ИБ нет Network Systems App. Dev.  Ответственность за ИБ ложится на специалистов в Firewall, System Adm, Application отдельных ИТ- Router, IPS Sys Prog, Acct Programmer, направлениях Admin Mgmt Developer  ИБ = IT Security InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 15/25
  • 16. Координатор ИБ Давление со Давление со стороны стороны ISO по CIO для снижения части Compliance CIO издержек ISO Network Systems App Dev Acct Mgmt, Firewall, System Application IT Policy, Router, IPS Admin, Sys Programmer, Awareness Admin Prog Developer Сетевые TDM InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 16/25
  • 17. Советник руководителя Security Council CIO ISO Network Systems App Dev Governance, Firewall, System App Risk Mgmt, Router, IPS Admin, Sys Programmer, Corp Policy Admin Prog Developer InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 17/25
  • 18. ИБ - стратегический бизнес-партнер Security Council CFO, COO, CxO CISO CIO Governance, ISO (Bus. Operational Risk Mgmt, Unit) Directors Corp Policy Acct Mgt, IT Техническая Policy, Проекты ИБ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 18/25
  • 19. Почему не под CIO?  Широкий спектр не ИТ-задач Безопасность информации в бумажном представлении Взаимодействие с HR Взаимодействие с юристами Взаимодействие с правоохранительными органами  Такой спектр задач выходит за рамки деятельности CIO  Частое и необходимое общение с другими топ- менеджерами InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 19/25
  • 20. Почему не под CIO?  Нельзя быть зависимым от CIO или CFO и оставаться эффективным Не из-за желания стать выше, а из-за природы безопасности, как функции контроля, которая должна быть независимой от контролируемых Службы внутреннего контроля (внутреннего аудита) контролируются непосредственно советом директоров  В крупных компаниях (с глубокой информационной зависимостью) CISO должен быть на уровне CFO или главного юриста (CLO) Но в умах топ-менеджмента он может находится на ступеньку-две ниже InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 20/25
  • 21. Как во всем мире? CIO/CTO or Top IS excutive 18% IS/IT Director 14% Security/IT Mgmt CSO/CISO or top secuirty executive 8% 59% Director of Security 8% Other IS/IT manager 7% Other security manager 4% Other non-IT officer or asst. officer 15% Chairman or CEO 9% Executive Mgmt CFO or VP Finance/Admn 7% 41% President 6% COO 5% 0% 5% 10% 15% 20% 25% Q3. Кому вы подчиняетесь? InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 21/25
  • 22. Новый взгляд на безопасность InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 22/25
  • 23. Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410 Презентация выложена на сайте http://lukatsky.blogspot.com/ InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 23/25
  • 24. InfoSecurity 2008 © 2008 Cisco Systems, Inc. All rights reserved. 24/25