Формирование культуры «безопасной разработки»

Тема большая, поэтому я хочу разбить её на несколько постов и сейчас остановиться на одном из базовых смыслов, ответ на который поможет дальше в решение задачи по формированию культуры.

Что такое культура? А верее корпоративная культура?

Корпоративная культура (далее КК) – устоявшаяся практикавзглядов, ценностей и правил взаимодействия сотрудников вкомпании.

То есть это по сути невербальная, можно сказать инстинктивная, ролевая модель поведения сотрудников.

То есть то, что он будет делать, когда не знает явного ответа, нет явных правил или ситуация выходить из привычной.Соответственно, применительно к информационной безопасности, это принятая в компании модель поведения, когда ты либо не знаешь про угрозы ИБ, либо они отличаются от изученных.

Поэтому

1. Важно понимать, как сотрудники, а в нашем случае разработчики, относятся к вызовам и принятию решений в неопределённости;

2. Формализовать в компании (команде разработчиков) модель поведения к неопределённым событиям, а также к не описанным процессам, которая будет учитывать интересы компании и правила (информационной) безопасности;

3. Максимально адаптировать удобство сбора информации о событиях от сотрудников, относящихся к информационной безопасности, к развиваемой в компании фактической и целевой модели поведения сотрудников.

Корпоративная культура должна развивать не только реагирование на принятое решение и произошедшее событие, но и быть ориентированной на профилактику, прогнозирование и раннее выявление предпосылок к инциденту.

Это большая и сложная работа. Зато, работая над корпоративной культурой, будут счастливы все: руководитель компании, функции ИБ и сотрудники.

Это хороший пример, когда решая задачи информационной безопасности, можно помочь бизнесу в улучшение его управляемости и эффективности. Или наоборот, фокусируясь на развитие команды, а следовательно бизнеса, улучшить ИБ.