При цифровизации происходит значительное увеличение передаваемых данных, в самое главное возрастает количество информационных систем, которые начинают взаимодействовать между собой, включая интеграцию офисного и корпоративного сегмента. Соответственно, вместе с цифровизацией возникает необходимость обеспечения информационной безопасности на новом уровне - информационная безопасность - значимая часть бизнес и производственных процессов. Это требует значительную работу с мышлением верхнего и среднего менеджмента.
Согласно лучшим международным практикам, например ISO 27001 "Менеджмент информационной безопасности", построение эффективной системы ИБ строится на следующих принципах:
1. Первые лица компании осознают необходимость информационной безопасности и её влияние на бизнес;
2. Руководители бизнеса и ключевых функций должны личным примером показывать вовлечённость в ИБ.
Из этого следует, что первые лица компании должны:
1. Понимать роли информационной безопасности в современном бизнеса: - повышение устойчивости бизнеса; - повышение прозрачности цифровых бизнес процессов.
2. Сформировать (понимать и принимать) целевое виденье системы ИБ в бизнес процессах компании
3. Знать инструменты оценки эффективности ИБ на этапах создания и эксплуатации системы ИБ
4. Уметь использовать ИБ как управленческий инструмент
5. Интегрировать ИБ в бизнес процессы.
Каждый из перечисленных пунктов подразумевает получение знаний первыми лицами.
Для решения данной задачи наиболее хорошо подходит формат практических мероприятий, в рамках которых в интерактивном режиме первые лица компаний и руководители ключевых функций получают необходимые знания и умения.
Из моего опыта, план обучения первых лиц выглядит следующим образом:
1. Практикум: роль ИБ для цифрового предприятия.
Это вводное интерактивное занятие с элементами "мозгового штурма", для всех ключевых руководителей компании, которое помогает выровнять представление о современном ландшафте компьютерных угроз и определить их важность для конкретного предприятия совместно с экспертом в области управления информационной безопасностью.
2. Информационная безопасность - инструмент управления для цифрового предприятия.
Интерактивное мероприятие, позволяющие руководству чуть более глубоко погрузиться в информационную безопасность и найти положительные бизнес эффекты для компании от внедрения системы информационной безопасности.
3. Стратегическая сессия: Целевое виденье системы ИБ
Это стратегическая сессия с экспертами в области организационного управления и управления информационной безопасностью, позволяющее руководителям сформировать консолидированную стратегию развития эффективной системы информационной безопасности.
4. Практикум: построение эффективной системы ИБ
Это интерактивное мероприятие в формате серии практических занятий и "мозговых штурмов" с элементами коучинга от экспертов в области организационного управления и управления информационной безопасности, позволяющее формировать необходимые детальные шаги по реализации стратегии ИБ.
Стоит отметить, что речь идёт не про передачу информации в формате лекций, а про получение знаний, развитие мышления, умений, навыков и "вывод" верхнего и среднего менеджмента на необходимый уровень подготовки. Который позволит обеспечить реализацию проекта по цифровизации, а также создаст основу для дальнейшего эффективного применения передовых технологий.
Данный план действий применим для компании любого размера и уровня зрелости в вопросах ИБ.