Портал №1 по управлению цифровыми
и информационными технологиями

It's a people thing!

peopleВ портфеле GamingWorks есть игра Oceans99™, посвященная управлению информационной безопасностью. Согласно сценарию, владелец токийского банка организует выставку в токийском музее, выставляя три очень известных и дорогих экспоната, которые привлекают внимание криминальной группы Oceans99. Задача команды заключается в успешной доставке объектов в токийский музей так, чтобы не допустить кражу.

Пол Вилкинсон поделился на своей странице в LinkedIn весьма любопытными наблюдениями от недавно проведенной симуляции и уроками, которые усвоила команда, которые по большей части, конечно, одинаково применимы к любой области управления ИТ.

"Сначала команда выполняла упражнение по идентификации угроз, уязвимостей и рисков. При этом никто даже не заглянул в политику безопасности, чтобы ограничить охват рисками информационной безопасности — падения самолетов, наводнения, ураганы и землетрясения вскоре стали преобладать в обсуждении. Один из участников выполнял роль аудитора и использовал чеклисты из Resilia. Однако команда (в основном – бизнес-менеджеры) считала аудитора и, более того, даже менеджера по безопасности скорее препятствиями для выполнения работы, что уводило команду далеко от реальных проблем с ИБ.

Когда бизнес-менеджеры осознали, что игра в первую очередь про ИБ, они начали активно вкладываться в защиту ИТ-систем, игнорируя тот факт, что информация также является критичным активом. В итоге карты маршрутов доставки остались не защищенными, что могло привести к многомиллионным потерям и итоговому провалу проекта.

Аудитор сообщал об отклонениях, но бизнес-менеджеры быстро остудили его пыл вопросом «Можно ли в этой игре уволить аудитора?». Предложения по контрмерам менеджера по безопасности проходили с трудом из-за неспособности подготовить адекватные бизнес-обоснования.

Естественно, что в Oceans99 злоумышленники могут эксплуатировать неизвестные менеджменту уязвимости, что требует процедур реагирования и восстановления, о которых участники игры, конечно, также забыли.

В конце игры участники пришли к следующим заключениям:

  • Каналы коммуникации должны быть формализованы, необходимо понимание, кто в какой информации нуждается и для принятия каких решений
  • Ответственность ролей должна быть полностью прояснена, необходимы матрицы RACI
  • Больше внимания командной работе: должно быть понимание, как согласовывать решения, как разрешать противоречия
  • Требуется сквозное понимание каждого проекта/процесса, особенно в контексте бизнес-потребностей и ожидаемых результатов
  • Необходимо фиксировать идеи (полученные знания, опыт и предложения по совершенствованию)
  • Необходимо как можно чаще собираться всей командой для обмена опытом
  • Требуется подход по приортитизации рисков, контрмер, проектов, инициатив, в основе которого должны лежать критичность актива и бизнес-влияние
  • Срочность почти всегда крайне субъективна: уровень срочности необходимо связать с бизнес-контекстом
  • Каждый сотрудник компании играет роль в обеспечении ИБ
  • Меньше доверия, больше подозрения: необходима более широкая осведомленность об уязвимостях и прочих аспектах безопасности
  • Системный подход, правильный выбор уровня авторизации различных решений – самое важное для достижения результата
  • Анализировать обратную связь: люди в проектах часто неспособны взглянуть на результаты со стороны и увидеть эффект, слабые стороны и возможности

Как видно, основные выводы, которые сделала команда, едва ли связаны с технологиями; обеспечение ИБ – в первую очередь про людей, их отношение к работе, культуру и поведение".

Учебные курсы и сертификация
специалистов по ИТ-менеджменту

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *

  • Рубрики

  •  
  • Авторы

  •  
  • Самое свежее

    • VI форум «Управление данными — 2021»: наведите порядок в данных!
      23 сентября 2021 года издательство «Открытые системы» в шестой раз проведет в Москве масштабный форум «Управление данными — 2021», объединяющий всех, кто определяет стратегию работы с данными, воплощает ее в жизнь и управляет предприятием на основе объективных достоверных данных. Участники форума обсудят не только инновационные стратегии и бизнес-модели работы с корпоративными данными, но и конкретные архитектурные и технологические решения.
    • Простые уловки, как ускорить процесс разработки программного обеспечения
      С некоторыми вещами люди из бизнеса вынуждены соглашаться, и одна из них заключается в том, что никто не хочет сердить свою команду разработчиков. Часто они являются краеугольным
    • Почему каждая инициатива DevOps должна начинаться с оценки возможностей
      Внедрение практики DevOps идет полным ходом. Организации сосредоточены на том, как внедрить возможности DevOps в командах и как масштабировать DevOps в масштабах предприятия. Но важным аспектом любого пути масштабной трансформации является оценка возможностей команды или организации на этом пути.
    • Что такое процесс и что такое практика в ITIL®4
      Продолжаем публиковать короткие видеоролики, посвященные актуальным вопросам управления ИТ. Сегодня поговорим о том, что такое процесс и что такое практика в ITIL4. Это не переименование процессов в практики, это два отдельных понятия. Рассказывает Игорь Фадеев, ITIL 4 Managing Professional и ITIL 4 Strategic Leader, аккредитованный тренер по ITIL4.
    • Аудит. Что может быть скучнее?!
      На прошедшей неделе участвовал в аудите (в качестве объекта аудита). Большинство людей, проходивших аудит, подозреваю, разделяет это ощущение: «Бюрократия, формальности и т.п.»
    • Как технический долг вредит вашей команде программистов — и вашей безопасности приложений
      Техническая долг может серьезно повлиять на здоровье организации - и на психическое здоровье ваших разработчиков. Более половины из 200+ членов инженерных команд, опрошенных в рамках отчета Stepsize "Состояние технического долга в 2021 году", считают, что технический долг негативно влияет на моральное состояние их команд.
    • Что люди не понимают в управлении потоком создания стоимости
      Нет ничего плохого в самом управлении потоками создания ценности (VSM), но есть много плохого в том, как его рассматривают и обсуждают блогеры, отраслевые маркетологи и другие, которые часто смешивают его с DevOps и Agile. Это не одно и то же.
    • 5 основных тенденций развития искусственного интеллекта и машинного обучения на 2022 год
      Вот несколько основных тенденций, к которым вашему бизнесу стоит начать готовиться. Искусственный интеллект и машинное обучение становятся доминирующей частью технологической
    • 6 тенденций в ИТ, за которыми нужно следить
      Чтобы выжить во время пандемии, организации обратились к ИТ, чтобы помочь справиться с последствиями - как негативными, так и позитивными. В некоторых отраслях, таких как телемедицина и видеоконференции, бизнес резко вырос, и ИТ-отделам таких компаний пришлось в спешке справляться с нагрузкой. В других, например, в сфере путешествий и развлечений, бизнес резко просел. Кроме того, возобновилось стремление к цифровой трансформации.
    • Восход Desktop-as-a-Service: что это такое и зачем вам это нужно?
      Широкое распространение облачных вычислений добавило в наш словарь множество сокращений, наиболее распространенными из которых являются SaaS, PaaS и IaaS. Действительно, наступила эра облачных решений, которые доставляют программное обеспечение, платформу и инфраструктуру потребителям и предприятиям по запросу и с оплатой по мере использования.
  •  
  • Вход

  • DevOps
    Kanban
    ITSM
    ITIL
    PRINCE2
    Agile
    Lean
    TOGAF
    COBIT