В пятницу прошло
5-е собрание linkedin'овской группы
USIG (Украинской группы специалистов по информационной безопасности).
Мероприятие прошло хорошо. Растет количество заинтересованных специалистов. Из порядка 500 мифических членов группы, фигурирующих только в ее списках, вырисовываются 50-60 профессионалов готовых обсуждать насущие вопросы информационной безопасности.
Собрание поддержал
украинский чаптер ISACA. Хотя от "поддержки" осталось двойственное впечатление.
Во-первых, от чаптера пришли только президент и вице-президент (еще ваш покорный слуга и коллега, но мы бы пришли вне зависимости от участия чаптера). И это из почти 60 членов, которые были приглашены на мероприятие.
Во-вторых, исследование, проведенное и представленное чаптером... Вроде провели исследование по важным вопросам управления ИТ. Тема действительно актуальная. Что такое IT governance понимают далеко не все, кто должен понимать. Даже перевода устоявшегося нет. И исследование проводила ISACA - одна из передовых международных ассоциаций, призванных нести
светлое будущее ведущие мировые практики по управлению ИТ в массы. Но во время презентации, почему-то в голову все время закрадывалось подозрение, что король голый.
Кто были респонденты исследования и на сколько репрезентативна выборка осталось тайной, покрытой мраком.
Некоторые наблюдения, выводы и рекомендации навевали на мысль, что исследование делалось в докризисные годы
, упало за шкаф, потерялось, и только теперь его
нашли и решили показать общественности.
Взять хотя бы рекомендации (напомню, что речь шла о 9 наиболее приоритетных направлениях) о формализации ИТ-стратегии. Какая, простите, ИТ-стратегия, если в бизнес стратегия есть только 30% компаний (речь шла преимущественно о банках)?!? На основании чего, простите, ее составлять?
Или мысли о том, что ИТ - это конкурентное преимущество компании? Друзья мои! ИТ было конкурентным преимуществом, когда не каждая компания могла его себе позволить. Так же как и электричество во времена паровых двигателей. Сейчас чуть-чуть все по другому.
Банки, кстати, уже не являются безусловными лидерами по информатизации. Многие компании из других секторов экономики, например, FMCG компании, могут похвастаться более современными и зрелыми процессами и решениями.
Бизнес не может сформулировать ИТ чего он хочет? А должен ли? А может это ИТ должно понимать как работает бизнес-процессы и предлагать как ИТ может помочь их улучшить?
В общем, спасибо, что нашли время для исследования и рассказа.
Завершилось выступление тоже туманно. Вроде прозвучал призыв помогать развивать чаптер. Даже вызвались желающие. Но конкретики так и не прозвучало. После оспаповского "о дне следующего заседания будет сообщено дополнительно" мы расстались...
И все же, в целом, мероприятие прошло замечательно. Даже спонсорские доклады, от которых народ подустал, по причине их невероятного количества (за последний год, гонимые кризисом вендоры устраивают мероприятия о своих продуктах каждый месяц), принесли свежие мысли и идеи. Кроме технических аспектов было и немного философии. Владимир Стыран поделился своими мыслями
о социальных аспектах безопасности.
Мой доклад был посвящен эффективному построению процесса управления информационными рисками. Хотя приводимая методика годится для построения процесса управления рисками и других видов.
Материалы прилагаю.
P.S. По мотивам чаптеровского выступления вспомнились пару хороших книг (не очень свежих - лет по 7 каждой, но все еще актуальных), которые я рекомендую почитать :
- Nicholas G.Carr "Does IT Matter?" На тему является ли ИТ конкурентным преимуществом
- Terry White "What Business Realy Want From IT?" на тему должен ли бизнес объяснять ИТ чего он хочет
P.P.S. Нет все-таки устоявшегося понимания чем же мы занимаемся. 70% докладов были посвящены ИТ -безопасности 30% - информационной. Нет еще единого понимания, что информационная безопасность - это безопасность информации, а не ИТ. И это - основная проблема, почему нет поддержки от бизнеса. Но об этом в другой раз...
