«Осведомлённость повышать надо, кто ж спорит… Но «кем» это делать?» - мало что может скрасить безрадостные раздумья ИБ-руководителя над этим вопросом. В его ИБ-подразделении 2,5 человека, одновременно и непрерывно занимающиеся всем спектром ИБ-вопросов. А сунься к руководству с предложением закупить необходимые услуги «на стороне» – тут надо быть очень готовым к встречному вопросу «а ты на что?».
Предмет этой главы – можно ли повысить осведомлённость персонала в области информационной безопасности «собственными руками»? Или надо непременно звать платных консультантов, которые уверяют, что всё сделают лучше и за вас?
Не будем ходить вокруг да около: осведомлять персонал своими силами, разумеется, можно и, более того, нужно. А в некоторых организациях, где понимающий полезность повышения «безопасник» не находит должной поддержки, это вообще единственный путь хоть как-то минимизировать «человеческий фактор» при обеспечении ИБ.
ТРУДНОСТИ
Однако, если вы задумали действительно решать задачу повышения культуры обеспечения информационной безопасности персоналом (не для «галочки» или прохождения ближайшей проверки), надо быть готовым к тому, что дело это непростое. Потому что надо будет:
Самому хорошо понимать что и как делать, знать методологию выполнения проектов по повышению осведомлённости и чужой опыт их реализации.
Не только потому, что многое вам придётся делать самому, но ещё и потому, что в данном случае вам очень пригодится «тактика быстрых побед» - пока вам дают что-то делать, нужно быстро показать, что вы делаете это эффективно и позитивный результат налицо. В противном случае вполне возможно, что первая ошибка станет последней: ваше самоотвлечение от «стандартных» активностей «безопасника» будет быстро признано нецелесообразным.
Быть хорошим «маркетологом» проекта по повышению осведомлённости персонала.
Проекты по повышению – это проекты масштаба всей организации, вам не сделать их в одиночку, а потому будут нужны авторитетные коллеги-руководители, с пониманием относящиеся к вашим усилиям, и если не помогающие, то хотя бы не мешающие.
Быть ещё и хорошим руководителем проекта: иметь достаточный для реализации проекта объём ресурсов и правильно спланировать работы для достижения нужных результатов.
В данном случае вам придётся не только руководить, но и многое делать самому. При этом ответственность за результат остаётся на вас. Поэтому, с одной стороны, важно, чтобы ваших ресурсов (рук, времени, средств) хватило для реализации комплекса мер по повышению, а по итогам реализации проекта получился значимый с точки зрения бизнеса результат (как мы помним по предыдущим статьям, повышение должно быть многоканальным, поголовным и адаптированным под условия проведения; если вы сделаете презентацию с наспех сформулированными тезисами и надёрганными из интернета картинками и выложите её на интранет-портал с просьбой «всем прочитать» – эффективность такого повышения будет нулевой). Не исключено, что вам придётся доказывать руководству, что вы не зря потратили время и силы (причём, и сотрудников других подразделений), и ваши аргументы должны быть убедительными.
ВЫГОДЫ
Самостоятельно реализовывать меры по повышению осведомлённости в некоторых аспектах даже более выгодно и продуктивно, нежели в сотрудничестве с подрядчиком:
Не придётся тратить силы и время на объяснение подрядчику текущих условий реализации проекта, специфики функционирования вашей организации, идей и требований к результатам проекта. Далеко не каждый подрядчик способен делать не так, как ему удобнее, а так, как нужно именно в ваших конкретных условиях.
Вы не так «зажаты» проектными рамками и можете реализовывать меры по повышению практически в удобных вам манере и темпе. Однако, здесь есть опасность настолько растянуть повышение осведомлённости во времени, что его эффект будет близок к нулю.
С другой стороны, как известно, некоторые вещи лучше делать чужими руками. Проекты повышения осведомлённости имеют выраженную организационную составляющую – если вы не обладаете в организации достаточным политическим весом, не уверены в успехе и не готовы отстаивать проект и его результаты перед руководством и иными подразделениями, возможно, будет проще поручить реализацию проекта методологически «подкованному» подрядчику с профильным опытом.
И ДЕШЕВЛЕ?
Здесь мы умышленно не относим к выгодам «дешевле», ибо считаем, что дешевизна повышения собственными силами по сравнению с привлечением подрядчика:
Во-первых, неочевидна, учитывая совокупные прямые и косвенные затраты организации: внутренние ресурсы не являются бесплатными, а их отвлечение на повышение в ущерб другим, подчас не менее приоритетным задачам, может повлечь потери, многократно превышающие затраты на проект повышения и эффект от него;
Во-вторых, для проектов по повышению осведомлённости работает правило «дёшево не значит хорошо (эффективно)»: эффективное повышение осведомлённости предполагает создание комплексной программы, включающей организационно-методологическую (ОРД и методики), техническую (учебные материалы сразу по нескольким актуальным темам в различных форматах, что требует приличного количества ресурсов) и человеческую (собственно работа с персоналом) составляющие, в достаточно сжатые сроки (в среднем 3-6 месяцев). Это может быть затратно, но только в этом случае эффект будет максимальным. Повышая осведомлённость только лишь своими силами, вам вряд ли удастся сконцентрировать за короткое время много ресурсов, и проект может выродиться в вялотекущую активность с относительно низкой эффективностью. Правда, подчеркнём, и это лучше, чем ничего.
Резюмируя, повышение осведомлённости персонала в области информационной безопасности своими силами – вполне жизнеспособный вариант, если вы хорошо представляете его плюсы и минусы и готовы к интенсивной работе с некоторыми трудностями. Особенно учитывая перманентную ограниченность бюджета и сложности выбора подходящего подрядчика – рынок профессиональных консультационных услуг по повышению осведомлённости персонала в области информационной безопасности в России пока сложно назвать зрелым. Потому крайне трудно найти партнёра, который может не просто «на заказ рисовать картинки», а способен методологически правильно реализовать комплексный и законченный проект, адаптировав его результаты под специфику заказчика и в итоге измеримо изменив к лучшему ситуацию с обеспечением безопасности персоналом.