Agile ИБ: о перестройке мышления, новых подходах и единственном пути выживания

Аватар пользователя BISA
Автор: Редакция BISA ,
(0)
()
Опубликовано в: ,

BIS Summit 2016 пройдет в ритме новых импровизаций, импровизаций на тему «Agile информационной безопасности». Тема Agile модная, свежая, но возникает вопрос: как она приживется на поляне информационной безопасности. По отдельности все ясно: Agile – это про разработку, информационная безопасность – про … Ну вы понимаете. А что же такое «Agile информационной безопасности», пришло ли время говорить о таком понятии и что с этим делать -  мы решили спросить у экспертов BISA и участников грядущей конференции. 

Несовместимое все же совместимо?

Алексей Лукацкий, бизнес-консультант по безопасности Cisco

Сочетание терминов "Agile" и "информационная безопасность" - это катахреза, то есть неправильное сочетание слов с несовместимыми значениями. Начнем с того, что agile применяется преимущественно к разработке программного обеспечения. То, что его стали "натягивать" на все, что ни попадя, говорит только о модности термина Agile. Применять его в ИБ достаточно сложно, так как процесс разработки ПО все-таки конечен, в то время как ИБ - это непрерывная деятельность. В отдельных проектах, которые ведут организации в области ИБ, принципы Agile могут быть применены, но тоже с множеством оговорок. Если же уйти от конкретного термина, эксплуатируемого к месту и не к месту, то можно говорить о работе в условиях постоянных изменений и динамичной среды. В такой трактовке agile в ИБ применяется очень давно - по сути отражение постоянно возникающих и изменяющихся угроз - и есть agile. И нежелание писать регламенты для ИБ - это тоже agile. И попытка выйти за рамки договора, считая сотрудничество с заказчиком важнее контракта, - это тоже agile. И отсутствие четкой задачи, которая по ходу выполнения проекта меняется на в точности до наоборот - это тоже agile. Поэтому можно сказать, что agile в более широком смысле, чем его привыкли рассматривать, имеет самое прямое отношение к информационной безопасности.


Старые методы не подходят новому времени

Дмитрий Мананников, директор по безопасности SPSR Express

Если несколько абстрагироваться от всех многочисленных деталей данной методологии, то мы увидим, что данный подход решает те самые основные проблемы, с которыми сейчас сталкивается каждый менеджер, управляющий ИБ. Это, во-первых, четкое понимание и умение, как дать бизнесу некий востребованный результат, во-вторых, безусловное вовлечение бизнес-заказчика в процесс достижения этого результата. И все это в довольно высоком темпе. Почему это важно, и почему именно это, на мой взгляд, основные проблемы для ИБ? 

Отчасти потому что «периметровый» подход уже давно не актуален. Он не гибок, он экономически нецелесообразен, он долог. А динамика развития технологий и их интеграция в операционные процессы просто огромна, следовательно, динамика угроз меняется с такой же скоростью. Делать «долгие» проекты по построению периметров означает отставать на годы. Отчасти потому, что ранее ИБ было скорее процессно-ориентированной, что не давало возможности делать расчет ее экономической эффективности. Может, это и было приемлемо, когда речь шла о небольших затратах, но сейчас бюджеты ИБ довольно внушительны. И каждый менеджер, принимающий решения, хочет понимать какой эффект эти инвестиции принесут компании.
 

Agile, в том числе в ИБ – это, в первую очередь, перестройка мышления

 

 

Алексей Волков, 
директор управления стандартов и процессов информационной безопасности Сбербанка

«Нужно бежать со всех ног, чтобы только оставаться на месте, а чтобы куда-то попасть, нужно бежать как минимум вдвое быстрее!» Это крылатое выражение из «Алисы в зазеркалье» лучше всего описывает требования к бизнесу в современных условиях. Конкурентную борьбу выигрывает тот, чья система управления лучше всего приспособлена к постоянным изменениям, и Agile – один из методов управления, позволяющий достичь конкурентного преимущества и быть в числе лидеров этой гонки. Традиционно консервативной информационной безопасности в условиях постоянного изменения окружающей и бизнес-среды придется нелегко, однако расстраиваться заранее не стоит. Agile применяется, в основном, для изменений (change), текущая операционная деятельность (run) остается в своем ключе. Поэтому ИБ-шнику следует, во-первых, определить, какие ресурсы отдать в бизнес-команды, “живущие” по Agile (трайбы и скводы). Во-вторых, подумать, как разделить внутреннюю ИБ-кухню на run и change и перестроить последнюю на Agile. И последнее – Agile начинается не с Kanban-досок или SCRUM-митингов, а с перестройки образа мышления. И это, пожалуй, главный вызов не только для ИБ-шника, но и для всего бизнеса.
 

А вообще, единственный путь выживания

 

Рейнхольд Дж. Вохнер
MSc., MBA CRISC, CRMA, CISM, CGEIT, CISSP, CISA Director, 
Руководитель Службы информационной безопасности Raiffeisen Bank International AG.

Agile в Информационной Безопасности – единственный путь выживания ИБ в условиях стремительно развивающихся рынков. Решения, которые были наиболее эффективными 5 лет назад могут абсолютно не работать сегодня. Офицерам безопасности необходимо пересматривать свои меры. У нас есть чему поучиться у fintech-компаний: уже сейчас они следуют Agile и интегрируют решения по безопасности в свои новые продукты.

Мнение редакции:

Гибкий подход к проектированию и внедрению бизнес-процессов подразумевает отказ от построения бизнес-системы на основе планирования и неторопливой реализации. В условиях регулярных изменений информационная безопасность должна научиться оперативно реагировать на эти изменения и адаптироваться под них. Навесная безопасность – поверх процессов – уступает место безопасности, встроенной в эти процессы: безопасность «как фича». Фича бизнеса, которая позволит завоевать доверие клиента. Но что делать, когда инструменты безопасности не успевают за  требованиями бизнеса? Как работать в современных условиях? Именно об этом мы и собираемся говорить на BIS Summit 2016?

Узнать подробности о BIS Summit 2016

Оцените материал:
Total votes: 167
Тэги: 
 
Комментарии в Facebook
 

Вы сообщаете об ошибке в следующем тексте:
Нажмите кнопку «Сообщить об ошибке», чтобы отправить сообщение. Вы также можете добавить комментарий.