Зрелость процессов при управлении рисками ИТ/ИБ
У меня есть вопрос. Должны ли уровни зрелости процессов определять эффективность и результативность контроля, например, над рисками присущими ИТ/ИБ?
В рамках системы внутреннего контроля и управления рисками в вашей организации, зная о рисках и угрозах, присущих любому процессу организации, включая ИТ и ИБ, будете ли вы учитывать уровень зрелости организации и непосредственно процессов организации при внедрении процедур?
Например, вы оцениваете зрелость случайного процесса ИТ как недостаточно зрелую, скажем, по шкале от 1 до 5, зрелость процесса оценивается примерно в 3. Будете ли вы внедрять и ожидать операционной эффективности от реализованного мероприятия, процедуры контроля?
Или вы ограничитесь просто реализацией процедуры, не ожидая ее регулярного выполнения, без операционной эффективности? Например, ну сделали что-то 1 раз в год и так до следующего года? Или — внедрили процедуру, а далее ответственность за ее применимость, эффективность и т.д. полностью на том, кому эту процедуру «подарили»?
По моим скромным наблюдениям, очень часто при управлении рисками, создании и внедрении каких-либо контрольных процедур, т.е. процедур направленных на снижение возможных рисков присущих процессам ИТ/ИБ или иным бизнес-процессам организации, можно услышать — «У нас недостаточно зрелые процессы…», «Люди не готовы…» и т.д.
Однако, многие руководители забывают, что после внедрения, внедренная процедура должна исполнятся не просто один раз, а соизмеримо, эффективно, регулярно и консистентно, на протяжении всего периода существования риска, присущего данной области, процессу. Риску, который такая процедура призвана снизить или устранить.
Например, сложно представить, что кто-то будет рад тому, что ожидаемое поступление зарплаты на ваш банковский счет будет осуществляться с разной периодичностью, на разные суммы…, а иногда и вовсе не начисляться. Более того, главный бухгалтер объяснит это недостаточной зрелостью процесса…
Каков ваш опыт в реальности или совет коллегам? Будете ли вы реализовывать только дизайн и возлагать всю ответственность на владельца процесса или на что-то еще, не ожидая операционной эффективности от процедуры?
