Стратегія трансформації функції інформаційної безпеки

У галузі Консультаційні послуги

Через кризові події, підприємства стрімко впроваджують нові технології для відповіді новим викликам ведення бізнесу. Під час їхнього впровадження, 58% респондентів опитування EY Global Information Security Survey стверджують, що часові межі були надто стислими для впровадження належних заходів інформаційної безпеки, а 56% не завжди знають, чи достатньо захищені від нових стратегій хакерів. У той час, коли компанії впроваджують нові ініціативи щодо трансформації, ризик кібератак зростає. У свою чергу, керівники інформаційної безпеки мають можливість продемонструвати стратегічну важливість своєї ролі та трансформувати інформаційну безпеку разом з бізнесом.

Як EY може допомогти

Ми пропонуємо нашим клієнтам розробити та впровадити стратегію інформаційної безпеки, що ґрунтується на економічно-доцільному ризик-орієнтованому підході, з урахуванням ландшафту загроз, специфічних для організації.

Такий підхід дозволить інформаційній безпеці стати стратегічним партнером бізнесу, що підтримує нові ініціативи, спрямовані на досягнення цілей організації, її місії, та в той же час забезпечувати належний рівень безпеки і перешкоджати збиткам від реалізації ризиків.

Основні переваги стратегії, яка впроваджується за цим підходом:

  • Ефективний розподіл та використання ресурсів і діяльність всієї організації в сфері інформаційної безпеки
  • Адаптивність до змін бізнес-середовища
  • Підвищена увага до виконання регуляторних вимог
  • Прозорість інвестицій в інформаційну безпеку
  • Ефективне планування та реалізація ініціатив
  • Якісне та кількісне вимірювання ефективності та правильне звітування підвищить задоволеність роботою функції

Що ми робимо

Ми аналізуємо поточний стан інформаційної безпеки та розробляємо цільовий стан усіх компонентів Операційної Моделі функції інформаційної безпеки - сукупності всіх факторів, які впливають на змогу функції досягати цілей, які перед нею ставить організація:
  • Корпоративне управління
    • Цілі інформаційної безпеки та їх відповідність цілям бізнесу
    • Підпорядкованість функції на рівні вищого керівництва
    • Структура колегіальних органів, де розглядаються питання ІБ
    • Взаємодія з іншими підрозділами та вищим керівництвом
    • Звітність з питань ІБ та її формат
  • Політики
    • Структура нормативної документації та її повнота для покриття діяльності функції ІБ
    • Процес управління документованою інформацією з інформаційної безпеки
  • Процеси
    • Існуючі процеси ІБ та їх зрілість для підтримки операційної діяльності
    • Процеси, що не виконуються, чи виконуються неефективно або частково
  • Технічна архітектура
    • Необхідні, економічно-доцільні технічні засоби захисту від властивих організації загроз
    • Засоби автоматизації та підвищення ефективності процесів ІБ
  • Організаційна структура
    • Структура підрозділу з інформаційної безпеки та її відповідність бізнес стратегії, та стратегії сталого розвитку
    • Основні ролі та обов’язки, й ефективність їх розподілу
    • Драйвери чисельності персоналу для виконання поточних та перспективних задач
  • Люди і компетенції
    • Структура компетенцій співробітників функції ІБ
    • Процес навчання та розвитку компетенцій співробітників
    • Процес управління мотивацією співробітників
  • Вимірювання ефективності
    • Основні ризики ІБ організації та ключові індикатори ризику для їх вимірювання
    • Ключові показники ефективності (КПЕ), як окремих ролей та підрозділів, так і функції в цілому

Після узгодження цільового стану та шляхів його досягнення з представниками замовника, ми розробляємо дорожню карту проєктів трансформації. Якщо необхідно, ми допомагаємо нашим клієнтам реалізовувати програму трансформації, чи окремі її проєкти.

Також, ми можемо фокусуватись на окремих компонентах Операційної Моделі, відповідно до потреб клієнта.

Чому EY?

Наша команда має величезний досвід з реалізації різноманітних проєктів з інформаційної безпеки, в тому числі щодо з розробки стратегії трансформації функції ІБ. Команда EY в Україні виконала більше 10 таких проєктів за останні 5 років для провідних локальних і міжнародних компаній своєї галузі. Для формування нашого підходу, ми використовуємо провідні практики інформаційної безпеки, зокрема, ISO 27001, NIST Cybersecurity Framework, SANS CIS Controls та інших.

Зв'яжіться з нами