Вариант 1.
Смотреть как это устроено у других (сюда же отнесем стандарты и бенчмарки), похожих на тебя, и выделять такой же бюджет, людей, средства защиты, и делать по аналогии
Вариант 2.
Использовать риск-ориентированный подход, рисовать карты рисков, создавать перечни недопустимых событий, мониторить индикаторы и математизироваьь принятие решений
Вариант 3.
Осваивать техники публичных выступлений и эффективно убеждать собственников и топ-руководство в своей полезности для получения карт-бланша
И как обычно опытные, сильные, крутые профессионалы с кучей хороших идей уходят в частности и полумеры.
В ответ на реплику Лукацкого про то, что по статистике CISO нужно 3 года для наведения порядка в своей организации, а в нашей реальности они меняют работу каждые 2 года, кто-то по-стахановски заявляет: значит надо ускориться и успевать все делать за 2 года! Вспоминаю историю про 9 женщин и перевыполнение плана рождения ребёнка в 9 раз.
И помнить, что люди-процессы-технологии - это не красивые слова, а суровая реальность. И в этой реальности из-за того, что в формуле есть ЛЮДИ, определённая доля хаоса и неопределенности - неизбежны. И система, или процессы, чтобы они работали должны быть ВНЕДРЕНЫ, т.е. прежде всего приняты ответственными ЛЮДЬМИ. А это уже вопросы психологии, социологии и мотивации труда всего коллектива организации, равно далёкие как от технических штуковин, так и от решений принятых в высоких кабинетах топами и собственниками.
Ближе всех в отечественной практике подошли стандарты семейства 57580 от Центрального Банка, которые включают и акценты на человеческий фактор, и на внедрение, и поддержку, и баланс техники и организации. За сложностью формулировок 57580 скрывается здравая установка на синтез целей организации (бизнеса/дела), её безопасности (пресловутый КЦД) и удовлетворённости клиентов (через непрерывность и качество услуги). А это и есть признак результативности и полезности ИБ.
Приходится ли вам доказывать свою полезность коллегам, топам и собственникам? Каким образом это делаете вы?
#Мудрота #Мероприятие #ТерриторияБезопасности2025 #PDCA #Процессы #Люди #Технологии #Риски
Please open Telegram to view this post
VIEW IN TELEGRAM
YouTube
Ситуационные модели управления ИБ | Рустам Гусейнов
4 апреля в Москве прошла конференция "Финтех-2024. Направления развития", которая была организована Kommersant events. В рамках мероприятия с докладом выступил председатель кооператива RAD COP Рустам Гусейнов. В своём выступлении он рассказал об инновационном…
👍13❤3👏2😁1
Кадры решают все 🤝
Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок.🪨
‼️ С кадрами, как и с devsecops, отлично работает парадигма shift left. Чем раньше мы выявляем подходящего или неподходящего человека, тем лучше и дешевле нам даются последующие коммуникация, интеграция, адаптация и сотрудничество. А в самоуправляемой организации, где рядовые сотрудники включены даже в контур стратегирования и как в "красных отрядах" 1917 могут буквально выбирать своих руководителей - адекватность подбора людей "на входе" становится ещё более критичной.
⚙️ Поэкспериментировав с разными подходами: от "как здорово, что все мы здесь сегодня собрались" до "берем крутых профессионалов с репутацией" и пообжигавшись на всех возможных практиках, мы выработали следующую схему подбора:
А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны❤️ );
Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы⏳ );
В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"❔ ).
🖋 Под капотом подхода лежит синтез трех инструментов: фреймворка вертикального развития У. Торберта, теории мотивации В. Герчикова и интерпретации процессного бизнеса в изложении М. Рыбакова. И пока полет, идущий по нарастающей с марта 2025 года, показывает отличные результаты (полностью мы поймем как это работает года через три!). Люди, отобранные по конкурсу априори гораздо более открыты к сотрудничеству, лучше переносят стресс характерный для консалтинговых компаний, а главное четко понимают "во что они вписались" и какой конкурс был на их место.
Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации.🌄
А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой🤝
P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель).
#Люди #HR #КадрыРешаютВсе
Находясь на одной ESG конференции (так называется популярная в мире и России повестка: экология-общество-руководство, призванная воплотить тренды чистоты и человеколюбия на Земле) и слушая про пресловутый "дефицит кадров" вспоминаю наш путь мытарств и ошибок.
А. Подбор в кооп всегда конкурсный (исключения возможны, но в суперредких случаях, когда человек либо приводит гарантированную клиентскую базу, либо передает внутрь какую-то супер технологию и практику, либо имеет длительный анамнез работы с кооперативом как фрилансер и проявился в разных ситуациях с лучшей стороны
Б. Подбор построен на онлайн-игре в Zoom, где соискатели решают максимально релевантный их роли кейс в составе команд из 2-3 человек (дополнительно проверяется кооперативность игроков). В одной команде - другие конкурсанты, соревнующиеся за роль (например, пентестеры пытаются взломать тестовый сайт; менеджеры проектов решают задачу реорганизации сквозного бизнес-процесса; аналитики вычитывают документы
В. Оценки лучших и наиболее адекватных для конкретной роли людей ставятся не только кооператорами, но и самими участниками игры, с использованием релевантных для роли аргументов и обоснований (мы спрашиваем участников: кого на ваш взгляд надо взять на роль и почему, т.е. люди не отчуждаются от процесса и не превращаются в "коней, которым смотрят зубы"
Сами соискатели, прошедшие игру, отзываются о ней позитивно, и что наиболее интересно: в 60% случаях советуют взять другого человека. А иногда просят создать общий чат с другими игроками - так им нравится формат обмена опытом и синхронизации.
А как вы относитесь к "групповушке" в хорошем смысле этого слова? Был ли у вас подобный опыт? На какие роли? В каких организациях? М.б. были кейсы неудач? Давайте обменяемся мудротой
P.S. Во вложении - пример второго этапа подбора. Психометрическое тестирование ПИФ Экопси. Результаты которого, вместе с рекомендациями по персональному развитию, выдаются всем участникам, которым мы готовы сделать оффер (это позволяет нам причесать субъективный взгляд "приемной комиссии" об некий "объективный" внешний измеритель).
#Люди #HR #КадрыРешаютВсе
Please open Telegram to view this post
VIEW IN TELEGRAM
🥴15❤7👍5👏1