フィリアス・フォッグ
今日の世界では、セキュリティはビジネス開発における基本的な要素の1つです。 不要な単語は必要ありません! ここでの反省のトピックは、起こりうるインシデントに対する保護を保証する効果的なセキュリティシステムの構築と維持にビジネスが投資する準備ができている投資の量にすぎません。
この問題には単純な解決策はありません。ビジネスを保護するための適切な戦略を選択するには、詳細な分析を行い、目標を明確にし、それらを達成するための適切なアプローチを選択する必要があるためです。 原則として、中規模および大規模企業にとって最も最適なアプローチは、セキュリティシステムの段階的な実装です。最も重要な資産の保護から始めて、優先度の低い資産も含めて徐々に領域を拡大します。 大きなことは小さなことから始まり、セキュリティシステムが正しい方向に発展し、特定の日付までに必要な成熟度に達するという保証を得るには、会社を保護するために設計されたプロセス自体に特別な注意を払う必要があります。 このようなプロセスには、インシデント管理、リスク管理、継続性管理、アクセス制御、変更制御などが含まれます。 会社がそのようなプロセスの正しい実行に十分な注意を払えば、セキュリティシステムを構築するプロジェクトはほぼ成功する運命にあります。
これらのプロセスを正しく実行するには、管理する必要があります。 管理は、計画、監視、有効性の評価、適切なサポート、およびそのようなニーズが発生した場合の修正で構成されます。 このアクティビティで非常に重要な点は、情報の収集、処理、分析、およびプロセス実行者やその他の利害関係者との交換で構成される人々の相互作用です。 これは、プロセス管理アクティビティの大部分を占めます。
中規模(および特に大企業)の場合、最初はセキュリティシステムの実装領域が小さいにもかかわらず、これはすでにかなりの量の作業を表しています:会議、インタビュー、受信した情報の記録、データ分析、戦略と是正措置の策定、計画の策定、アクティビティの監視セキュリティシステムとプロセスの実装。 この領域での大量の作業は、常に大量の情報を決定します。
これは疑問を提起します:大量の情報で効果的な仕事を確実にする方法は?
もちろん、責任ある従業員は効果的な分析技術を学び、学習に焦点を合わせ、プロセス管理のベストプラクティスを使用する必要があります。 ここでは、次のソリューションも明らかです。収集、分析、および相互作用のプロセスの自動化、プロセスのすべての参加者のための共通情報フィールドの作成。
後者のソリューションを実装するには、次のような特別な情報システムを使用する必要があります(その前に作成します)。
- そのようなシステムのユーザーとの情報交換を提供します
- 情報の処理を自動化します
情報システム自体は万能薬ではありません! 主な作業(収集、分析、意思決定)は、適切なツールがあり、時間をかけて必要なデータを長時間検索したり、あるアプリケーションから別のアプリケーションにデータをコピーするなど忙しくないという条件で、人が行います。
特殊なシステムを装備した人は、共通の情報フィールドにアクセスできます。このフィールドには、必要なすべての情報が含まれており、他の従業員と効果的に対話できます。 このコンテキストでは、ExcelタブレットとWord文書は受け入れられるオプションではないようです。
適切な情報システムを選択する際には、次の決定を行う必要が常にあります。目標を確実に達成するには、どのシステムを選択するのが最適ですか。 この場合、目標は情報セキュリティプロセスの効果的な管理です。
通常、次のようなオプションがあります。
- 手頃な価格の無料システムを見つけて使用する
そのようなシステムは存在しますが、機能の制限、不当な信頼性、パフォーマンスエラーなどの特定の不利な点があります。将来、プログラマーが社内に既に実装されている他の情報システムと統合できるようにする必要もあります。 - そのようなシステムをゼロから開発する
これを行うには、情報セキュリティにおいて、私たち自身の資格のある建築家、プログラマー、エンジニア、応用分野の専門家が必要です。 この場合、必要なコンピテンシーを持ち、ビジネスアプリケーションの開発を専門とする別の企業を誘致することが有益な場合がよくあります。 もちろん、これには追加の投資が必要です。 しかし、そのような選択も正当化できます。 - 既に運用中のシステムを使用する
これは、「手元にあるものを使用し、他のものを探しない」という原則に基づくよく知られたアプローチであり、システムを購入するために追加の投資を必要としません。 一般的に使用されるシステムは完全にはロードされていません。 そのため、すでに支払われたリソースの利用を増やす機会があります。 反対の場合、システムがロードされると、必要な容量に拡張できます。これは、新しいシステムを購入するよりも安価です。 このアプローチにより、より少ない投資で、このシステムで自動化された既存のプロセスとのより高いレベルの統合を実現できます。 - 既製のシステムを購入する
このアプローチは問題を解決しますが、通常は最も高価なソリューションです。 議論中のクラスの実装システムの準備は、長い間外国の開発者によって開発されており、豊富で多様な機能を備えています。 これは、そのようなシステムのコストを小さくできないことを意味します。 10年以上にわたってセキュリティプロセスを扱ってきた非常に大規模な外国企業にとって、幅広い機能が主要な基準であり、そのため、こうしたシステムの主要な顧客です。 ただし、セキュリティシステムの実装を開始したばかりのロシアおよびウクライナ市場の企業は、原則として、実際に使用される必要最小限の必要な機能のみを必要とします。 CIS市場では、今後5年間で購入者が使用しない余分な機能を備えたシステムの高コストにより、このような深刻な投資は疑わしいものになります。
私たちの市場にはさまざまな目標と能力を持つ多くの企業がありますが、大規模および中規模の企業にとって最も経済的に有利なアプローチは、独自のシステムを構築して完全に活用し、その後機能を強化することです。
私の会社では、セキュリティプロセス管理システムの構築のために、長年にわたって使用に成功したMS SharePointを選択しました。
これには、次のような明らかな前提条件がありました。
•Webベースの使いやすいインターフェイス
•このシステムはすでによく知られており、すべての従業員が積極的に使用しています。
•便利なアクセス制御
•追加の詳細なアクセス制御コンポーネントの可用性
•豊富な機能:
- 全データ検索(FAST Search)
- ビジネスインテリジェンス(Excel Services、PerformancePoint、Visio、Webパーツ、Webダイアグラム、フィルターフレームワーク)
- Officeクライアントの統合(Business Connectivity Services)
•1つの情報プラットフォームに基づいて、開発したシステムを既存のビジネスプロセス管理システムと簡単に統合する機能
•開発の柔軟性:
- 制御システムの開発は独立して行うことができます
- 必要に応じて、情報セキュリティとプロセスの最適化の分野でプログラマーと主題の専門家が関与
•最低投資額
セキュリティプロセスとビジネスプロセスの統合は非常に重要なポイントです。 単一の情報システム内のこのような組み合わせは、別の追加の、そしてもちろん、非常に重要な利点を提供します-企業全体の重要な生産情報を交換するための共通ポータル。 会社の資産、従業員、部門、分析された問題のリストは、原則としてシステムに既に存在するため、そのような情報を管理する機能を追加するために追加のリソースを費やす必要はありません。
その結果、最小限の投資で、このようなプロセスを管理するための本格的なInfopulse Corporate Security Management Systemツールが構築されました。
- 固定資産管理
- インシデント管理
- 企業のリスク管理
- 事業継続
- 個人データ保護システム管理
- セキュリティ管理
- 安全コンプライアンス
- セキュリティタスク管理
- セキュリティ知識管理
- セキュリティコミュニケーション
このシステムは、エンタープライズセキュリティ管理のフレームワークでプロセス、システム、関連データをカバーする単一の情報フィールドを実装し、セキュリティシステムのすべての重要なコンポーネントの現在のステータスを一元化したドキュメントと監視も可能にします。
日曜大工ツールを使用した日常業務の利便性により、上記の考慮事項を活用して自分の経験を共有したいと思いました。 情報セキュリティの分野で同僚に役立つことを願っています。