понедельник, 7 апреля 2014 г.

Внедрение GRC. 12 советов из реальной практики

В данной заметке мы приводим фрагмент перевода статьи "12 tips for implementing GRC" с сайта http://www.csoonline.com, в котором специалисты по информационной безопасности, управлению рисками и соответствием требованиям делятся практическими советами по внедрению средств автоматизации процессов по общему управлению, риск-менеджменту и контролю соответствия (т.н. GRC-решений). 

Dave Notch, CISO, Thomson Reuters
  • Первый совет от меня: не пытайтесь сразу все сделать идеально, даже если кажется что вы знаете что вы хотите получить. Используйте итеративный подход. Это позволит в динамике оценивать достигнутый прогресс, а также требования заинтересованных сторон (которые зачастую могут меняться, либо могут быть не известны в начале проекта).
  • Будьте готовы "выкинуть" часть проделанной работы.  По мере того, как вы будете понимать потребности и желания тех, для кого предназначена внедряемая GRC-система, вам возможно придется отказаться от некоторых достигнутых результатов. Не принимайте это на свой счет, это нормально, это часть естественного процесса обучения и адаптации.
  • Наладьте нормальный процесс управления активами (это не имеет никакого отношения к выбору технического решения). До тех пор, пока у вас нет четкого представления о том, чем вы владеете, у вас не получится определить истинные причины возникающих проблем.  В своей компании мы разделили все активы на 3 категории и используем эту модель как призму для анализа всех имеющихся процессов и взаимосвязей. 
  • Сформируйте команду, состоящую из представителей юридического отдела, кадровой службы, ИТ и безопасности. Это позволит избежать ненужного дублирования в деятельности и разрабатываемых нормативных документах.  Такой подход в том числе облегчает жизнь, когда вам в силу служебной необходимости приходится вникать в вопросы из смежных областей.  А в условиях современных крупных компаний это не редкость. Совместная работа позволяет значительно проще обрабатывать подобные ситуации, когда они возникают. 
Kristen Knight, Privacy Director/Sr. Privacy Officer, NA Philips Electronics North America
  • Убедитесь что вы понимаете то влияние, которое окажет внедряемый продукт на операционную деятельность компании, до того как начнете проект. GRC-решения по своей сути ориентированы на использование широким кругом лиц. Даже деятельность топ-менеджмента компании может быть затронута внедряемым решением, поэтому убедитесь заранее что они готовы пройти через обучение и адаптацию процессов под новый инструментарий.  Если бы я полностью осознавала особенности продукта во время принятия решения о его покупке, то я бы поняла насколько проблематично будет  привлечь к обучению очень занятых топ-менеджеров. 
  • Автоматизация деятельности, реализуемая GRC-решениями, требует определенной зрелости существующих процессов в организации. Все сотрудники компании должны одинаково понимать каким образом будет использоваться инструментарий в их деятельности. В нашем случае это не сработало по причине того, что только небольшое количество лиц, ответственных за контроль соблюдения требований по защите персональных данных, обладали необходимой экспертизой для того чтобы корректно заполнить предоставляемый системой опросник. 
  • Будьте готовы к тому, что внедрение системы займет больше времени чем предполагалось. Но в тоже самое время не бойтесь "дернуть стоп-кран", если вы видете что все идет не так, как планировалось. В конечном итоге не стоит забывать, что основной задачей проекта является успешно работающая система.
Tom Malta, Senior Technology Risk Executive in financial services, including Goldman Sachs, Morgan Stanley, and BNY Mellon
  • Очень важно понимать, что в конечно итоге вы получаете инструмент, который нуждается во внимании и наполнении его необходимой информацией. Поэтому внедрение GRC-решения должно сопровождаться принятием необходимых политик и процедур. Если у вас нет собственных процедур, то бывает проще использовать встроенные процедуры, предлагаемые в продукте. 
  • Постоянно взаимодействуйте с сотрудниками и руководством, доносите до заинтересованных сторон сведения о том, на какой стадии в настоящее время находится проект. 
  • Внедрение GRC процессов не должно быть завязано исключительно на внедрении какого-то решения. Есть несколько простых вещей, которые вы можете реализовать очень быстро для того чтобы обеспечить поддержку инициативам в области управления рисками и соответствием требованиями, такие как, например, создание специализированных отчетов, привязанных к установленным в компании ключевым показателям (KPI). 
Jeff Bardin, veteran CISO from Investor's Bank & Trust, State Street Bank and Hanover Insurance Group
  • Проведите пилотное внедрение всех модулей продукта в качестве предварительного проекта по оценке применимости решения в вашей компании. Если пилотное внедрение окажется успешным, то можете смело переходить к полноценному внедрению. Как правило следование этому правилу позволит сократить итоговую стоимость внедрения, а также значительно быстрее добиться необходимого результата. 
  • Большинство GRC-решений поставляются вместе с некоторыми коннекторами, которые обеспечивают интеграцию с другими системами безопасности и источниками данных. Используйте эту интеграцию для повышения эффективности работы системы. 

Комментариев нет:

Отправить комментарий