Диалог получился очень живым и интересным, хотя сама по себе тема непростая. Ведущие в процессе разговора отметили, что постоянно происходит смешение контекстов, когда функция ИБ, с одной стороны, воспринимается именно как бизнес-функция, а с другой как технологическая и сервисная.
Отдельно обсудили, когда должны стартовать качественные изменения и переход с одного уровня зрелости ИБ на другой. Пришли к выводу, что мониторить изменения нужно постоянно. Драйверами, подталкивающими организацию к изменениям, могут быть: регуляторные требования, внешние факторы, кризис или крупный инцидент в отрасли или самой организации, а также рост, масштабирование и распределенность бизнеса, открытие новых бизнес-направлений или вывод на рынок нового продукта или услуги. Если катализатором трансформации является рост бизнеса, важно еще на этапе бизнес-плана предусмотреть блок по информационной безопасности, так как ИБ может являться источником информации для принятия взвешенных управленческих решений уже на старте проекта.
Ведущие разобрали, является ли функция ИБ распределенной или ее полностью должна осуществлять служба информационной безопасности. Все ведущие сошлись на том, что функция ИБ распределенная, выполнять ее должны все сотрудники компании от генерального директора до простых исполнителей.
Помимо этого, поднималась тема метрик эффективности функции ИБ. Ведущие попробовали ответить на вопрос, можно ли измерить результативность или эффективность информационной безопасности? Пришли к выводу, что сейчас традиционно измеримость ИБ принято оценивать через метрики, связанные с поддержанием технологического процесса, а не с бизнес-целями организации. Для качественного изменения ситуации необходимы новые подходы или новый взгляд на процессы ИБ.