ECM-инициативы и информационная безопасность
Почему с инициативой по внедрению ECM-системы лучше обратиться к отделу информационной безопасности, а не к делопроизводителям, ИТ-специалистам или юристам.
В сегодняшней статье – мнение Джо Шепли, вице-президента компании Doculabs. Автор расскажет, почему с инициативой по внедрению ECM-системы лучше обратиться к отделу информационной безопасности, а не к делопроизводителям, ИТ-специалистам или юристам.
Здесь приведем основные идеи статьи. Оригинал читайте на сайте CMS Wire.
Экономическое обоснование
Без поддержки и финансирования руководства ECM вечно ставится на последнее место в списке приоритетов развития компании. Причем абсолютно не движется вверх в этом списке. Причина проблем с финансированием ECM-инициатив – неспособность делопроизводителей и ИТ-отделов предоставить убедительное экономическое обоснование для внедрения ECM-системы.
В худшем случае они полагаются на расплывчатые идеи вроде экономии времени на поиск документов, используя при этом неопределенные и обобщенные термины, на которые руководители никогда не купятся. В лучшем – они явно связывают ECM с ощутимыми улучшениями в бизнесе, но отпугивают руководство сложностью организационных изменений. Финансирование всегда получают более простые проекты вроде «делаем как раньше, но лучше», чем инициативы, влекущие за собой значительные изменения.
В большинстве крупных компаний у отделов информационной безопасности уже есть достаточное финансирование и поддержка, направленные на организацию надежного хранения данных. Обычно это включает в себя построение ИТ-инфраструктуры, способной защитить конфиденциальные данные от злоумышленников. В последнее время, однако, специалисты по информационной безопасности заинтересованы и в более эффективном управлении информацией. Их цель – минимизировать ущерб от несанкционированного доступа, если он все же случился.
Увольнения
Есть еще одна причина, по которой владельцем ECM лучше быть отделу информационной безопасности, а не ИТ-отделу или делопроизводителям. От их успеха или провала может зависеть, сохранит ли гендиректор свою работу.
Ни один президент компании еще не был уволен за то, что его сотрудники тратят слишком много времени на поиск документов. Поэтому когда начальник отдела информационной безопасности говорит своему руководителю, что нужно что-то сделать, шанс, что это действительно сделают, гораздо выше, чем если бы просьба исходила от делопроизводителя.
Что в реальности?
Представим, что в компании хранится конфиденциальная информация: личные сведения, интеллектуальная собственность. Любой стоящий специалист по информационной безопасности уже давно не верит в то, что все утечки информации можно предотвратить. Более того, многие скажут вам, что утечка – лишь дело времени. Именно поэтому работы, направленные на защиту корпоративной информации, ведутся по двум направлениям: непосредственная защита (построение надежной ИТ-инфраструктуры) и минимизация ущерба от несанкционированного доступа.
Последнее направление имеет прямое отношение к ECM-системам, потому что лучший способ минимизировать ущерб от утечки информации – это хранить меньше конфиденциальных данных в принципе, и точно знать, в каком месте они хранятся, чтобы в случае несанкционированного доступа быстро оценить масштабы ущерба.
Специалисты по информационной безопасности прямо заинтересованы в определении точного места хранения конфиденциальных данных. Это позволит лучше управлять секретной информацией в том месте, где она сейчас хранится, или переместить ее туда, где управлять ей будет удобнее. В процессе они также захотят избавиться от ненужной, устаревшей и промежуточной информации, чтобы проще управлять действительно важными данными. Эффективное управление конфиденциальной информацией обычно заключается в настройке прав доступа в соответствии с политикой безопасности компании, предотвращении потери данных, но может включать и предоставление пользователям удобного многофункционального интерфейса для работы с информацией, чтобы они использовали единую систему вместо различных обходных решений.
Кроме того, специалисты по информационной безопасности заинтересованы в том, чтобы количество приложений, используемых в работе сотрудниками компании, находилось в разумных пределах. Чем больше систем – тем больше возможностей для взлома. Часто компании используют множество приложений для решения разных задач. Часть этих приложений – устаревшие приложения собственной разработки, которые сложно привести в соответствие современным стандартам безопасности. И, как уже было сказано, чем больше систем получает регулярный доступ к данным, тем сложнее определить, на какую из них покушался злоумышленник.
Заключение
Вопрос о том, какой отдел компании должен заниматься ECM-системой, пока остается открытым и требует дальнейшего обсуждения. Однако, как замечает автор, ECM-системы, традиционно связываемые с ИТ-специалистами и делопроизводителями, могут помочь специалистам по информационной безопасности минимизировать ущерб от несанкционированного доступа к информации. К тому же, специалисты по безопасности чаще других получают финансирование и поддержку от руководства. Это, как минимум, делает вопрос достойным обсуждения.
Источник: CMS Wire
Комментарии 1
Хороший провокационный вброс, но, на мой взгляд, в основе поданная под другим соусом чисто коммерческая основа. Что-то вроде того - коллеги, если нам не удается внедрять ECM через ИТ и делопроизводителей, не забудьте попробовать зайти через безопасников. Главное – в голове отложилось и за это автору большой плюс. Наверное, в некоторых компаниях можно и так, но в абсолют эту идею возвести не получится. Во-первых, все-таки владельцем должен быть основной пользователь. Во-вторых, в каждой компании свой рецепт успеха. Где-то CEO заточен на бизнес, где-то на ИТ и т.п. На мой взгляд, в организации еще на верхнем уровне должна существовать идея необходимости следовать по пути инноваций, а также должна быть служба/проектный офис, занимающаяся внедрением инноваций совместно с заказчиками продукта. Ведь зачастую существует совсем другая проблема: всем понятно, кому и зачем это надо, просто делать и разбираться, как и кому делать, никто не хочет («некогда»).