Перейти к содержимому. | Перейти к навигации

Персональные инструменты
Вход Регистрация
Вы здесь: Главная БЛОГИ Александр Астахов Нужна ли руководителям ИБ экономически оправданная безопасность?
Protectiva Compliance Manager
Навигация
 

Нужна ли руководителям ИБ экономически оправданная безопасность?

Автор: Александр Астахов опубликовано: 28-06-2009 последнее изменение: 28-06-2009

Мы уже не первый год обучаем специалистов и руководителей методам оценки рисков информационной безопасности, позволяющим принимать адекватные и экономически обоснованные решения, а также оценивать эффективность (в том числе и экономическую) деятельности службы ИБ. Однако сами руководители ИБ далеко не всегда заинтересованны в экономически оправданной безопасности и объективной оценке экономического эффекта их деятельности.

Основным побудительным мотивом для вкладывания каких-либо средств в безопасность всегда являлся страх. На страхе основан и внешний и внутренний маркетинг безопасности. Размер бюджета, выделяемого на безопасность, прямо пропорционален степени обеспокоенности руководства организации этими вопросами. Чем сильнее руководителю ИБ удастся запугать свое руководство информационными угрозами, тем выше будет его значимость и лучше будет финансироваться его служба.

Какие последствия для службы ИБ может иметь внедрение процесса управления рисками, при котором руководство организации будет осознанно принимать риски, опираясь на свою оценку среднегодового ущерба от инцидентов безопасности, как это рекомендуется международными стандартами? Что если эта оценка не будет "браться с потолка", а будет определяться по прозрачной методологии, доступной для понимания и проверки всем заинтересованным сторонам, и будет опираться на мнения руководства организации, экспертов и представителей бизнеса? Вдруг такая оценка наглядно покажет, что многие затраты на безопасность не являются оправданными с экономической точки зрения? Вдруг руководство осознает и примет все риски? Что если безопасность перестанет бороться со страхами руководителей и собственников бизнеса, а вместо этого начнет работать на бизнес, помогая ему не тратить, а экономить деньги?

От таких вопросов многих руководителей ИБ мог бы прошибать холодный пот. Успокаивает их лишь то, что многие из них искренни не верят в возможность получения достоверных количественных оценок информационных рисков, которые были бы понятны их боссам и могли бы использоваться для принятия экономически оправданных решений.

Какой подход выгоден собственникам и руководителям организации сомнения не вызывает, а вам, безопасники, что более выгодно: экономически оправданная безопасность или традиционная безопасность, основанная на страхе? Мне почему-то кажется, что я знаю правильный ответ на этот вопрос.

Comments (2)

Посетитель 01-07-2009 05:50

--

Я думаю для многих специалистов в области ИБ более выгодным будет экономически оправданная безопасность по следующим причинам:
- выполняемые работы по ИБ всесторонне поддерживаются руководством (удобно работать...);
- появляется чувство своей полезности, востребованности и нужности для организации (а то получается так, что ИБ-ешники что-то затевают, но их затеи тока всем мешают:)).
Александр Астахов 01-07-2009 08:25

оптимистичный взгляд

Вообще-то я, в глубине души, тоже так думаю, учитывая то, что руководителей российских предприятий редко можно упрекнуть в перерасходе средств на ИБ или в излишнем внимании данному вопросу. Тем не менее оценка риска легко может показать, что выделяемые на ИБ средства расходуются неоптимальным образом.
Как стать участником |  Что может участник  |  Как работать с порталом  |  Реклама |  Авторские права  |  Контакты  |  Конкурсы  |  RSS  |  Форум
©2003 - 2021 GlobalTrust
Рейтинг@Mail.ru Rambler's Top100 Yandex