18 Октября, 2012

Искусственные риски

InfoWatch
Государственное регулирование в области ИБ можно рассматривать как создание дополнительных, искусственных рисков для предприятий.

С точки зрения теории рисков, все потенциальные опасности (в частности, наши любимые утечки) – это риски. Каждый оценивается по убыткам и вероятности возникновения, эти две величины перемножаются, полученная стоимость риска потом сравнивается со стоимостью защитных мер. Деньги на защиту тратятся в зависимости от стоимости соответствующего риска. Бывает, что не тратятся вообще, если стоимость риска слишком низкая, а защитных мер – высокая.

В эту самобалансирующую систему уже много лет вмешивается государство. С годами всё больше и больше. По его мнению, некоторые опасности недооценены. Предприятие ведь оценивает риски только для себя, а убытки бывают и для посторонних субъектов, например, граждан. Госвмешательство выглядит как появление в системе дополнительных рисков – рисков привлечения к ответственности за неисполнение тех или иных требований. У них тоже есть вероятность и убытки, их произведение даёт какую-то стоимость. Расставляя эти дополнительные гирьки, чиновники должны поменять баланс системы оценки рисков, чтобы в результате переоценки появились бы защитные меры, которые первоначально были предприятию невогодны.

Как видно, метод регулирования – косвенный. Желаемые защитные меры могут стать для предприятия выгодны, а могут и не стать. Реакция на дополнительные искусственно введённые риски может быть не такой, как задумано . Кроме того, в результате смены баланса может стать невыгодна прежняя защита – и от неё откажутся. Меняя баланс чужихоценок и не зная полного расклада, легко просчитаться и вызвать реакцию, которой не ожидал. А теперь представьте себе, что нормотворцы и регуляторы вообще не владеют теорией рисков. А гири-то им выданы довольно тяжёлые. «На тебе за заслуги. Поставь, куда хочешь.» И тут подаёт голос какой-то эксперт-очкарик со своими рисками-шмисками...

или введите имя

CAPTCHA
Илья
19 Октября, 2012
"Каждый риск оценивается по убыткам и вероятности возникновения, эти две величины перемножаются, полученная стоимость риска потом сравнивается со стоимостью защитных мер": К сожалению, это чистая теория. Если стоимость риска можно оценить хотя бы для некризисной ситуации, то вероятность возникновения риска можно вычислить только при наличии большого количества предыдущих событий. Или получится глупость вроде "нас за 15 лет никто не грабил, значит вероятность ограбления равна нулю".
0 |