1 Июля, 2013

Почему всё так плохо с риск-менеджментом в сфере ИБ?

Роман Идов
Поскольку о рисках сегодня говорят все и всюду, то и я не могу остаться в стороне на нашем корпоративном блоге:) Тема, что и говорить, актуальная и злободневная. Ведь для бизнеса вся его деятельность - это один сплошной риск. И бизнесмены, надо отдать им должные, быстро учатся взвешивать риски и принимать на основе их оценок решения. А те, кто не учатся, в бизнесе надолго не задерживаются.
Почему же такая проблема с риск-менеджментом в сфере информационной безопасности? Почему множество современных российских бизнесменов смотрит на ИТ-риски как на что-то, не заслуживающее даже минимального внимания?  Меня уже давно занимал этот вопрос, но я объяснял себе всё тем, что это просто сила привычки. Пройдет пара лет, о рисках напишут везде, везде наймут безопасников, занимающихся именно информационной безопасность, и они обратят внимание своих боссов на проблему.
Время шло. Безопасников, действительно, становилось всё больше, но почему-то подавляющее большинство было занято вопросами составления инструкций и описи всего на свете, чем реальной борьбой с реальными угрозами (сказывалось, видимо, армейское или милицейское прошлое). Бизнес же занимался риск-менеджментом в сфере "больших" управленческих проблем, тоже слабо интересуясь информационной безопасностью.
Но ситуация продолжает меняться. На флэшке рядового бухгалтера сегодня столько информации, что хватит любому директору на несколько томов уголовного дела. А еще каждый ходит с планшетом или смартфоном. Потеряй их - потеряешь и массу бизнес-контактов, доступ к своей электронной почте (если не успеешь, потеряв, добежать до компьютера и сменить пароль), и вообще, как говорят в народе, поимеешь массу "гемора". И нельзя сказать, чтобы бизнес с этим не сталкивался. Просто почему-то подобные вещи воспринимаются как неизбежное зло, и потерянный ноутбук не заставляет руководство устанавливать на следующем софт для шифрования жесткого диска.
В чем причина? Мне кажется, что проблема в том, что всякий инцидент в сфере ИБ - это бомба замедленного действия, а бизнес привык иметь дело с мгновенной реакцией на свои шаги, как позитивной, так и с негативной. Та же ситуация, к примеру, с рекламой и пиаром - многие компании не занимаются ими, предпочитая рассылать бумажный и электронный спам, просто потому, что не видят быстрого отклика рынка на свои действия. А когда потом из-за ИБ-инцидента бизнес закрывается, его владельцу кажется, что ему просто не повезло.
То есть, проблема - в отсутствии системного подхода и даже, я бы сказал, системного видения, где есть место и вопросам информационной безопасности. Хотя, может быть, я и ошибаюсь - это только моё мнение. Поэтому готов поспорить с вами в комментариях.
P.S. Кстати, недавно опубликовал небольшую статью-ликбез по рискам, кому интересно, можете ознакомиться .
Р. Идов,
ведущий аналитик компании SearchInform
или введите имя

CAPTCHA
Pelot
2 Июля, 2013
Замечание к статье http://www.kv.by/content/325678-upravlenie-riskami-informatsionnykh-sistem: Риск - это не возможность - а комбинация вероятности и ожидаемого уровня потерь. Рекомендую ознакомиться с первоисточниками. Дальше не читал.
0 |
  • Поделиться
  • Ссылка