Каким образом службе ИБ доказать свою эффективность или просто даже хотя бы элементарную нужность? Вопрос непростой. Если, например, отделу продаж или ИТ-отделу не нужно лишний раз говорить, что они молодцы, потому что и так видно, как быстро богатеет фирма и как часто простаивают сломанные компьютеры, то с ИБ всё гораздо сложнее. Инцидентов нет - и непонятно, почему. То ли ИБ и вправду молодцы, стараются, то ли просто повезло.
Поэтому иногда в головах некоторых топ-менеджеров возникает вопрос: так а на кой нам эта ИБ вообще сдалась, если непонятно, что она делает и за что получает деньги? Вопрос озвучивается на очередном совете директоров, и иногда так бывает, что ИБ вливается в другую службу (чаще всего, в ИТ или в СБ), чтобы "оптимизировать расходы". Расходы оптимизируются, и, если компании везет и утечки какое-то время обходят её стороной, то руководство радостно потирает руки. До тех пор, пока не грянет гром.
Понятно, что как тут правильно писали в комментариях, можно посчитать риски и экономически обосновать существование ИБ в компании. Но сделать так, чтобы руководство вняло этим расчетам, часто сложно, потому что перебороть аргумент "вы ж всё равно ни хрена не делаете" достаточно сложно. Даже сложнее, чем что-то делать в таких условиях.
Конечно, нельзя сказать, чтобы такой отказ от ИБ был тенденцией, но косые взгляды в её сторону неизбежны практически в любой компании. Потому что... непонятно. А объяснить на пальцах не всегда получается. Издержки профессии? Видимо так.
Р. Идов,
аналитик компании SearchInform
