Да на кой нам эта ИБ?

Да на кой нам эта ИБ?
Каким образом службе ИБ доказать свою эффективность или просто даже хотя бы элементарную нужность? Вопрос непростой. Если, например, отделу продаж или ИТ-отделу не нужно лишний раз говорить, что они молодцы, потому что и так видно, как быстро богатеет фирма и как часто простаивают сломанные компьютеры, то с ИБ всё гораздо сложнее. Инцидентов нет - и непонятно, почему. То ли ИБ и вправду молодцы, стараются, то ли просто повезло.
Поэтому иногда в головах некоторых топ-менеджеров возникает вопрос: так а на кой нам эта ИБ вообще сдалась, если непонятно, что она делает и за что получает деньги? Вопрос озвучивается на очередном совете директоров, и иногда так бывает, что ИБ вливается в другую службу (чаще всего, в ИТ или в СБ), чтобы "оптимизировать расходы". Расходы оптимизируются, и, если компании везет и утечки какое-то время обходят её стороной, то руководство радостно потирает руки. До тех пор, пока не грянет гром.
Понятно, что как тут правильно писали в комментариях, можно посчитать риски и экономически обосновать существование ИБ в компании. Но сделать так, чтобы руководство вняло этим расчетам, часто сложно, потому что перебороть аргумент "вы ж всё равно ни хрена не делаете" достаточно сложно. Даже сложнее, чем что-то делать в таких условиях.
Конечно, нельзя сказать, чтобы такой отказ от ИБ был тенденцией, но косые взгляды в её сторону неизбежны практически в любой компании. Потому что... непонятно. А объяснить на пальцах не всегда получается. Издержки профессии? Видимо так.
Р. Идов,
аналитик компании SearchInform
корпоративная ИБ
Alt text

СёрчИнформ

Взгляд на информационную безопасность от компании SearchInform и сторонних экспертов.