Почему менеджерам пофиг ИБ и плевать на PRISM. Часть 1.

Почему менеджерам пофиг ИБ и плевать на PRISM. Часть 1.
Сетуя на безразличие "бизнес-пипл" к вопросам и проблемам ИБ, мы часто забываем о том, что все люди разные. Я уже неоднократно говорил и писал об этом, но давайте разберем один из важных нюансов разнообразия человеческих мотивов когда речь заходит за безопасность .

Почему бизнесам начхать на хакеров? Нет, на словах, не начхать, конечно. Если вы придете к своему боссу и расскажете о богатстве и многообразии трындецов, таящихся в недрах Интернета, "бизнес-пёрсон" вас, конечно же, выслушает. Внимательно, искренне стараясь вникнуть. Может быть, даже глаза от удивления округлит. Но когда вы начнете, грубо говоря, просить денег, то найдется целый ворох причин вам их не дать. Пока. То есть, совсем.

Ситуация, я думаю, всем знакомая. Попытаемся разобраться.

Для начала давайте вспомним, о чем думает менеджер. Некоторые ошибочно полагают, что цели менеджеров должны совпадать с целями бизнеса, которым они руководят. Это не всегда так, вернее очень редко так. Обычно, менеджер думает о бонусе, ожидающем его в конце финансового года, то есть, о финансовых показателях компании. Эти показатели на жаргоне бизнесов называются "боттом лайн", то есть, итоговая прибыль после вычета всех убытков, налогов, издержек, оплаты труда, амортизации основных средств... в общем, вы поняли. Подытожим: менеджер думает о боттомлайне и мечтает как можно больше его повысить.

Любой вид деятельности компании влияет на боттомлайн. Доходные процессы его повышают, расходные – понижают. Где здесь место безопасности? Не очевидно. С одной стороны, безопасность это исконно расходная часть бюджета: тратим, тратим, а отдачи (прибыли) – никакой. С другой стороны, безопасность, по-идее, должна защищать нас от неких угроз, которые могут понизитьботтомлайн. Как подсчитать адекватные затраты на ИБ – это тема из оценки рисков, давайте ограничимся характером ИБ как вида деятельности бизнеса. Итак, ИБ – это расходная часть, которая "страхует" нас от понижения боттомлайна.

Не забываем о том, что за пределами компании тоже есть жизнь: существуют конкуренты, каждый из которых точно так же (или немного иначе) старается повысить свой боттомлайн. Все конкурирующие участники рынка борются за свою часть "пирога": общего объема трат клиентов на предлагаемый ими продукт.

Вооружившись изложенным выше, представьте себе, какой будет реакция менеджера, который узнает, что есть в этом мире нечто, способное навредить кому угодно, то есть всем. Ход мысли будет приблизительно следующим: хакеры угрожают всем, это очень плохо. Но при этом приблизительно с одинаковой силой и вероятностью, а вот это очень хорошо. Значит, если вдарит по всем и сразу, то в целом на рынке ничего не изменится. А следовательно, и переживать не стоит.

Уловили? Признаюсь честно, я – не сразу. Но вот так оно работает.

Хорошо, когда угроза понятна или хотя бы обширно пропиарена в СМИ. Например, хакинг – это понятная угроза. Не в смысле понятная как нам с вами, а в смысле понятная в общих чертах. А что делать, если нет? Об этом в следующем посте.
управление рисками менеджеры
Alt text

Если вам нравится играть в опасную игру, присоединитесь к нам - мы научим вас правилам!

Подписаться

Vlad Styran

информационно. безопасно.*