Почему управление рисками

Потому что существуют риски, которые нельзя принять после любой обработки. Отличное выходное чтиво: Белый дом издает указание операторам "критичной инфраструктуры" руководствоваться принципами риск-менеджмента в защите от кибер-гроз, чем повергает ИБ-сообщество в тихий ужас.

Не мудрено: испытуемая на протяжении последних лет 15-ти концепция управления безопасностью при помощи выискивания вокруг рисков для бизнеса и попыток "продать" эти риски владельцам и топ-менеджерам, мягко говоря, провалилась. Причины? Все просто: бизнес вообще создается для того, чтобы идти на риск с целью получения прибыли. Поэтому всегда найдутся Остапы, которые готовы подписаться под принятием риска любой величины.

Где выход? Если вы работаете в энергетике, транспорте, медицине или еще какой-нибудь жизненно критичной отрасли, выхода нет. Хватайте в руки так называемые "лучшие практики" защиты ИТ-систем и применяйте их. Ну и для регуляторов здесь прямое указание к действию: везде, где дело касается жизни и здоровья людей, уповать на риск-менеджмент нельзя. А нужно вместо этого давать четкие и понятные указания к действию.