`

СПЕЦИАЛЬНЫЕ
ПАРТНЕРЫ
ПРОЕКТА

Архив номеров

Как изменилось финансирование ИТ-направления в вашей организации?

Best CIO

Определение наиболее профессиональных ИТ-управленцев, лидеров и экспертов в своих отраслях

Человек года

Кто внес наибольший вклад в развитие украинского ИТ-рынка.

Продукт года

Награды «Продукт года» еженедельника «Компьютерное обозрение» за наиболее выдающиеся ИТ-товары

 

Алексей Дрозд

Почему всё так плохо с риск-менеджментом в сфере ИБ?

+11
голос

Поскольку о рисках сегодня говорят все и всюду, то и я не могу остаться в стороне. Тема, что и говорить, актуальная и злободневная. Ведь для бизнеса вся его деятельность — это один сплошной риск. И бизнесмены, надо отдать им должные, быстро учатся взвешивать риски и принимать на основе их оценок решения. А те, кто не учатся, в бизнесе надолго не задерживаются.

Почему же такая проблема с риск-менеджментом в сфере информационной безопасности? Почему множество современных российских бизнесменов смотрит на ИТ-риски как на что-то, не заслуживающее даже минимального внимания? Меня уже давно занимал этот вопрос, но я объяснял себе всё тем, что это просто сила привычки. Пройдет пара лет, о рисках напишут везде, везде наймут безопасников, занимающихся именно информационной безопасность, и они обратят внимание своих боссов на проблему.

Время шло. Безопасников, действительно, становилось всё больше, но почему-то подавляющее большинство было занято вопросами составления инструкций и описи всего на свете, чем реальной борьбой с реальными угрозами (сказывалось, видимо, армейское или милицейское прошлое). Бизнес же занимался риск-менеджментом в сфере «больших» управленческих проблем, тоже слабо интересуясь информационной безопасностью.

Но ситуация продолжает меняться. На флэшке рядового бухгалтера сегодня столько информации, что хватит любому директору на несколько томов уголовного дела. А еще каждый ходит с планшетом или смартфоном. Потеряй их — потеряешь и массу бизнес-контактов, доступ к своей электронной почте (если не успеешь, потеряв, добежать до компьютера и сменить пароль), и вообще, как говорят в народе, поимеешь массу «гемора». И нельзя сказать, чтобы бизнес с этим не сталкивался. Просто почему-то подобные вещи воспринимаются как неизбежное зло, и потерянный ноутбук не заставляет руководство устанавливать на следующем софт для шифрования жесткого диска.

В чем причина? Мне кажется, что проблема в том, что всякий инцидент в сфере ИБ — это бомба замедленного действия, а бизнес привык иметь дело с мгновенной реакцией на свои шаги, как позитивной, так и с негативной. Та же ситуация, к примеру, с рекламой и пиаром — многие компании не занимаются ими, предпочитая рассылать бумажный и электронный спам, просто потому, что не видят быстрого отклика рынка на свои действия. А когда потом из-за ИБ-инцидента бизнес закрывается, его владельцу кажется, что ему просто не повезло.

То есть, проблема — в отсутствии системного подхода и даже, я бы сказал, системного видения, где есть место и вопросам информационной безопасности. Хотя, может быть, я и ошибаюсь — это только моё мнение. Поэтому готов поспорить с вами в комментариях.

P.S. Кстати, недавно опубликовал небольшую статью-ликбез по рискам, кому интересно, можете ознакомиться.

Почему всё так плохо с риск-менеджментом в сфере ИБ?

+11
голос

Напечатать Отправить другу

Читайте также

"Безопасников, действительно, становилось всё больше" - так оно и с физическими безопасниками так, - на любые слова про то что надо делать большой начальник скажет, - это ваша проблема работайте и главное, не мешайте работать мне. Поэтому то они и "заняты вопросами составления инструкций и описи всего на свете", - надо ж попу прикрыть если что. Чего ж тут удивляться?

 
 
IDC
Реклама

  •  Home  •  Рынок  •  ИТ-директор  •  CloudComputing  •  Hard  •  Soft  •  Сети  •  Безопасность  •  Наука  •  IoT