Почему всё так плохо с риск-менеджментом в сфере ИБ?

2 июль, 2013 - 14:45Алексей Дрозд

Поскольку о рисках сегодня говорят все и всюду, то и я не могу остаться в стороне. Тема, что и говорить, актуальная и злободневная. Ведь для бизнеса вся его деятельность — это один сплошной риск. И бизнесмены, надо отдать им должные, быстро учатся взвешивать риски и принимать на основе их оценок решения. А те, кто не учатся, в бизнесе надолго не задерживаются.

Почему же такая проблема с риск-менеджментом в сфере информационной безопасности? Почему множество современных российских бизнесменов смотрит на ИТ-риски как на что-то, не заслуживающее даже минимального внимания? Меня уже давно занимал этот вопрос, но я объяснял себе всё тем, что это просто сила привычки. Пройдет пара лет, о рисках напишут везде, везде наймут безопасников, занимающихся именно информационной безопасность, и они обратят внимание своих боссов на проблему.

Время шло. Безопасников, действительно, становилось всё больше, но почему-то подавляющее большинство было занято вопросами составления инструкций и описи всего на свете, чем реальной борьбой с реальными угрозами (сказывалось, видимо, армейское или милицейское прошлое). Бизнес же занимался риск-менеджментом в сфере «больших» управленческих проблем, тоже слабо интересуясь информационной безопасностью.

Но ситуация продолжает меняться. На флэшке рядового бухгалтера сегодня столько информации, что хватит любому директору на несколько томов уголовного дела. А еще каждый ходит с планшетом или смартфоном. Потеряй их — потеряешь и массу бизнес-контактов, доступ к своей электронной почте (если не успеешь, потеряв, добежать до компьютера и сменить пароль), и вообще, как говорят в народе, поимеешь массу «гемора». И нельзя сказать, чтобы бизнес с этим не сталкивался. Просто почему-то подобные вещи воспринимаются как неизбежное зло, и потерянный ноутбук не заставляет руководство устанавливать на следующем софт для шифрования жесткого диска.

В чем причина? Мне кажется, что проблема в том, что всякий инцидент в сфере ИБ — это бомба замедленного действия, а бизнес привык иметь дело с мгновенной реакцией на свои шаги, как позитивной, так и с негативной. Та же ситуация, к примеру, с рекламой и пиаром — многие компании не занимаются ими, предпочитая рассылать бумажный и электронный спам, просто потому, что не видят быстрого отклика рынка на свои действия. А когда потом из-за ИБ-инцидента бизнес закрывается, его владельцу кажется, что ему просто не повезло.

То есть, проблема — в отсутствии системного подхода и даже, я бы сказал, системного видения, где есть место и вопросам информационной безопасности. Хотя, может быть, я и ошибаюсь — это только моё мнение. Поэтому готов поспорить с вами в комментариях.

P.S. Кстати, недавно опубликовал небольшую статью-ликбез по рискам, кому интересно, можете ознакомиться.

Почему всё так плохо с риск-менеджментом в сфере ИБ?