понедельник, 19 декабря 2011 г.

"Захотят - взломают" и расчеты в ИБ

    В последнее время довольно часто слышу и читаю о невозможности качественного управления рисками (особенно часто на это указывает Алексей Лукацкий, который предлагает использовать кардинально другой подход, а именно показывать ценность ИБ для бизнеса), условности метрик в security SLA и ужасной "бумажной" безопасности..и все это мне напомнило сакраментальную фразу многих людей, произносимую ими в момент принятия ими риска взлома - "Захотят - взломают".

    Но, если мы, понимая что так и есть, все равно анализируем ландшафт угроз и системный ландшафт ИТ и информационные потоки в организации - пытаясь банально снизить риск как мы понимаем это снижение, то почему бы нам просто не принять, что даже не вполне правильно\точно считая риски мы все равно снижаем неопределенность и увеличиваем эффективность наших решений? Как бы плохо бы мы не считали риски, сам факт подсчета уже делает безопасность более понятной, предсказуемой и помогает в итоге заполучить новых союзников (риск-менеджеров, экономическую безопасность и других, кто не в курсе, что такое Stuxnet и тем более Duqu).
    Управление рисками ничем не отличается от того, как мы смотрим на мир - в первом приближении мы не всегда видим сантиметры и миллиметры, но мы можем подойти поближе к изучаемому обьекту и в конце концов купить микроскоп. Но для этого надо принять риск ошибки, присутствующий везде где есть человек.

Комментариев нет:

Отправить комментарий