понедельник, 20 августа 2012 г.

Меряем ИБ риски в тугриках?

   А может в мартышках?;) Или попугаях?.. Привожу пример - есть три риска - риск взлома нашей сети, риск недостатка ликвидности (т.н. "кассовый разрыв") и риск налоговых претензий. Первый - 3 тугрика, второй - 2 мартышки, а третий - 10 попугаев.
   Как думаете - какой из них самый большой?;) А ведь именно это происходит во многих современных компаниях, когда у юристов свои "юридические риски", у финансистов - финансовые, а у ИБ-шников - риски ИБ, и каждый старается пользовать свою собственную методологию управления рисками.
   И конечно, собственная методология подойдет только для целей подразделения. Ну вот что бы денег поэффективней потратить, да понять где у нас дыра в нашем заборе. Но вот есть ли интеграция\корреляция с "соседями" по компании?;) Как наш CEO поймет где риск больше?:)
   Вариант есть (хотя он и вызывает содрогание у многих безопасников - выходцев из операционного ИТ) - методология управления рисками должна иметь необходимую степень абстракции (да, очень-очень мало деталей), и риски ИБ должны быть ее частью, что бы их можно было сравнить с рисками "соседей" и понять где действительно нужны активные действия...

Комментариев нет:

Отправить комментарий