вторник, 18 декабря 2012 г.

Еще раз о конфликте интересов ИТ и ИБ

   В который раз убеждаюсь, что вне зависимости от личности ИТ-директора, отношений с ним безопасника и практически любых других факторов информационная безопасность не может быть подчинена ИТ.
   Очередные примеры:
   А) ИТ снова повышает собственную эффективность, допустим, путем внедрения новой технологии. Технология не особенно безопасна (мягко говоря), но т.к. сроки поджимают и повышение эффективности ИТ происходит в рамках корпоративной стратегии повышения операционной эффективности, ИТ говорит - "Безопасность мешает бизнесу" и "Давайте посчитаем риски".
   Что же давайте грубо прикинем риски.. ну и тогда сразу бенефиты, чего уж там;) Допустим, ИТ снизит свои затраты на 0,3%, при этом общие затраты ИТ составляют 0,4% от общих затрат компании (вполне реальная ситуация для компаний с значительной налоговой и инвестиционной нагрузкой). Таким образом, затраты компании снизятся на 0,012% от общих затрат компании. Как Вы думаете - сильно это улучшит прибыльность компании, увеличит стоимость ее акций, репутацию в глазах рынка или акционеров?..
   Вместе с этим инициативы ИТ часто связаны с рисками не для ИТ (и соответствующих мизерных бенефитов и затрат) а для основного бизнеса компании. И соответственно, даже минимальное повышение вероятности, например, несанкционированного доступа в сеть может вылиться в потери уж никак не в 0,001% затрат компании. Просто потому что ценность нематериальных активов компании - информации для принятия решений, репутации, накопленных данных финансовой отчетности в разы превышает упомянутую копеечную выгоду.
  Но, разве ИТ-директор сможет "наступить на горло собственной песне" в таком случае?...
   Б) Рецессия. ИТ-бюджет режут, проекты как обычно выходят за рамки бюджета, и встает вопрос - кто пострадает внутри ИТ-бюджета? Бизнес-аналитика? Системы хранения данных? Документооборот? Очередной EA с Microsoft?.. Вряд ли, а вот безопасность, будет одним из первых кандидатов. Нет, антивирус не порежут, а вот то что сложнее (читать - непонятнее) - вполне вероятно

Комментариев нет:

Отправить комментарий