вторник, 16 апреля 2013 г.

Репутация службы ИБ = профессионализм * последовательность?..

   Знакомую сказку про пастуха и волков думаю знают все:) А разве у нас не бывает такого? Например, безопасник рассказывает какие страшные риски несет новая система. Но систему выпустили в продакшн.. и ничего не случилось. Вторую, третью.... и верить такому безопаснику уже не хочется.

   Странно, ведь доверие является целью обеспечения безопасности.
   Приведенный пример можно списать не навезение, или недостаток квалификации (т.е. факторы обьективные, ведь именно такой квалификации нанял бизнес безопасника).

   Рассмотрим другой пример - не секрет, что безопасность в подавляющем большинстве случаев выступает этаким налогом для бизнеса, некими транзакционными издержками. Мир несовершенен (транзакционные издержки были, есть и будут), но что страдает когда транзакционные издержки меняются неожиданно (например, после инцидента в середине года)? Когда бюджеты сверстаны, а портфель проектов утвержден?.. Теряется последовательность, а это и есть доверие (уверенность в поступке другого человека определенным образом), да и в целом- как я могу доверять человеку который думает только о себе (о целях своей функции) и не руководствуется общими целями (целями организации)? С потерей последовательности теряется порядок и стройность процессов - ведь новые контроли безопасности придется за счет чего-то финансировать...

   Оба примера показывают, что как внешняя эффективность службы ИБ (отношения с стейкхолдерами и доверие к службе) так и внутренняя (минимизация переделок и бесполезной работы) зависят не только от профессиональных качеств но и от последовательности. В конце концов, как мы можем просить пользователей быть последовательными - выполнять требования ИБ после подписания документов о ознакомлении если сами не последовательны?...
   

Комментариев нет:

Отправить комментарий