Стандартное определение из ISO рассказывает о ИБ как "защите интересов заинтересованных сторон в информационной сфере", и, очевидно, рекомендует защищать их интересы идентифицируя их активы, и риски (т.е. в первую очередь через процесс управления рисками).
Соответственно, кто не умеет управлять\помогать заинтересованным сторонам управлять рисками, тот с учетом данного определения собственно и не достоин гордого звания "специалист по ИБ".
Наверное, для него есть не менее гордые - специалист по безопасности ИТ, специалист по кибербезопасности и т.п., но забавно, что именно компании без практик управления рисками ИБ нам обычно рассказывают о защите от "реальных" угроз.. ведь "реальность" (т.е. ущерб*вероятность) и определяется, собственно, в процессе управления рисками...
Соответственно, кто не умеет управлять\помогать заинтересованным сторонам управлять рисками, тот с учетом данного определения собственно и не достоин гордого звания "специалист по ИБ".
Наверное, для него есть не менее гордые - специалист по безопасности ИТ, специалист по кибербезопасности и т.п., но забавно, что именно компании без практик управления рисками ИБ нам обычно рассказывают о защите от "реальных" угроз.. ведь "реальность" (т.е. ущерб*вероятность) и определяется, собственно, в процессе управления рисками...
Комментариев нет:
Отправить комментарий