Создание стоимости в ИБ требует взаимодействия нескольких корпоративных служб. Обычно это минимум служба ИТ, предоставляющая нужные для ИБ инфраструктурные сервисы (вычислительные мощности, управление базовыми контролями безопасности - AV, FW etc).
Соответственно, ухудшение уровней сервисов либо их нехватка относительно потребностей ИБ не позволит службе ИБ предоставлять стейкхолдерам оговоренную стоимость. Это внутренний риск ИБ, которым крайне желательно управлять, диверсифицируя источники сервисов, либо (если это невозможно) разрабатывая стратегию управления монопольным поставщиком.
С другой стороны тут есть как минимум 2 возможности повышения эффективности ИБ.
Соответственно, ухудшение уровней сервисов либо их нехватка относительно потребностей ИБ не позволит службе ИБ предоставлять стейкхолдерам оговоренную стоимость. Это внутренний риск ИБ, которым крайне желательно управлять, диверсифицируя источники сервисов, либо (если это невозможно) разрабатывая стратегию управления монопольным поставщиком.
С другой стороны тут есть как минимум 2 возможности повышения эффективности ИБ.
- оппортунистическая - "бесплатно" выбрасываем все неключевые для ИБ активности на ИТ (например, поддержку УЦ и IPS) и миримся с рисками ухудшения качества нужных нам ИТ-сервисов;
- коммерческая - аутсорсим неключевые активности внешней компании;
- операционная - проводим актуализацию целевых уровней наших сервисов, фокусируясь на той деятельности, что вносит наибольших вклад в ценность для стейкхолдеров.
Комментариев нет:
Отправить комментарий