среда, 24 июня 2015 г.

Compliance как необходимый институт для защиты интересов бизнеса в информационной сфере

    В предыдущей истории оценка рисков обсуждалась в контексте языка, на котором возможно говорить с бизнесом, в целях выделения достаточных для повышения ИБ до нужного бизнесу уровня ресурсов.

    Однако, очень часто можно услышать от бизнеса что "ему ИБ не нужна". Конечно, лучше заплатить премию сотруднику, это понятнее и ощутимее нанесет пользу повысит производительность подразделения чем танцы с бубном снижение рисков ИБ. В ходе же обсуждения выясняется, что бизнес априори лучше готов к обсуждению распределения ресурсов, так как у него есть целый ряд преимуществ перед службой ИБ

  1. Бизнес лучше знает ситуацию в "полях".
  2. Бизнес лучше понимает бизнес-модель и цепочку создания стоимости.
  3. Бизнесу всегда не хватает денег на инвестпроекты и проекты внутреннего развития.
  4. Бизнес может направить ресурсы на другие риски - репутационный, операционный и т.п.
  5. Бизнес может перенаправить ответственность на "поддерживающие службы".

    Конечно, в зрелом бизнесе менеджмент сам понимает важность взвешенного управления рисками и разумно распределит средства в том числе для снижения рисков ИБ. Но, а если у нас бизнес еще недостаточно зрелый, но жареный петух на горизонте риски для его информационных активов очевидны для службы ИБ?
    В таком случае на помощь приходит институт государственного регулирования в сфере ИБ. Защита КСИИ\КВО, персональных данных, отраслевые требования являются компенсирующим упрямство незрелость бизнеса институтом для определения необходимости и масштабов совершенствования системы ИБ. Например, при определенной ловкости персональными данными (обьектом повышенной защиты) может стать почти все, главное не переборщить, ведь в конечном итоге чересчур большие затраты на ИБ могут стать последним каплей для и так не слишком эффективной модели затрат бизнеса.
    Так что перед тем как в очередной раз роптать на регуляторов предлагаю задуматься - а делали ли бы хоть что-то по тематике ИБ многие бизнесы без регулирования?

Комментариев нет:

Отправить комментарий