В предыдущей истории оценка рисков обсуждалась в контексте языка, на котором возможно говорить с бизнесом, в целях выделения достаточных для повышения ИБ до нужного бизнесу уровня ресурсов.
Однако, очень часто можно услышать от бизнеса что "ему ИБ не нужна". Конечно, лучше заплатить премию сотруднику, это понятнее и ощутимеенанесет пользу повысит производительность подразделения чем танцы с бубном снижение рисков ИБ. В ходе же обсуждения выясняется, что бизнес априори лучше готов к обсуждению распределения ресурсов, так как у него есть целый ряд преимуществ перед службой ИБ
Конечно, в зрелом бизнесе менеджмент сам понимает важность взвешенного управления рисками и разумно распределит средства в том числе для снижения рисков ИБ. Но, а если у нас бизнес еще недостаточно зрелый, ножареный петух на горизонте риски для его информационных активов очевидны для службы ИБ?
В таком случае на помощь приходит институт государственного регулирования в сфере ИБ. Защита КСИИ\КВО, персональных данных, отраслевые требования являются компенсирующимупрямство незрелость бизнеса институтом для определения необходимости и масштабов совершенствования системы ИБ. Например, при определенной ловкости персональными данными (обьектом повышенной защиты) может стать почти все, главное не переборщить, ведь в конечном итоге чересчур большие затраты на ИБ могут стать последним каплей для и так не слишком эффективной модели затрат бизнеса.
Так что перед тем как в очередной раз роптать на регуляторов предлагаю задуматься - а делали ли бы хоть что-то по тематике ИБ многие бизнесы без регулирования?
Однако, очень часто можно услышать от бизнеса что "ему ИБ не нужна". Конечно, лучше заплатить премию сотруднику, это понятнее и ощутимее
- Бизнес лучше знает ситуацию в "полях".
- Бизнес лучше понимает бизнес-модель и цепочку создания стоимости.
- Бизнесу всегда не хватает денег на инвестпроекты и проекты внутреннего развития.
- Бизнес может направить ресурсы на другие риски - репутационный, операционный и т.п.
- Бизнес может перенаправить ответственность на "поддерживающие службы".
Конечно, в зрелом бизнесе менеджмент сам понимает важность взвешенного управления рисками и разумно распределит средства в том числе для снижения рисков ИБ. Но, а если у нас бизнес еще недостаточно зрелый, но
В таком случае на помощь приходит институт государственного регулирования в сфере ИБ. Защита КСИИ\КВО, персональных данных, отраслевые требования являются компенсирующим
Так что перед тем как в очередной раз роптать на регуляторов предлагаю задуматься - а делали ли бы хоть что-то по тематике ИБ многие бизнесы без регулирования?
Комментариев нет:
Отправить комментарий