среда, 1 июля 2015 г.

Конкуренция мнений как инструмент обеспечения качества оценки рисков

    Службы ИБ многих организаций строго централизованы. В одном подразделении сосредоточен практически "полный цикл" по выработке, реализации и контролю политики ИБ.
    Несмотря на понятные преимущества такого подхода существует и системная уязвимость - отсутствие конкуренции мнений.
    Монополизм на истину (мнение) порождает риски ошибки CISO и крайностей в отношениях с бизнесом - либо бизнес вынужден подчиняться политике ИБ снижая продуктивность, либо бизнес добивается непринятия политики ИБ в целом. При этом в силу отсутствия ИБ-компетенций с бизнесом проблематична квалифицированная дискуссия, и интересы отдельных бизнес-подразделений приносятся в жертву защиты общей бизнес-инфраструктуры (казначейства, сети, бренда и т.п.).
    Аргументированно защитить интересы отдельных бизнес-подразделений и выработать действительно общую политику возможно путем создания института офицеров по безопасности бизнеса, подчиняющихся бизнес-подразделениям и помогающими им найти баланс между конфликтующими ИБ-рисками, ИБ-требованиями и бизнес-целями.
    Такой институт в частности используется в ведущих банках мира - Citigroup, JPMorgan, UBS, CreditSuisse, Goldman Sachs. Конечно, он применим в действительно крупных организациях, с зрелым менеджментом, понимающим необходимость развитой системы ИБ.

Комментариев нет:

Отправить комментарий