Органичная оптимизация издержек на контрольные функции

    Любой управленческий консультант знает, что издержки тем более обоснованы чем ближе они к центрам доходов и очевидно необходимым для бизнеса сервисам. Конечно, ведь из своего кармана платить больнее всего, но и "своим" контрольным службам платить морально проще чем каким-то независимым непонятно чем занятым эпизодически появляющимся контролерам.

    В приложении к ИБ издержки автоматически снизится если мы переведем операционную деятельность ИБ "на места", то бишь по защите ИТ-инфраструктуры в ИТ, а по защите приложений - в бизнес-линии, внутренние заказчики приложений. При очередном формировании бюджета магическим образом станет понятно за что готов платить бизнес, а количество неправильных коммуникаций и ложных инцидентов резко пойдет вниз.
    Однако, остается вероятность игнорирования рисков ИБ бизнес-линиями, но, как это конкретно может выразиться? Вариантов не так много:

1. Мы не знаем уровень рисков ИБ в бизнес-линиях: Возможное решение - внедрить независимые КПЭ.
2. Бизнес-линиям неинтересно платить за общую инфраструктуру: Возможное решение - централизованно бюджетировать защиту общей инфраструктуры.
3. Профиль рисков не отражает действительность: Возможное решение - иметь независимый единый источник информации о угрозах (Threat Intelligence).
4. Менеджеры по ИБ в бизнес-линиях покрывают бизнес (КПЭ проседают): Возможное решение - завязывать бонус менеджеров на КПЭ.
5. Менеджеры по ИБ в бизнес-линиях покрывают бизнес (КПЭ не проседают): Возможное решение - внутренний аудит с последующими мероприятиями + согласование кандидатов на позиции менеджеров со стороны CISO.

    Таким образом возможно организовать максимально эффективную службу ИБ с минимально возможным бюджетом и штатом. Собственно, достаточно 2 человека - CISO и его заместителя, отвечающих за анализ рисков и взаимодействие с заинтересованными сторонами в внешней и внутренней среде. Все остальные функции в ИБ вполне себе могут обойтись без независимости - проживут в других подразделениях.
    И на закуску пару примеров из жизни контрольных функций:

• В одной финансовой группе была управляющая компания. В ней был отдельный комплаенс-офицер. Комплаенс-офицер не терпел вмешательства комплаенс-службы группы в свою работу, и за 3 года ни разу ни ФСФР ни ЦБР не имели претензий к деятельности комплаенс-офицера и "его" управляющей компании. А вот к комплаенс-службе финансовой группы претензии были каждые полгода..
• В одной нефтегазовой компании была бизнес-линия АЗК. В ней было подразделение ИБ, которое отвечало исключительно за ИБ АЗК. Бизнес-линия АЗК всегда была в первых рядах как по проектным так и по операционным показателям ИБ в компании.