Услуга по хранению денег (депозит) была и будет одной из самых понятных любом человеку, в том числе лицам принимающим решения. Равно как и другой "шкурный" вопрос (пенсии, дети, инфляция, цены). Следующий пример я использую как иллюстрацию для далеких от ИБ людей зачем нужно контролировать информационные потоки?*
Итак, банк (а вернее его розничный блок - B2C) привлекает депозиты у населения. Допустим, под 15%. Банку нужно отдавать ежемесячно проценты. А что бы отдавать проценты нужно куда-то деньги разместить - где-то заработать еще больше, что бы хватило и клиенту отдать, и свои расходы покрыть, и акционеру дивиденд выплатить.
Классический вариант - дать кредит другим физическим лицам, пусть под 30%. 15% отдаем за депозит, 5% за риск, 5% расходы - остальное акционеру и на развитие. Однако у такого варианта есть минимум 3 недостатка
Среди известных мне методик контроля наиболее эффективной является управление доступом, когда владелец ресурса согласовывает предоставление доступа к его информационному ресурсу. Если бы розничные блоки активно использовали такой же "финансовый IDM" - на банковском рынке было бы гораздо меньше проблем, а девелоперы наоборот ходили бы грустные.
Итак, банк (а вернее его розничный блок - B2C) привлекает депозиты у населения. Допустим, под 15%. Банку нужно отдавать ежемесячно проценты. А что бы отдавать проценты нужно куда-то деньги разместить - где-то заработать еще больше, что бы хватило и клиенту отдать, и свои расходы покрыть, и акционеру дивиденд выплатить.
Классический вариант - дать кредит другим физическим лицам, пусть под 30%. 15% отдаем за депозит, 5% за риск, 5% расходы - остальное акционеру и на развитие. Однако у такого варианта есть минимум 3 недостатка
- 5% акционеру как-то мало, ему проще положить деньги на депозит в другой банк
- За 5% нашим банкирам нормальный бонус не дадут
- Выдача кредитов физическим лицам требует развития процессов и инфраструктуры
И возникает мысль инвестировать деньги в что-то более прибыльное и менее затратное по инфраструктуре (уже в корпоративном блоке - B2B). Например, инвестировать в недвижимость, тем более что дело-то "безрисковое", ведь залог же недвижимость, да еще "в центре города миллионника", "в золотой Московской области". А потом в залогах оказывается
- будка обходчика
- 300 метров земли на юго-юго-восток от столба
- проходная завода
- и железнодорожный тупик.
А если залог у нас нормальный, то часто оказывается
- застройщик банкротнулся
- целевое предназначение земли все еще с\х
- новая местная власть противодействует стройке
- и этот недострой уже 10 лет на морозе стоит в Новосибирске и сегодня-завтра рухнет людям на головы.
Все примеры, увы, реальные из банка ТОП-10. И деньги потеряны. И даже в таких крупных банках не хватает контроля зарабатывает ли корпоративный блок достаточно что бы отдать одолженные у розничного деньги вместе с обещанными клиентам процентами.
В информационной безопасности все так же - есть созданная подразделениями информация, и без надлежащего контроля она очень быстро расползется сперва по организации а потом и утечет вовне. И информация клиентов, персонала и других заинтересованных лиц, вместе с трудом собирающих эту информацию подразделений станет для организации менее полезной.
Среди известных мне методик контроля наиболее эффективной является управление доступом, когда владелец ресурса согласовывает предоставление доступа к его информационному ресурсу. Если бы розничные блоки активно использовали такой же "финансовый IDM" - на банковском рынке было бы гораздо меньше проблем, а девелоперы наоборот ходили бы грустные.
Комментариев нет:
Отправить комментарий