среда, 1 июня 2016 г.

Кейс против классической оценки рисков ИБ

    Моя аудитория знает, что я люблю сравнивать информационную безопасность с рынками капитала. И там и там мы имеем дело в первую очередь с риском, и там и там риски быстро появляются, видоизменяются и исчезают, и для меня рынки капитала довольно прозрачны - я был и клиентом и консультантом инвестиционных структур, и в принципе на рынках капитала довольно много открытой информации (в отличие, например, от FMCG, где много частных компаний не раскрывающих вообще никакой информации).

    Еще в 2014 S&P опубликовало исследование по доходности паевых инвестиционных фондов (ПИФов). Если кратко - только 2 из 2862 паевых фондов показало результаты лучше обычного индекса биржи. 2 из 2862 это даже не 1%, а это значит что сотни и тысячи людей - аналитиков и управляющих ПИФами даром едят свой хлеб.
    В информационной безопасности ситуация похожая - ломают всех. JPMorgan, Sony, Google, Lockheed Martin - можно найти громкий пример из любой индустрии, невзирая на доходы и прибыли, бизнес-модели и географическое расположение.
    Так может следует последовать совету инвестиционных консультантов и отдаться на волю рынка? В случае рынков капитала - инвестировать в "пассивные" ПИФы, повторяющие индекс биржи, в случае информационной безопасности - инвестировать в проекты и сервисы, которые уже есть у конкурентов.
    Хочется быть неправым, ведь ориентация на простой "бенчмаркинг" - делай то что делают компании в отрасли выхолащивает идею ИБ как искусства, как серьезной сложной дисциплины. Может быть это плата за взросление - сложные вещи не обязательно эффективны, невзирая на то насколько они интересны.

P.S. Детальнее про условия исследования S&P можно прочитать здесь.

Комментариев нет:

Отправить комментарий