вторник, 16 августа 2016 г.

Кейс против количественной оценки рисков ИБ

    Так сложилось, что мои личные финансовые планирование и учет стартовали с первой зарплаты. Уже первая зарплата стала учитываться, и хотя с той поры учетная политика менялась не раз - я продолжаю вести учет. Несмотря на мою приверженность учету финансовых активов (я даже пробовал вести учет ценного имущества, но потом все таки отказался от этой идеи) я противник идеи количественной оценки рисков ИБ.

    Для меня любая оценка и учет это инструменты, с помощью которых я в будущем смогу разрабатывать, принимать и внедрять качественные решения. Но о каком качестве может идти речь когда у нас нет по настоящему надежных методов количественной оценки ИБ рисков? Более того, в прошлом году KPMG провела опрос 55 компаний из ТОП-500 (т.е. 11% крупного российского бизнеса), и даже по более крупным чем риски ИБ корпоративным рискам (от которых компании разоряются регулярно) руководители используют во многом качественные методы оценки. Фактически, качественные оценки превалируют либо используются столько же активно сколько количественные во всех сферах деятельности кроме финансовой и материальной.


    
    Интересно, что согласно отчету информация о рисках учитывается в крупных процессах – инвестпланирование, стратпланирование, казначейские процессы. Это в очередной раз подтверждает банальное «размер имеет значение» - лишь в крупных компаниях с большим числом информационных активов ИБ может иметь существенное значение, иметь развитие практики управления и операционной деятельности.


    
    Забавно, что в категории операционных рисков, риски ИБ победили риски экономической безопасности, риск снижения спроса, риски охраны труда и экологии а так же риск потери ключевого персонала.

   
    В итоге количественные модели оценки рисков не вошли даже в десятку ключевых аспектов, что необходимы для построения эффективной системы управления рисками в корпорации.


Комментариев нет:

Отправить комментарий