Мы уже не первый год обучаем специалистов и руководителей методам оценки рисков информационной безопасности, позволяющим принимать адекватные и экономически обоснованные решения, а также оценивать эффективность (в том числе и экономическую) деятельности службы ИБ. Однако сами руководители ИБ далеко не всегда заинтересованны в экономически оправданной безопасности и объективной оценке экономического эффекта их деятельности.
Основным побудительным мотивом для вкладывания каких-либо средств в безопасность всегда являлся страх. На страхе основан и внешний и внутренний маркетинг безопасности. Размер бюджета, выделяемого на безопасность, прямо пропорционален степени обеспокоенности руководства организации этими вопросами. Чем сильнее руководителю ИБ удастся запугать свое руководство информационными угрозами, тем выше будет его значимость и лучше будет финансироваться его служба.
Какие последствия для службы ИБ может иметь внедрение процесса управления рисками, при котором руководство организации будет осознанно принимать риски, опираясь на свою оценку среднегодового ущерба от инцидентов безопасности, как это рекомендуется международными стандартами? Что если эта оценка не будет “браться с потолка”, а будет определяться по прозрачной методологии, доступной для понимания и проверки всем заинтересованным сторонам, и будет опираться на мнения руководства организации, экспертов и представителей бизнеса? Вдруг такая оценка наглядно покажет, что многие затраты на безопасность не являются оправданными с экономической точки зрения? Вдруг руководство осознает и примет все риски? Что если безопасность перестанет бороться со страхами руководителей и собственников бизнеса, а вместо этого начнет работать на бизнес, помогая ему не тратить, а экономить деньги?
От таких вопросов многих руководителей ИБ мог бы прошибать холодный пот. Успокаивает их лишь то, что многие из них искренни не верят в возможность получения достоверных количественных оценок информационных рисков, которые были бы понятны их боссам и могли бы использоваться для принятия экономически оправданных решений.
Какой подход выгоден собственникам и руководителям организации сомнения не вызывает, а вам, безопасники, что более выгодно: экономически оправданная безопасность или традиционная безопасность, основанная на страхе? Мне почему-то кажется, что я знаю правильный ответ на этот вопрос.