В рубрику "Управление" | К списку рубрик | К списку авторов | К списку публикаций
Владельцы компаний чаще всего оперируют экономически понятным им термином "возврат инвестиций", сравнивая в денежном эквиваленте бюджет, выделенный на реализацию мер по обеспечению информационной безопасности, с прямым экономическим эффектом от внедрения данных мер в отчетный период. Здесь приходит на ум мудрая старорусская поговорка: "пока гром не грянет – мужик не перекрестится". К сожалению, в краткосрочной перспективе достичь желаемого финансового равновесия бывает крайне сложно.
И в такой неоднозначной ситуации (обоснование затрат) с точки зрения бизнеса во внимание как в плюс, так и в минус могут быть приняты самые разные дополнительные аргументы и интерпретации этой самой ситуации. Правильно сформулировать свою позицию, объяснить лицу, принимающему решение с точки зрения риск-ориентированного подхода и статистики по инцидентам информационной безопасности в отрасли, почему именно такие меры были предприняты, в чем выражается и когда следует ожидать экономический эффект, – эти факторы составляют более 80% успешного общения офицера по информационной безопасности и представителей бизнес-подразделений компании. Однако если в процессе постконтроля или планового внешнего аудита независимыми экспертами выясняется, что затраты на информационную безопасность изначально необоснованно завышены, предложенные меры реализованы частично, а модели угроз и нарушителя из политики информационной безопасности взяты не из вашей отрасли бизнеса, а из наиболее рискованной, к примеру финансовой, степень доверия к такому специалисту со стороны бизнеса резко падает и рассчитывать на длительное понимание и поддержку руководства организации специалисту по защите информации уже не получится. Приходится искать другую работу…
На практике наиболее понятными и правильно воспринимаемыми бизнес-подразделениями аргументами в пользу развития информационной безопасности являются:
Опубликовано: Журнал "Information Security/ Информационная безопасность" #1, 2017