Комментарии 5
>Несомненный плюс первого подхода со сбором «страхов» менеджмента — мы работаем с конкретным запросом бизнеса.
Вот тут уже зависит от сферы бизнеса. В Российских реалиях подавляющее число компаний вне ИТ сферы наоборот будут максимально сокращать косты на ИБ, и опрос выявит лишь "нам ничего не надо, нам и защищать нечего"
Понимание ИБ со стороны бизнеса бывает все очень своеобразное ) Помню, как-то на конференции по управлению уязвимостями спросили какую-то деректриссу крупной компании, зачем они это делают. Она говорит, что если бы не требования руководящих документов от государства или ЦБ они бы не тратили на это время ? Все представители круглого стола просто обомлели после такого ? У нас часто работают подходы, «есть требование - есть ИБ» или пока не произойдет серьезный инцидент с потерей данных. В последний раз шифровальшики очень хорошо повысили осознанность компаний в части использования антивирусов и бэкапов.
Полностью согласен с последним автором и, если крупный бизнес из под палки и под страхом наказаний от регуляторов, хоть что-то делает в этой сфере, то малый и средний находятся на уровне "у нас брать нечего и мы никому не интересны, никто нас не проверит". Вне зависимости от того, чем занимаешется организация. И как с этим бороться, пока непонятно.
Со стороны редактуры, статья очень живая, прям реально хорошо. Со стороны иб не хватило примеров, где первый подход, где второй. Рассуждения это хорошо, но понятны тем кто глубоко в теме
На мой взгляд, лучше все же отталкиваться от стандартов, давая приоритет рискам, сформированных из страхов менеджмента.
На практике, исходя из опыта работы и в российских и в зарубежных компаниях, на западе понимание риск-менеджмента на более высоком уровне, где институт репутации сильнее влияет на бизнес.
За последние годы было столько утечек, к чему это привело? Звонки мошенников, куча пострадавших, поддавшихся гипнозу. Но стали люди меньше доверять компаниям, которые это допустили? Нет, потому что или не видят связи или просто забили, как и я в том числе. Ничего нельзя сделать как субъекту с утекшей базой, просто надо знать какие риски лично для тебя с этим связаны. Со стороны государства я бы увеличил ответственность, а со стороны бизнеса повышал бы осознанность и включил риск-менеджмент и ИБ в основные процессы.
Как организовать информационную безопасность в компании с нуля: два подхода, которые помогут ничего не упустить