Как организовать информационную безопасность в компании с нуля: два подхода, которые помогут ничего не упустить

[Fearmen]

>Несомненный плюс первого подхода со сбором «страхов» менеджмента — мы работаем с конкретным запросом бизнеса.

Вот тут уже зависит от сферы бизнеса. В Российских реалиях подавляющее число компаний вне ИТ сферы наоборот будут максимально сокращать косты на ИБ, и опрос выявит лишь "нам ничего не надо, нам и защищать нечего"

[Ava256]

Понимание ИБ со стороны бизнеса бывает все очень своеобразное ) Помню, как-то на конференции по управлению уязвимостями спросили какую-то деректриссу крупной компании, зачем они это делают. Она говорит, что если бы не требования руководящих документов от государства или ЦБ они бы не тратили на это время ? Все представители круглого стола просто обомлели после такого ? У нас часто работают подходы, «есть требование - есть ИБ» или пока не произойдет серьезный инцидент с потерей данных. В последний раз шифровальшики очень хорошо повысили осознанность компаний в части использования антивирусов и бэкапов.

[BantiC]

Полностью согласен с последним автором и, если крупный бизнес из под палки и под страхом наказаний от регуляторов, хоть что-то делает в этой сфере, то малый и средний находятся на уровне "у нас брать нечего и мы никому не интересны, никто нас не проверит". Вне зависимости от того, чем занимаешется организация. И как с этим бороться, пока непонятно.

[Nickyou]

Со стороны редактуры, статья очень живая, прям реально хорошо. Со стороны иб не хватило примеров, где первый подход, где второй. Рассуждения это хорошо, но понятны тем кто глубоко в теме

[msfs11]

На мой взгляд, лучше все же отталкиваться от стандартов, давая приоритет рискам, сформированных из страхов менеджмента.

На практике, исходя из опыта работы и в российских и в зарубежных компаниях, на западе понимание риск-менеджмента на более высоком уровне, где институт репутации сильнее влияет на бизнес.

За последние годы было столько утечек, к чему это привело? Звонки мошенников, куча пострадавших, поддавшихся гипнозу. Но стали люди меньше доверять компаниям, которые это допустили? Нет, потому что или не видят связи или просто забили, как и я в том числе. Ничего нельзя сделать как субъекту с утекшей базой, просто надо знать какие риски лично для тебя с этим связаны. Со стороны государства я бы увеличил ответственность, а со стороны бизнеса повышал бы осознанность и включил риск-менеджмент и ИБ в основные процессы.