Люди ежедневно анализируют риски на бытовом уровне. Смотрят по сторонам, перед тем как перейти через дорогу. Изучают прогноз погоды, собираясь на «шашлыки». В зависимости от обстоятельств либо кладут в сумку зарядное устройство для телефона, либо оставляют его дома. При оценке степени опасности возможных последствий большинство из нас интуитивно придерживаются правила золотой середины. Слишком поверхностный анализ дает ложную уверенность в безопасности и может приблизить аварийную ситуацию. С другой стороны, чрезмерная осторожность резко снижает эффективность любой деятельности, но не защищает от неприятных сюрпризов: когда опасности мерещатся за каждым углом, трудно вычленить из их множества действительно серьезные и уделить им повышенное внимание. Во всем нужен баланс. Как говорил Томас Карлейль, если человек знает меру — он знает все.
В бизнесе действуют те же правила. Многие компании при анализе рисков своих информационных систем впадают в две противоположные крайности: или полное отсутствие анализа как такового, или работа с «бумажной безопасностью». В первом случае средства защиты приобретаются и внедряются на основе экспертного мнения ответственных сотрудников компании, что часто приводит к лишним затратам, не обеспечивая при этом должного уровня информационной безопасности. Во втором — осуществляется «идеологически» верный анализ рисков, организованный в соответствии с буквой закона, что само по себе очень хорошо. Однако если уровень зрелости компании не позволяет поддерживать и регулярно выполнять такой идеальный процесс — никакой пользы от него не будет.
В этой статье я расскажу о нюансах построения — не на бумаге, а в реальной жизни — эффективного и оптимального процесса обеспечения информационной безопасности.
< ... >