Разговоры о том, как убедить бизнес в том, чтобы он обращал больше внимания на информационную безопасность, возникают, планово или стихийно, на любой конференции по информационной безопасности. Чаще всего вывод из таких дискуссий один – давайте попросим регуляторов «закрутить гайки» и заставить бизнес больше тратить на безопасность. На одной из так…
Не люблю рисковый подход, в основе его лежит вероятность. Если события линейно связаны, как при подбросе монетки - с этим еще можно жить и можно просчитать. Если события не линейны - проблема. Если бы событие в анекдоте про диназавтра было линейным - тогда вероятность встречи с динозавром равнялась 0,5. Но мы живем в огромном океане статистических данных, которыми можно манипулировать по своему усмотрению. Риски - это то, что мы не можем однозначно предсказать из-за сложности моделирования процесса. Мы говорим о вероятности погоды, только потому что сложно просчитать все ее компоненты. А когда научимся это делать - понятие вероятности потеряет смысл. Проблема бизнеса в том, что топы не хотят слышать про риски. Риски везде: подскользнуться, потерять деньги. Все верно, когда говорим, что бизнес ищет возможности, а если всего бояться - это не бизнес. Инфобезу нужна другая модель оценки его эффективности. Мы предоставляем сервис для бизнеса. ИТ предоставляет сервис. Но ИТ не говорит, мол вот тебе канал связи или облачный ресурс, но с вероятностью 0,1 они могут падать, а еще с вероятностью 0,05 данные могут теряться. С точки зрения бизнеса это дичь. ИТ оперирует SLA. ИБ может делать также.
Либо можно оперировать фактами. Если у нас такая вот инфраструктура, то ее можно взломать за пять минут. Можно показать как и для бизнеса это будет показатель. Не риски, что нас взломают и нам нужно купить что-либо, а реальный кей показать на примере. Риски здесь только в том, что кто-то обратит на нас внимание или не обратит. Но людей специалистов в этом уже так много, что такой вероятность можно уже пренебречь. Мы показываем бизнесу практическую сторону, что нас может взломать даже школьник и от такого типа злоумышленника мы должны защищаться.
Вообще можно использовать разные модели ИБ, но риск-ориентированная считаю уже устарела, она для гос структур, для военных.
Также ИБ это не только операционка. Сами продукты стали цифровыми. Без безопасности нельзя сделать безопасный удаленный доступ, удаленную идентификацию, обслуживание клиента. Сам клиент просит подобные сервисы. ИБ как сервис является неотъемлемой частью ценообразования современного продукта или услуги и не учитывать ИБ уже просто нельзя.