воскресенье, 21 июля 2013 г.

Качественная оценка последствий инцидентов ИБ

Занимаясь анализом рисков в "боевой" реальной системе не первый раз ловлю себя на мысли, что в качестве результата выдаю руководству не совсем то, что хотел бы выдать... А именно, в идеале хотелось бы выдавать список рисков и сколько ресурсов в денежном эквиваленте теряет компания из-за того, что эти риски не смягчены (как в примере с Буратино).
Соответственно, по данной картине руководство компании должно или решить потратить деньги на то, чтобы этот риск снизить, или принять данные потери как неизбежное зло. В первом случае - будет понятно как быстро инвестиции в меры снижения рисков окупятся и начнут приносить прибыль.

Что реально у меня получается на практике: руководство получает перечень рисков напротив
которых стоят цифры - загадочный "уровень риска", который впрочем рассчитан по вполне адекватным методикам (которые я тоже всегда привожу). Иногда, к слову, по весьма сложным методикам... Приходилось как-то вводить коэффициенты лояльности сотрудников в различных подразделениях, участвующих в бизнес процессе, дабы получить риск "от" (все сотрудники столь лояльны, что если компания перечислит по ошибке на их счет приличную сумму, а сотрудник будет на 100% уверен, что компания пропажи не заметит, то он все равно вернет эти деньги) и риск "до" (сотрудник столь не лоялен, что готов в убыток себе, наплевав на то, что его после этого скорей всего поймают, навредить компании). При таком раскладе, кстати, сразу видны риски источником которых является внутренний нарушитель.

Вернемся к нашему качественному уровню риска, вычисленного по науке, но имеющему огромный недостаток - он не привязан к единой шкале потерь. Т.е., например, риски связанные с проведением банковских платежей и риски связанные с доступом пользователей к корпоративным ресурсам с мобильных устройств никак не коррелируют. Таким образом, единственный плюс от проделанной работы - получение приоритетов, но и то в рамках одной группы рисков. Это безусловно полезно...
Но нужно сделать один огромный шаг вперед - найти такую шкалу:
  • которой можно оценивать последствия в любых системах
  • которая была бы доступна тем, кто непосредственно работает с оцениваемыми системами (моя оценка во многих случаях, наверняка, хромает из-за незнания тонкостей бизнес-процессов)
  • которая была бы связана с какими-то количественными показателями (в первую очередь склоняюсь к деньгам, по крайней мере для коммерческих организаций)

Комментариев нет:

Отправить комментарий