Бюджеты, которые выделялись на корпоративную безопасность, всегда было непросто оправдать, однако глобальный экономический кризис сделал это процесс еще более сложным, полагают аналитики Gartner. Специалиасты по корпоративной безопасности сталкиваются с ситуацией, когда им приходиться работать в условиях очень ограниченых финансовых и кадровых ресурсов, при этом они имеют дело с растущими рисками в быстро изменяющейся среде.

«В период экономической неопределенности большинство корпоративных ИТ-расходов неминуемо находятся под пристальным вниманием. Бюджеты, выделяемые для обеспечения ИТ-безопасности и управления рисками, не является исключением, хотя кризис и повлиял на них менее радикально в сравнении с ИТ-бюджетами в целом, — отмечает Джей Хайзер, вице-президент по исследованиям в Gartner. — Ключевыми факторами для оправдания и оптимизации расходов на безопасность является гарантия того, что практика управления защитой и рисками удовлетворяет четким бизнес-целям. Это позволит, в конце концов, склонить бизнес к тому, чтобы взять верх над угрозами».

Однако Хайзер предупредил, что сотрудники, которые отвечают за безопасность, вряд ли достигнут этих важных целей, если они совершат одну из четырех распространенных ошибок управления рисками:

1) Если они будут придерживаться точки зрения, что «один размер удовлетворяет всем решениям для управления безопасностью и рисками» 

Одинаковый уровень защиты, или одинаковый уровень затрат на безопасность, не могут быть одновременно эффективны и экономически жизнеспособны для каждого бизнес-подразделения. Оптимальный уровень затрат на безопасность берет в расчет доступный уровень риска, избегая перерасходов и избыточной защиты. Бизнес-менеджерам необходимо предложить относительно небольшой набор профилей управления рисками, которые разработаны с целью удовлетворить различной степени рисков и важности данных.

2) Строить планы, основанные на том, что хочет отдел по безопасности, а не что нужно бизнесу

Исторически сложилось так, что профессионалы в области безопасности инвестировали не столько в те решения, которые были нужны бизнесу, сколько в то, что они сами считали нужным. Невозможно защитить план по ИТ-безопаности и бюджет, который для этого нужен, если он не основан на целях бизнеса. Если бизнес-менеджеры не могут или будут предоставлять информацию о значении рисков для их бизнес-процессов, тогда должны вмешаться топ-менеджеры.

3) Делать очень сложные для понимания выводы о возможных рисках 

Специалисты, отвечающие за безопасность, должны научиться четко излагать свои доводы касательно критичности определенных ИТ-систем, информационных активов и бизнес-процессов. Gartner рекомендует три простых по своему масштабу уровня – высокий, средний и низкий – чтобы обеспечить общую опорную точку для построения соответствующего уровня управления рисками. 

4) Позволять бизнес-менеджерам перенаправлять их риски ИТ-отделу и департаменту по ИТ-безопасности 

Отраслевые менеджеры желают максимально воспользоваться готовностью ИТ-отделов и ИТ-организаций принять остаточные риски, делая неправильные предположения, что «стандартное предложение» ИТ будет эффективно адресовано к любой форме ИТ-риска. Такой подход делает отдел ИТ и ИТ-безопасности «козлом отпущения» в случае каких-либо проблем. Внутренние «рыночные силы» могут помочь совместить риски с преимуществами, если всеми системными и информационными средствами ‘владеют’ специализированные биснес-менеджеры, которые отвечают за любые пробои в безопасности или непрерывности бизнеса.  

«Простая и легко управляемая структура оценка рисков, четкое принятие остаточных рисков и соглашение об уровне обслуживания в области безопасности (SLAs) сделает возможным предоставить веские доводы в пользу выделения достаточных средств для обеспечения безопасности», — полагает Хайзер. — Первый шаг, который могут сделать ИТ-специалисты — это отнестись к бизнесу как к заказчикам, которым необходимы безопасные и надежные ИТ-услуги. Не стоит им указывать на угрозы, что безопасность — это проблема, которую надо обязательно решать».