«В период экономической неопределенности большинство корпоративных ИТ-расходов неминуемо находятся под пристальным вниманием. Бюджеты, выделяемые для обеспечения ИТ-безопасности и управления рисками, не является исключением, хотя кризис и повлиял на них менее радикально в сравнении с ИТ-бюджетами в целом, — отмечает Джей Хайзер, вице-президент по исследованиям в Gartner. — Ключевыми факторами для оправдания и оптимизации расходов на безопасность является гарантия того, что практика управления защитой и рисками удовлетворяет четким бизнес-целям. Это позволит, в конце концов, склонить бизнес к тому, чтобы взять верх над угрозами».
Однако Хайзер предупредил, что сотрудники, которые отвечают за безопасность, вряд ли достигнут этих важных целей, если они совершат одну из четырех распространенных ошибок управления рисками:
1) Если они будут придерживаться точки зрения, что «один размер удовлетворяет всем решениям для управления безопасностью и рисками»
Одинаковый уровень защиты, или одинаковый уровень затрат на безопасность, не могут быть одновременно эффективны и экономически жизнеспособны для каждого бизнес-подразделения. Оптимальный уровень затрат на безопасность берет в расчет доступный уровень риска, избегая перерасходов и избыточной защиты. Бизнес-менеджерам необходимо предложить относительно небольшой набор профилей управления рисками, которые разработаны с целью удовлетворить различной степени рисков и важности данных.
2) Строить планы, основанные на том, что хочет отдел по безопасности, а не что нужно бизнесу
Исторически сложилось так, что профессионалы в области безопасности инвестировали не столько в те решения, которые были нужны бизнесу, сколько в то, что они сами считали нужным. Невозможно защитить план по ИТ-безопаности и бюджет, который для этого нужен, если он не основан на целях бизнеса. Если бизнес-менеджеры не могут или будут предоставлять информацию о значении рисков для их бизнес-процессов, тогда должны вмешаться топ-менеджеры.
3) Делать очень сложные для понимания выводы о возможных рисках
Специалисты, отвечающие за безопасность, должны научиться четко излагать свои доводы касательно критичности определенных ИТ-систем, информационных активов и бизнес-процессов. Gartner рекомендует три простых по своему масштабу уровня – высокий, средний и низкий – чтобы обеспечить общую опорную точку для построения соответствующего уровня управления рисками.
4) Позволять бизнес-менеджерам перенаправлять их риски ИТ-отделу и департаменту по ИТ-безопасности
«Простая и легко управляемая структура оценка рисков, четкое принятие остаточных рисков и соглашение об уровне обслуживания в области безопасности (SLAs) сделает возможным предоставить веские доводы в пользу выделения достаточных средств для обеспечения безопасности», — полагает Хайзер. — Первый шаг, который могут сделать ИТ-специалисты — это отнестись к бизнесу как к заказчикам, которым необходимы безопасные и надежные ИТ-услуги. Не стоит им указывать на угрозы, что безопасность — это проблема, которую надо обязательно решать».