четверг, 3 октября 2013 г.

CobiT for Risk - инверсированный Cobit 5

   Недавно вышедший документ является не просто еще одним руководством для узко профессиональной области (как Cobit for Information Security), и даже не высокоуровневым руководством (как Risk IT\ISO 31000)... теперь это +1 (т.е. уже второй) способ "продавать" внедрения процессов, ведь в руководстве показано как подводить фактически все процессы Cobit под риски - как контрмеры;)

   На самом деле идея давно витала в воздухе, возьмем, например, информационную безопасность. Мы можем внедрять ISO 27001 для получения доступа на "вкусный" тендер по ИТ-аутсорсингу, или для снижения риска неэффективных инвестиций в безопасность. Или возьмем более бытовой пример - мы можем купить кредитную карту для получения бонусов в партнерской сети, или для снижения риска кражи наличности из дома.
   Т.е. практически любая активность может быть обоснована как за эффективность (например), так и против риска неэффективности.
   Так что хотя к самому руководству Cobit for Risk у меня есть много вопросов (ИБ туда можно было бы интегрировать лучше, раздел про людей и компетенции не очень, существование руководства по ИБ непонятным образом стыкуется с контентом руководства по рискам и т.п.), сам стандарт представляет собой удобный методический инструмент для обоснования внедрения процессов уже "против" рисков а не для удовлетворения бизнес-потребности. Что, кстати, приводит к мысли, что управление рисками - банально часть маркетинга в широком смысле.
   

Комментариев нет:

Отправить комментарий