понедельник, 21 июля 2014 г.

Управляемость риска

    Недавно столкнулся с новизной концепции "управляемость риска" даже для крайне опытных в управлении рисками ИБ экспертов. И правда, термина "нигде" нет (ни в NIST, ни в CRAMM, ни даже в OCTAVE), в ИБ его не используют так зачем он?..

    Разгадка проста - термин "из будущего". Из того будущего, где ИБ не тратит ресурсы на борьбу с APT  без понимания эффективности своей деятельности, где есть понимание что всемогущ только Бог, и где риски ранжируются не по Вероятность\Ущерб, а по Управляемость\Влияние (где Влияние = Вероятность*Ущерб).
    И право, мы действительно сможем побороть наводнение или революцию? Максимум что мы сможем, это адекватно реагировать на нежелательные события такого масштаба, но это уже соседняя опера - управления непрерывностью бизнеса. Соответственно, разумно было бы неуправляемые риски из виду не терять, но основные усилия направить на управляемые, для чего и использовать концепт "управляемости"

PS. Лидеры экономики страны уже используют такой концепт - Лукойл, Вымпелком, Роснефть

Комментариев нет:

Отправить комментарий