18.01.2012

А что если?

Есть в менеджменте один полезный инструмент - процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных, или, короче, анализ "что если" (what if). Причем это не гадание на кофейной гуще, а вполне себе адекватный метод прогнозирования, позволяющий определить возможный ход событий и разработать программу действий на случай, если прогноз сбудется.

Этот метод можно применять и в ИБ, причем он может стать хорошей альтернативой принятым сегодня подходам к выстраиванию деятельности службы ИБ. Аналогичный сценарий нередко используется в проектах по ПДн. Операторы, не имея возможности выполнить все параноидальные требования регуляторов, закрывают только те, на которые регуляторы обращают внимание в первую очередь. Метод "что если" построен по тому же принципу. Мы выписываем возможные сценарии в области ИБ, которые затем приоритезируем и готовим программу действий по нейтрализации сценария.

Чтобы я включил в список возможных сценариев "что если"? Сходу вырисовывается следующий список:
  • А что если завтра придет выездная проверка Роскомнадзора по линии персданных?
  • А что если завтра придет "письмо счастья" из Роскомнадзора (документарная проверка) по вопросам ПДн?
  • А что если завтра придет проверка ФСТЭК в части ТЗКИ?
  • А что если завтра придет проверка ФСБ в части шифрования?
  • А что если завтра в Интернете опубликуют сведения о произошедшеи у нас инциденте ИБ?
  • А что если завтра на нас проведут DDoS-атаку (или осуществят иные распространенные атаки)?
  • А что если завтра произойдет инцидент ИБ?
  • А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?
  • А что если завтра производитель средств защиты будет куплен более крупным игроком рынка ИБ?
  • А что если завтра руководитель компании захочет сократить персонал службы ИБ?
  • А что если завтра CIO захочет перейти на облачные вычисления (или иные новомодные технологии)?
  • А что если завтра наша компания поглотит другую компанию?
Безусловно это далеко не полный список; скорее так, минутный мозговой штурм. Но он позволяет задуматься и найти пробелы в собственном плане обеспечения ИБ. А главное, что правильная реализация подхода "что если" позволяет не распыляться по мелочам, а закрывать только реальные риски, которые и могут стать причиной потенциальных, но серьезных проблем.

3 коммент.:

Michael комментирует...

Еще есть вариация: Перечислите 5 событий (не больше 5), претендующих на роль ночных кошмаров для вас.

Тогда план получается более конкретным и реализуемым. Такой обширный список ситуаций лучше доверить аудиторам.

Michael комментирует...
Этот комментарий был удален автором.
Michael комментирует...
Этот комментарий был удален автором.