Несмотря на то что практически все руководители понимают необходимость защиты активов от информационных угроз, выделять бюджет в пользу ИБ никто не спешит. Зато, когда инцидент происходит, деньги находят очень быстро (даже большие). Как это исправить?
У каждого руководителя есть свои бизнес-показатели и «болевые точки», которые можно использовать в качестве аргумента: это и невыполнение бизнес-показателей (KPI), и ответственность за невыполнение требований ИБ, которая уже сегодня зачастую ложится на руководство в законодательном порядке, и др.
Демонстрировать риски нужно максимально прагматично. Например, главному бухгалтеру красноречиво пояснить, что Excel-файлы в папке его отдела могут быть нелегитимно модифицированы или просто удалены, а потом задать вопрос: каковы будут последствия, если это произойдет? Генеральному директору объясните, что решение совета директоров со стратегическими выводами и финансовыми результатами может попасть в руки инсайдера. В итоге документ могут нелегитимно использовать только потому, что отсутствует контроль доступа к папке совета директоров.
Потери для бизнеса способны на порядки превышать стоимость средств защиты при попадании данной информации в руки конкурентов. А в случае компаний с критической информационной инфраструктурой (КИИ) нарушения регламентов ИБ могут повлечь за собой уголовную ответственность.
