А что если?

Есть в менеджменте один полезный инструмент — процесс моделирования оценки возможных альтернативных стратегий и рисков, с ними связанных, или, короче, анализ «что если» (what if). Причем это не гадание на кофейной гуще, а вполне себе адекватный метод прогнозирования, позволяющий определить возможный ход событий и разработать программу действий на случай, если прогноз сбудется.

Этот метод можно применять и в ИБ, причем он может стать хорошей альтернативой принятым сегодня подходам к выстраиванию деятельности службы ИБ. Аналогичный сценарий нередко используется в проектах по ПДн. Операторы, не имея возможности выполнить все параноидальные требования регуляторов, закрывают только те, на которые регуляторы обращают внимание в первую очередь. Метод «что если» построен по тому же принципу. Мы выписываем возможные сценарии в области ИБ, которые затем приоритезируем и готовим программу действий по нейтрализации сценария.

Чтобы я включил в список возможных сценариев «что если»? Сходу вырисовывается следующий список:

  • А что если завтра придет выездная проверка Роскомнадзора по линии персданных?
  • А что если завтра придет «письмо счастья» из Роскомнадзора (документарная проверка) по вопросам ПДн?
  • А что если завтра придет проверка ФСТЭК в части ТЗКИ?
  • А что если завтра придет проверка ФСБ в части шифрования?
  • А что если завтра в Интернете опубликуют сведения о произошедшеи у нас инциденте ИБ?
  • А что если завтра на нас проведут DDoS-атаку (или осуществят иные распространенные атаки)?
  • А что если завтра произойдет инцидент ИБ?
  • А что если завтра мой поставщик средств защиты и услуг ИБ обанкротится или мое начальство откажется с ними дальше работать?
  • А что если завтра производитель средств защиты будет куплен более крупным игроком рынка ИБ?
  • А что если завтра руководитель компании захочет сократить персонал службы ИБ?
  • А что если завтра CIO захочет перейти на облачные вычисления (или иные новомодные технологии)?
  • А что если завтра наша компания поглотит другую компанию?

Безусловно это далеко не полный список; скорее так, минутный мозговой штурм. Но он позволяет задуматься и найти пробелы в собственном плане обеспечения ИБ. А главное, что правильная реализация подхода «что если» позволяет не распыляться по мелочам, а закрывать только реальные риски, которые и могут стать причиной потенциальных, но серьезных проблем.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Michael

    Еще есть вариация: Перечислите 5 событий (не больше 5), претендующих на роль ночных кошмаров для вас.

    Тогда план получается более конкретным и реализуемым. Такой обширный список ситуаций лучше доверить аудиторам.

    Ответить
  2. Michael

    Этот комментарий был удален автором.

    Ответить
  3. Michael

    Этот комментарий был удален автором.

    Ответить