В продолжение прошлого поста разберем ситуацию с управлением рисками. Как и в прошлый раз, ниже сказанное характерно для любого процесса управления рисками, но будем рассматривать на примере ИБ.
Итак, ситуация аналогичная: теория классная, все понятно, ничего не работает.
В качестве Главных Виновников, стоящих на пути в светлое будущее к риск-ориентированному подходу, неоднократно упоминается:
Если абстрагироваться от сухой теории "ведущих практик" и посмотреть на ситуацию сквозь призму человеческой натуры, то мы снова окунемся в мотивацию. Вовлечение бизнеса невозможно не потому, что безопасность невнятно формирует свои желания/аргументы. Это, конечно, тоже встречается, но не является главной причиной. И не потому, что бизнес считает, что рисков нет. Они есть, но их официальное признание тянет за собой необходимость признать существование таких рисков перед высшим руководством/материнской компанией/акционерами/регуляторами/другое. А еще, нужно принимать решение об адекватности оценки и мер по обработке риска. Это значит, что, в случае, если что-то пойдет нет так и меры окажутся неадекватными, придется отвечать.
И менеджмент задается главным одесским вопросом: "Оно мне надо?". Нет ответственности - нет проблемы. Она есть у компании, но ведь это - проблема компании. А на случай, если все-таки какая-то высшая сила заставила заставила принимать решение, есть прекрасный механизм - коллективная ответственность. Мы создаем комитет/комиссию/другое, желательно одноранговых представителей различных подразделений и размазываем ответственность 15-ю подписями. Под этот прекрасный механизм можно принимать любые решения. В случае чего - крайнего не найти.
Кстати, "неумение" считать риски в деньгах - прекрасный инструмент для размазывания серьезности картины. Риск А высокий? Выше чем риск Б? На сколько? На 2 мм, судя по картинке?
К чему я это все? К тому, что человеческий фактор - один из самых мощных источников проблем, который нужно учитывать при любом действии. После сценария "как это должно работать" обязательно нужно рассмотреть сценарий "что будут делать люди, которые не захотят делать это". И добавить для них несколько дополнительных сдерживающих от самодеятельности факторов.
Итак, ситуация аналогичная: теория классная, все понятно, ничего не работает.
В качестве Главных Виновников, стоящих на пути в светлое будущее к риск-ориентированному подходу, неоднократно упоминается:
- нежелание/неумение безопасников считать в деньгах
- сложность методик
- отсутствием опыта безопасников
- сложность вовлечения представителей бизнеса
Если абстрагироваться от сухой теории "ведущих практик" и посмотреть на ситуацию сквозь призму человеческой натуры, то мы снова окунемся в мотивацию. Вовлечение бизнеса невозможно не потому, что безопасность невнятно формирует свои желания/аргументы. Это, конечно, тоже встречается, но не является главной причиной. И не потому, что бизнес считает, что рисков нет. Они есть, но их официальное признание тянет за собой необходимость признать существование таких рисков перед высшим руководством/материнской компанией/акционерами/регуляторами/другое. А еще, нужно принимать решение об адекватности оценки и мер по обработке риска. Это значит, что, в случае, если что-то пойдет нет так и меры окажутся неадекватными, придется отвечать.
И менеджмент задается главным одесским вопросом: "Оно мне надо?". Нет ответственности - нет проблемы. Она есть у компании, но ведь это - проблема компании. А на случай, если все-таки какая-то высшая сила заставила заставила принимать решение, есть прекрасный механизм - коллективная ответственность. Мы создаем комитет/комиссию/другое, желательно одноранговых представителей различных подразделений и размазываем ответственность 15-ю подписями. Под этот прекрасный механизм можно принимать любые решения. В случае чего - крайнего не найти.
Кстати, "неумение" считать риски в деньгах - прекрасный инструмент для размазывания серьезности картины. Риск А высокий? Выше чем риск Б? На сколько? На 2 мм, судя по картинке?
К чему я это все? К тому, что человеческий фактор - один из самых мощных источников проблем, который нужно учитывать при любом действии. После сценария "как это должно работать" обязательно нужно рассмотреть сценарий "что будут делать люди, которые не захотят делать это". И добавить для них несколько дополнительных сдерживающих от самодеятельности факторов.
Комментариев нет:
Отправить комментарий