вівторок, 25 вересня 2012 р.

Управление Риском: почему не работает? Проблема периметра


Есть очень много причин, почему все наши потуги в управлении риском не работают.
Одну из таких причин я назвал проблемой периметра.
Название мне понравилось, потому, как  периметр всегда был очень любимым и почитаемым термином у Безопасников и сейчас когда все и вся твердят о его размытии, становится грустно и возникает чувство несправедливости.

Честно говоря, я данный термин использую абсолютно в другом контексте, для иллюстрации распространенной  проблемы в области управления Риском. 

Предлагаю всем открыть, ну скажем ISO/IEC 27005 (у меня в редакции 2008 года) и взглянуть на Figure 1.  Information security risk management process.

Куда устремлен ваш взор?  Мой, например, на Risk Assessment и на все, что с ним связано: Risk Identification, Risk Estimation, Risk Evaluation. Не правда ли – музыка?

Context Establishment и Risk Treatment – ну так это как бы вроде и не мое…  Мое дело считать… Денег дадут, ну тогда сделаем, что сможем…

Risk Communication – кому надо пусть и обмениваются, я готов предоставить инфу в любую минуту, пусть только спросят

Risk Monitoring and Review – а это кажется вообще лишнее:  ведь когда риски считаем «Monitoring and Review» происходит автоматически. Или не так?


Вот и получился «периметр», который надежно изолировал от реальной жизни то, что мы делаем . 

К чему это приводит? Когда-нибудь обсудим …:-)

Немає коментарів:

Дописати коментар