Различие риска и неопределенности восходит к началу века, к концепции Ф. Найта, рассматривавшего основы экономической теории. «Практическая разница между категориями риска и неопределенности состоит в том, что в первом случае распределение результатов в группе известно (что достигается путем априорных вычислений или изучения статистики предшествующего опыта), а во втором – нет. Это чаще всего вызвано невозможностью провести группировку случаев, так как рассматриваемые ситуации в значительной мере уникальны. Наилучший пример неопределенности связан с вынесением суждений или формированием мнений относительно будущего развития событий; именно эти мнения (а вовсе не научные знания) оказывают решающее влияние на наше поведение» – пишет он в своей классической работе . Простой математический пример. Пусть в урне находятся 10 шаров, 9 красных и один черный. Тогда риск вытянуть черный шар имеет вероятность 1/10. Если же мы не знаем, сколько и каких шаров в урне, то тогда мы находимся в состоянии неопределенности.
В сущности, одна из главных задач науки в области безопасности и риска состоит в том, чтобы обеспечить быстрое прохождение пути от неопределенности к риску, перевести угрозы из разряда скрытых в ожидаемые, избавить от необходимости действовать наугад, методом проб и ошибок. Это тем более важно, поскольку многими рисками можно разумно управлять, а неопределенностью – нет.
Взято с Малинецкий Г.Г. Управление риском. Риск, устойчивое развитие, синергетика. М., Наука, 2000
понедельник, 28 сентября 2009 г.
воскресенье, 13 сентября 2009 г.
В какой форме предлагать бизнесу и внедрять решения по обеспечению ИБ?
Каждый бизнес имеет свою специфику и мотивацию, на одной чаше весов которой находятся выгоды, а на другой затраты. Бизнес хочет иметь систему управления способную противодействовать негативным воздействиям.
Кроме того, бизнес может находиться на разных этапах своего жизненного цикла – от идеи до крупной корпорации.
Реклама решений по ИБ в форме черных ящиков с точки зрения выгоды не вызывает доверия у лиц принимающих решения в области бизнеса. У бизнес-среды стоит задача выгодного преобразования инвестиционных ресурсов во блага. А часто, главной проблемой внедрения существующих предложений по ИБ является отсутствие формального результата для бизнеса.
Поэтому, по моему мнению, решения по обеспечению ИБ должны предлагаться либо в форме разделов инвестиционных проектов посвященных анализу рисков проекта для создания бизнеса, либо в форме отдельных конкретных инвестиционных проектов по развитию для уже работающего бизнеса.
Такие проекты не должны сводиться только к разовой оценке рисков и купле-продаже-внедрению коробочных решений, а должны иметь срок окупаемости и охватывать все фазы: от начального исследования до аудита результатов работы. При этом необходимо понимать, что задача определения экономической эффективности решений по ИБ является одной из главных и труднорешаемых вследствие косвенного характера выгоды. И формат проекта для этой задачи подходит как нельзя кстати.
Работающий бизнес может выбирать наиболее эффективные инвестиционные проекты в области ИБ на конкурсной основе с тождественными требованиями. Привлекаемые инвесторы могут учитывать при анализе предложенных проектов по созданию нового бизнеса требования по ИБ и делать соответствующий выбор.
Таким образом, существующие способы предложения и внедрения решений по ИБ необходимо дорабатывать с учетом опыта движения Project Management и спецификой темы информационной безопасности. То есть это должен быть отдельный тип проектов со своими стандартами и методологией управления.
Кроме того, бизнес может находиться на разных этапах своего жизненного цикла – от идеи до крупной корпорации.
Реклама решений по ИБ в форме черных ящиков с точки зрения выгоды не вызывает доверия у лиц принимающих решения в области бизнеса. У бизнес-среды стоит задача выгодного преобразования инвестиционных ресурсов во блага. А часто, главной проблемой внедрения существующих предложений по ИБ является отсутствие формального результата для бизнеса.
Поэтому, по моему мнению, решения по обеспечению ИБ должны предлагаться либо в форме разделов инвестиционных проектов посвященных анализу рисков проекта для создания бизнеса, либо в форме отдельных конкретных инвестиционных проектов по развитию для уже работающего бизнеса.
Такие проекты не должны сводиться только к разовой оценке рисков и купле-продаже-внедрению коробочных решений, а должны иметь срок окупаемости и охватывать все фазы: от начального исследования до аудита результатов работы. При этом необходимо понимать, что задача определения экономической эффективности решений по ИБ является одной из главных и труднорешаемых вследствие косвенного характера выгоды. И формат проекта для этой задачи подходит как нельзя кстати.
Работающий бизнес может выбирать наиболее эффективные инвестиционные проекты в области ИБ на конкурсной основе с тождественными требованиями. Привлекаемые инвесторы могут учитывать при анализе предложенных проектов по созданию нового бизнеса требования по ИБ и делать соответствующий выбор.
Таким образом, существующие способы предложения и внедрения решений по ИБ необходимо дорабатывать с учетом опыта движения Project Management и спецификой темы информационной безопасности. То есть это должен быть отдельный тип проектов со своими стандартами и методологией управления.
Подписаться на:
Сообщения (Atom)
Сообщения
