В какой форме предлагать бизнесу и внедрять решения по обеспечению ИБ?

Каждый бизнес имеет свою специфику и мотивацию, на одной чаше весов которой находятся выгоды, а на другой затраты. Бизнес хочет иметь систему управления способную противодействовать негативным воздействиям.
Кроме того, бизнес может находиться на разных этапах своего жизненного цикла – от идеи до крупной корпорации.

Реклама решений по ИБ в форме черных ящиков с точки зрения выгоды не вызывает доверия у лиц принимающих решения в области бизнеса. У бизнес-среды стоит задача выгодного преобразования инвестиционных ресурсов во блага. А часто, главной проблемой внедрения существующих предложений по ИБ является отсутствие формального результата для бизнеса.

Поэтому, по моему мнению, решения по обеспечению ИБ должны предлагаться либо в форме разделов инвестиционных проектов посвященных анализу рисков проекта для создания бизнеса, либо в форме отдельных конкретных инвестиционных проектов по развитию для уже работающего бизнеса.

Такие проекты не должны сводиться только к разовой оценке рисков и купле-продаже-внедрению коробочных решений, а должны иметь срок окупаемости и охватывать все фазы: от начального исследования до аудита результатов работы. При этом необходимо понимать, что задача определения экономической эффективности решений по ИБ является одной из главных и труднорешаемых вследствие косвенного характера выгоды. И формат проекта для этой задачи подходит как нельзя кстати.

Работающий бизнес может выбирать наиболее эффективные инвестиционные проекты в области ИБ на конкурсной основе с тождественными требованиями. Привлекаемые инвесторы могут учитывать при анализе предложенных проектов по созданию нового бизнеса требования по ИБ и делать соответствующий выбор.

Таким образом, существующие способы предложения и внедрения решений по ИБ необходимо дорабатывать с учетом опыта движения Project Management и спецификой темы информационной безопасности. То есть это должен быть отдельный тип проектов со своими стандартами и методологией управления.