Заявка на экспертизу

*Обязательное поле
  • Вернуться назад
  • Измеряй, а не оценивай

    Все мы прочли множество книг о безопасности и знаем, по меньшей мере, с десяток ее определений. В каждом из них безопасность принимает различные формы: то она явление, то система мер, то состояние. Безопасность действительно многолика: она и абстрактна, опирается на наши ощущения, и реальна.

    Реальность безопасности лежит в области математики, она основана на вероятности различных рисков и эффективности различных контрмер. Можно посчитать, насколько ваш дом защищен от кражи, взяв за основу такие факторы, как уровень преступности, и вашу привычку закрывать или не закрывать дверь на замок. Или насколько вероятно, что будут похищены ваши персональные данные. Это совсем несложно, если мы располагаем достаточно полными статистическими данными по совершаемым преступлениям. Страховые компании постоянно занимаются сбором таких данных.

    Но безопасность также является ощущением, которое основывается не на вероятностях или математических вычислениях, а на ваших психологических реакциях на риски и контрмеры. Или говоря проще – эмоциях. Вы можете бояться террористических актов,  либо же считать, что это не то, чего в действительности следует опасаться. Вы можете чувствовать себя в большей безопасности, когда видите, что люди снимают ботинки перед металлоискателями в аэропорте, а можете и не чувствовать.

    А теперь представьте, что вы организуете новый бизнес, который, разумеется, требует защиты от всех возможных угроз. От каких угроз? А это нам расскажут нанятые эксперты в данной области. Они соберут статистику по аналогичным вашей компаниям и определят словесный перечень рисков. Но дальнейшая их оценка и присвоение приоритетов - задача нетривиальная, тут уже эксперты обращаются к ощущениям. То есть процесс оценки рисков субъективен и зависит только от  видения и мнения эксперта, на которое оказывают влияние и человеческий фактор, и вопрос компетенции, и корыстные мотивы.

    Те из вас, кто занимается рисками и их оценкой, знают, что было проведено множество исследований в этой области, которые вскрывают стандартные ошибки в оценке. Например,

    ·                Большинство людей меньше опасаются рисков, над которыми они чувствуют некоторый контроль (например, вождение), и больше опасаются рисков, которые они не контролируют (например, полет на самолете или сидение в салоне в качестве пассажира, когда ведет кто-то другой).

    ·                Большинство людей меньше опасаются рисков, которые они выбирают самостоятельно, чем тех, которые им навязываются. Курильщики меньше боятся вреда от курения, чем асбеста или другого загрязнения воздуха на их рабочем месте, поскольку у них в этом случае практически нет выбора.

    И таких ошибок десятки и сотни. Текущая практика оценки рисков минимизирует влияние этих факторов увеличением числа экспертов. Понятно, что такая оценка также оказывается далека от реальности, поскольку мнения экспертов в этом случае просто усредняются. И мы получаем среднюю температуру по больнице.

    Следствие -  полная оторванность оценки рисков от объективности. Именно отсюда проистекает наша с вами оторванность от задач бизнеса. Он нас просто не понимает, когда мы приходим к нему с лучшей практикой из последней версии ISO 27000: «риск угрозы нарушения неотказуемости данной операции очень высокий». Даже если вы правы ваша оценка, в лучшем случае, не показательна.

    Что же делать? Как перестать воспринимать безопасность с эмоциональной точки зрения? Начать оценивать риски количественно, в деньгах. То же относится к обоснованию любой проектной деятельности. Безопасность стоит определенное количество денег, меньшее, чем их количество в случае реализации рисков – это необходимо донести то бизнеса. При такой количественной оценке рисков мы действительно сможем помочь бизнесу не потратить лишнее, имея при этом надежную систему безопасности.

    Кто-то скажет, что оценивать риски в деньгах сложно или даже невозможно.  Это навязанное заблуждение. Страховщики, бухгалтеры, логисты, экономисты уже давно умеют оценивать операционные риски, а переменных и внешних факторов у них хватает. И дело не в том, чтобы применить хитрую формулу, например, ROI (которая, кстати, вообще не применима к безопасности) или NPV (чистая приведенная стоимость), а в том, чтобы оценивать лишь существенные факторы, отделив их от второстепенных.

    Мы умеем оценивать риски в деньгах. Наша компания оказывает услуги по финансовой оценке операционных рисков и проектов. Помимо оценки рисков мы проводим анализ эффективности проектов, процессов и их элементов. В общем, отвечаем на конкретные управленческие вопросы. Например, следует ли продлевать подписку на средство защиты от DDOS стоимостью 30 млн. $?

    Результатом работы является методика оценки рисков, или аналитическая справка с ответом на поставленный управленческий вопрос. После проведения консалтинговых работ работа по оценке может быть автоматизирована. Автоматизация производится на базе платформы Антитрикс. Это решение ERC, которое позволяет аккумулировать в одном месте все информацию, касающуюся экономической безопасности.

    И помните: первая и наиболее типичная область, в которой ощущение безопасности может расходиться с реальностью безопасности – это восприятие риска. Не поддавайтесь эмоциям.