Справедлива ли такая критика? В конце концов, руководители служб безопасности - всего лишь люди, для достижения своих целей часто использующие бессознательные штампы. У всех нас есть личные пристрастия и комфорт-зоны ("...это то, что мы всегда делали..."), мы ориентируемся на опыт других ( "...это то, что сделали в компании N..."), и мы хотим простых решений ("...это решение достаточно эффективно и доступно..."). Однако, если есть надежная, независимая информация, на основе которой совершаются решения о закупках, все происходит совершенно иначе. В 2007 году профессор университета Лестера Адриан Бек, описывая "пустыню данных" в индустрии безопасности, сказал так: "...если бы системы видеонаблюдения и другие охранные системы были лекарствами, мы бы были абсолютно потрясены тем, как широко они используются без тщательного тестирования их вероятного воздействия на пациентов". Генерал Колин Пауэлл однажды сказал, что "...если у вас есть от 40 до 70% информации, необходимой для принятия решения, отталкивайтесь от своих чувств". Так что же сделать сотрудникам безопасности, чтобы улучшить эту ситуацию? Ответ прост: при составлении проектов по внедрению систем безопасности необходимо учитывать риски. Такой подход требует проведения анализа причин, оценки рисков и расстановки приоритетов, что приведет к проблемно-ориентированным решениям, а самое главное, оправдает затраты на их финансирование.
Выявления факторов риска - Определение и всех критически важных ресурсов и конкретных угроз, стоящих перед ними.
Анализ рисков - Определение из перечня всех возможных рисков тех, которые наиболее вероятны.
Оценка рисков - Расстановка рисков по порядку, ранжирование и определение приоритетности мер.
Достичь главной цели - надлежащего обеспечения безопасности и внедрения правильных охранных систем - можно только, отталкиваясь от тщательного и постоянного взаимодействия с заинтересованными сторонами. Такой подход поможет обеспечить возможность получения разносторонних взглядов и мнений; а не исходить от одного человека. Восприятие риска зависит от слишком многих факторов, которые мы не будем здесь описывать, но достаточно сказать, что они субъективны по своей природе. Именно поэтому некоторые люди в выходные дни читают книгу или гуляют с собакой, в то время как другие прыгают с парашютом или покоряют горы.
Управление рисками является по своей сути деятельность группы и должно отражать меняющийся характер условий угроз. Результатом процесса оценки рисков должен стать документ, который определяет меры противодействия. В нем должны быть указаны подробные требования для каждого устройства. Позднее, после реализации проекта, именно эти документы замкнут круг, позволяя проверить, обеспечила ли установка то, что было предназначено с самого начала.
Конечно, следует признать, что технические меры являются лишь частью решения. Безопасность - система, которая состоит из технических и человеческих элементов. Поэтому, перефразируя Матфея 7:26, можно сказать так: индустрия безопасности часто может "...быть подобна безрассудному, который построил дом свой на песке". Если промышленность желает представить себя в качестве профессионала, она должна принимать профессиональные стандарты на основе фактических данных и методического проектирования, а не случайных догадок, что сегодня остается слишком распространенным.
Источник www.sourcesecurity.com. Перевод новости выполнила администратор сайта Елена Пономаренко
