Dziś mała refleksja związana z marudzeniem bezpieczników o tym, że biznes jest zły i ich nie rozumie. Informacje na ten temat mam w zasadzie z pierwszej ręki, bo sam tak marudziłem. I w zasadzie coś w tym marudzeniu jest. Z drugiej strony uważam, że działy bezpieczeństwa powinny popatrzeć również na siebie. Proponuję ciekawe ćwiczenie - zapoznanie się z listą błędów poznawczych. A może nawet nie, na początek wersja jeszcze bardziej uproszczona: heurystyka dostępności.
Zanim zaczniesz marudzić - pomyśl chwilę
Szanowne Koleżanki i Koledzy zajmujący się bezpieczeństwem IT. Czy my jeszcze jesteśmy normalni? W szczególności czy jesteśmy w stanie w prawidłowy sposób oszacować prawdopodobieństwo zaistnienia pewnych zdarzeń? A może jesteśmy już na tyle specyficzni (patrz też: skrzywienie zawodowe), że czytając te wszystkie informacje o dziurach i włamaniach zaczynamy przeceniać prawdopodobieństwo ich wystąpienia oraz skutki takiego zdarzenia?
Być może biznes nas nie rozumienie i nie chce inwestować wystarczających środków w bezpieczeństwo, bo przychodzimy do niego, opowiadamy o czarnych łabędziach ale nie bardzo potrafimy poprzeć nasze historie konkretnymi liczbami (nie, nie chodzi o statystyki). Jeśli chcemy wydać na bezpieczeństwo trochę pieniędzy, to czy jesteśmy w stanie uzasadnić, że wdrożony mechanizm zapobiega większym stratom? A może chcemy wydać sporo pieniędzy po to, by zabezpieczyć się przed czymś, co w zasadzie należy uznać za ryzyko szczątkowe a koszty jego obsługi (np. odszkodowania dla klientów) rocznie są niższe, niż koszt utrzymania nowych zabezpieczeń miesięcznie.
I jeszcze jedno - nie mój cyrk, nie moje małpy. Jeśli zgłaszam osobie decyzyjnej problem i popieram całość sensowną analizą ryzyka, a podjęta decyzja brzmi: "zaryzykujmy", to w zasadzie trzeba się z nią pogodzić. Oczywiście wskazane jest mieć na to dupokrytkę, a i do tematu można wracać w przypadku zaistnienia istotnych zmian (jest różnica między sytuacją, w której pojawia się gdzieś informacja o jakimś nowym teoretycznym ataku, a sytuacja, w której ten atak jest aktywnie wykorzystywany). Nie trzeba jednak popadać w frustrację z powodu zignorowania naszej pracy, w końcu to nie do końca naszą rolą jest podejmowanie decyzji o poziomie ryzyka, które organizacja jest w stanie zaakceptować. Oczywiście może być i tak, że jeśli w końcu się coś stanie, przed czym ostrzegaliśmy, to i tak my będziemy winni (i dlatego pisałem o dupokrytkach, nie ma to jak te korporacyjne wojenki). Co do zasady jednak aplikacje (ogólnie - system informatyczny) jest po to, by realizować cele biznesowe przy akceptowalnym poziomie ryzyka. Bardzo często poziom ryzyka, które jest w stanie zaakceptować organizacja jest wyższy niż ten, który my jesteśmy skłonni zaakceptować. I dlatego prezesi dostają wyższe premie... ;)
Mała dygresja - ciekawa jest koncepcja odchodzenia od premiowania wyników krótkookresowych na rzecz powiązania bonusów z długofalowymi skutkami działań. Po prostu managerowie podejmowali zbyt ryzykowne/krótkowzroczne decyzje po to, by otrzymać kwartalną/półroczną/roczną premię. A potem niech się wali świat, co zresztą się dzieje.
Co do menedżerów to ich rola jest przeceniana. Nie doceniana jest natomiast rola polityków. To nie menedżerowie ustalają stopy procentowe i wprowadzają akty prawne gwarantujące kredyty osobom niezdolnym do ich spłacenia.
Jeśli chodzi o polityków, to oczywiście masz rację. A ja bym poszedł jeszcze głębiej. Ktoś tych polityków wybiera i wybiera właśnie tych, którzy prowadzą taką, a nie inną politykę. Bo przecież racjonalne finanse są ZŁE a państwo MA DAĆ. A jak nie da, to pójdziemy na ulicę...