Кривая "эффективность-цена" классов решений в ИБ⁠⁠

80% безопасности обеспечивается 20% средств контроля

Датский специалист по киберрискам сделал попытку разработать экономический обоснованный сценарий для CISO. Это непростая задача, потому что каждый директор по информационной безопасности хочет закрытия всех рисков, но ограниченный бюджет делает эту задачу непростой.

Как убедиться, что вы не тратите свой бюджет на ветер и как жить с тем, что некоторые решения вам просто недоступны?

Mads Bundgaard Nielsen наметил карту приоритетов CISO в первом приближении (опубликовано в запрещенной в РФ сети) . Очевидно, что начать следует с наиболее эффективных и наименее затратных мер контроля:

1) Надежные пароли
2) Межсетевые экраны / WAP
3) Уменьшение поверхности атаки

После этого следует брать более дорогие эффективные классы решений, и если остается бюджет, то можно встроить и остальные.