Во многих компаниях до сих пор живёт удобная конструкция: есть отдельный человек или отдел, который «отвечает за безопасность». Всё. Вопрос закрыт.

Только вот в реальности это так не работает.

💼 В зрелом бизнесе ИБ — это не про софт, регламенты и галочки. Это про управление рисками на уровне руководства. Там же, где принимаются решения о деньгах, стратегии и будущем компании.

❓ А что происходит, когда безопасность “отдали на аутсорс внутрь компании”?

Появляются знакомые формулировки: ⚡ «Сначала запустимся, потом разберёмся с безопасностью» 🐢 «Вы тормозите бизнес своими требованиями» 🙈 «Да кому мы вообще интересны?»

Это не про злой умысел. Это про приоритеты и, честно говоря, про нехватку опыта. Когда связь между ИБ и реальными потерями неочевидна — безопасность автоматически уходит на второй план.

📉 А дальше включается классическая схема:

• Неприятные решения по ИБ — в сторону ➡️ • Требования безопасности — «перегибы» 🤷‍♂️ • Инцидент — «почему не предотвратили?» ❗

Удобно? Более чем. Ответственность есть. Но где-то там — у “безопасника”.

🛡 В такой модели ИБ превращается в своеобразную страховку для топов: пока всё хорошо — можно игнорировать. Когда плохо — есть кому предъявить.

🔄 Как это меняется?

Только в тот момент, когда разговор про безопасность перестаёт быть «про ИБ» и становится разговором про личные риски конкретных людей.

👤 Пока у риска нет фамилии — он автоматически закрепляется за руководителем ИБ. И всех это устраивает. Кроме него.

P.S. 💥 Практика показывает: лучше всего компании начинают понимать ценность ИБ после серьёзного инцидента. Когда встают системы и теряются данные.

🤔 Вопрос только в одном: вы начнёте этот разговор до… или после?

А до этого момента безопасность в компании будет просто… фоновым шумом.

👉 Взломано, но безопасно | Все про ИБ. Подписаться

#иб #ciso