בתכל'ס, ארגונים לא טורחים לבצע הערכת סיכונים. הם מתקינים כמה Firewalls, פורסים איזה Antivirus, קצת Content Filtering, הקשחות, קנפוג, קצת הצפנה, מעל זה מפזרים אבקת זימזומיות (שזה אומר התקנה או הרצה של פיילוטים של הדברים החמים בתחום). אך בפועל הם לא עוצרים לשאול את עצמם מה בדיוק הם צריכים.
באופן עקרוני זו גישה הרבה יותר טובה מאיך שזה נשמע. כל עוד כולם מתמודדים עם אותם סיכונים אין סיבה שלא ליישם את אותה האבטחה כמו כולם. אלא שהסיכונים משתנים. פחות מתקפות עוורות, יותר מתקפות ממוקדות. כפועל יוצא, ארגונים שייערכו בעתיד לסיכון הממוצע עלולים לגלות שהשונות בתחום סיכוני אבטחת המידע גדולה יותר ממה שהיא כיום ולכן הממוצע מאוד מטעה.
התהליך של הערכת וניהול סיכונים מסודר עוד לא קורה, אך זה עניין של זמן. גם כי לא תהיה ברירה וגם כי אחד מסימני ההבשלה של תחום מקצועי הוא התפתחות פרקטיקות ניהול שיטתיות. וניהול סיכונים הוא פרקטיקת ניהול בכל תחום עיסוק. גם באבטחת מידע.
בבלוג זה
בכל הבלוגים
