Далее необходимо объяснить, что уже делает ваш отдел для устранения рисков ИБ, с которыми сталкивается организация. Главное в этом вопросе — использовать количественные показатели для оценки их эффективности.
Например, отдел информационной безопасности уже сформирован и работает, но количество сотрудников компании и данных, к которым они имеют доступ, постоянно растет, а в связи с этим растет и риск
человеческих ошибок.Для непрерывного контроля полномочий и прав доступа к информационным ресурсам, выявления избыточного доступа к документам, имеющим ограничительную отметку, выявления дубликатов файлов и оптимизации файловых хранилищ требуется все больший штат специалистов информационной безопасности.
В такой ситуации CISO нужно поставить перед руководством вопрос о закупке системы класса
DCAP (Data-Centric Audit and Protection) для автоматизации процессов контроля прав и оптимизации файловых хранилищ и обосновать это решение следующими доводами:
- Автоматизация процессов позволит избежать расширения штата сотрудников информационной безопасности и увеличения фонда оплаты труда.
- Специалисты отдела информационной безопасности смогут сосредоточиться на внедрении новых решений обеспечения информационной безопасности и модернизации существующих.
- Оптимизация файловых хранилищ позволит отложить необходимость в приобретении нового дорогостоящего оборудования для хранения данных.
Подкрепив эти доводы реальными примерами и цифрами, топ-менеджмент получит достаточно экономических и стратегических обоснований для инвестирования в отдел информационной безопасности. Говоря на языке преимуществ для бизнеса, CISO может помочь руководству компании рассматривать инвестиции в безопасность как инструмент развития и роста, а не как дополнительные статьи расхода.