Успех - это способность не теряя энтузиазма,
идти от одной неудачи к другой.
Интересное и очень точное наблюдение в отношении ИТ-аутсорсинга:
http://juick.com/101O101/753410. Сам недавно занимался аудитом в довольно крупной компании (около 1500 сотрудников), в которой услуги ИТ-аутсорсинга предоставляла очень крупная именитая и уважаемая иностранная компания и еще кучка мелких - региональных (названий указывать не буду)... Был, мягко говоря, просто поражен реалиями аутсорсинга. При просто космических ценах никто не считал проблемой частые сбои в работе основных систем в рабочее время, ошибки при передаче финансовой информации, реакцию на "критические" проблемы в течении недель и т.п. Про безопасность предоставляемых сервисов вообще речи не было - ее не было в SLA... А уж какие показатели были в SLA!.. Причем, судя по всему, это был далеко не самый плохой вариант.
Увы, для собственного ИТ (да и ИБ тоже) ситуация отличается мало... Конечно, это не в 100% случаев (хочется в это верить), но во многих случаях это, увы, так. Переводя наблюдение из указанной выше ссылки в область ИБ можно сказать, что:
Руководству НЕ нужна полноценная и эффективная ИБ. Ему НЕ нужна гарантированная непрерывность работы, быстрое восстановление бизнес-процессов, безопасность и отказоустойчивость. Руководству нужно чтобы было дешево, прямо сейчас и был четко обозначен виноватый в случае инцидента ИБ или сбоя. При этом убытки компании от сбоев всем "до лампочки", ибо человеко-часы офисного планктона никто не считает.
Инциденты безопасности часто вообще остаются незамеченными, либо считаются неизбежными. А уж если они повлекли реальный ущерб, на который кто-то случайно обратил внимание, то самое главное в этой ситуации - найти "козла отпущения" (которым часто бывает начальник ИБ, если он не подсуетился и не возглавил эти поиски) и объявить ему торжественный выговор (в крайнем случае - депремировать на 10%, в совсем крайнем - уволить)... Все равно убытки компании на бонусах ее менеджеров обычно не сказываются...
Подчеркну, что это относится именно к руководителям, как отдельным личностям. Может бизнесу в целом-то оно и нужно - об этом говорят на совещаниях различных комитетов, правлений и советов директоров... Но почему-то это остается просто словами. Самих руководителей интересует выгода только сиюминутная, мало кто думает о будущем компании больше, чем на полгода вперед. Личные бонусы в конце квартала (года) куда интереснее потенциальной прибыли компании через пять лет...
Нормой жизни является ситуация, когда в компании нет никакой бизнес-стратегии, либо она формальна и в реальной работе не используется. Когда себестоимость бизнес-продуктов никто не считает - в отчетах пишут только доходную часть, полностью или частично опуская расходную. Когда показатели эффективности и планы по прибыли руководители и сотрудники ставят для себя сами. И, конечно же, успешно их достигают. При этом парадокс, что у компании убытки, а все свои показатели достигли, а планы по прибыли даже перевыполнили - никого не удивляет.
Совершенно резонно, что эффективность безопасности при этом часто оценивают по количеству исходящих от подразделения ИБ бумажек и по отсутствию жалоб на подразделение ИБ других подразделений (особенно "зарабатывающих" и "приближенных")... В лучшем случае - по количеству пойманных "врагов", которые сидели на "одноклассниках" или читали анекдоты в рабочее время. Главным достоинством безопасности считается ее дешивизна и отсутствие "помех" для бизнес-подразделений.
А мы при этом пытаемся внедрять "лучшие практики" ИБ и ИТ. И удивляемся, что они почему-то не работают...