Борис Гончаров: Управлението на риска се превръща в досадно бюрократично занимание заради формализирания подход
На 24 април 2012 г. в Лондон започва 17-тото издание на Infosecurity Europe – едно от най-значимите събития в сферата на информационната сигурност в Европа.
Конференцията събира над 12,500 специалисти по информационна сигурност и над 300 международни изложители – водещи доставчици на продукти и услуги в индустрията.
Борис Гончаров, Директор Информационна сигурност и информационни технологии в Г4С Секюър Сълушънс България, за втора поредна година е сред лекторите на конференцията. Борис е инструктор в New Horizons Bulgaria, сертифициран CISSP, CISSP-ISSMP®, CEH.
Той е и единственият български лектор на Infosecurity Europe.
Борис, какво означава за теб участието в Infosecurity Europe?
За мен е изключителна привилегия да бъда част от това събитие. Фактът, че по един или друг начин представлявам България, също е повод да чувствам особено удовлетворение. Най-малкото това е доказателство за адекватността на професионалната ни действителност.
Каква беше темата на лекцията ти през 2011?
Темата беше за класификацията на информацията, тема за която почти никой желае да говори или да изследва задълбочено. Това е и причината да я избера. В презентацията си се опитах да представя нещо практично и работещо в корпоративна среда и в контекста на ISO 27001.
Кое беше най-ценното на Infosecurity Europe 2011?
Цялостното ми усещане беше изключително позитивно, имаше и нови неща и „сверяване на часовника“, но най-ценното за мен беше възможността да си поговоря лично с доста колеги и с представители на водещите доставчици на решения в областта на информационната сигурност. Определено ми допадна начина, по който е организирано събитието, с ясно разграничаване на търговското от експертното. Би ми си искало да видя нещо такова и тук, отвъд чистото продуктово позициониране.
Какви са очакванията ти от конференцията тази година?
Очакванията ми са наистина големи и мисля, че тази година ще бъде още по-интересна и във фокуса на иновациите и тенденциите.
Кои ще бъдат най-интересните теми и лектори?
Трудно ми е да определя. Интригуващо звучат темите, свързани с хактивизма, облачната сигурност и „умните“ устройства. Като имена от лекторите мога да отлича Ms. Neelie Kroes, Vice President Of The European Commission & European Digital Agenda Commissioner, Mr. Spencer Mott, Chief Information Security Officer – Security & Risk Management, Electronic Arts и Mr. Jon Donaldson, Head Of Security Operations & Compliance, Visa Europe.
Тази година ще говориш в блока, посветен на управление на риска. Защо избра тази тема и кои ще бъдат акцентите на лекция ти?
Управлението на риска е мощен инструмент за ефективна защита на една организация от непрекъснато променящите се заплахи. Много организации знаят какво е управление на риска, но в повечето случи не го прилагат правилно и не виждат ползите от него.
Акцентите на лекцията ми са свързани предимно с формализацията, липсата на адекватни методология и инструменти за преценяване на риска, както и с усложненията, свързани с комплексното детайлизиране на елементите от идентификацията и третирането на риска.
Къде е България спрямо Западна Европа по отношение на управление на риска?
По-скоро въпросът е къде е Европа спрямо Щатите. На нашия континент в повечето случаи се следва изключително формализиран подход, който на практика е без стойност за дадената организация. Ако се използват най-разпространените в Европа методологии, могат да се изготвят еднотипни оценки на риска на всякакви организации, без предварителна информация. В САЩ нещата са доста по-практични и ясни. Ние категорично следваме европейската традиция в управлението на риска.
Именно заради следването на този формализиран подход управлението на риска се превръща в досадно бюрократично занимание, което просто трябва да се свърши. Другата причина е липсата на компетентност в областта на информационната сигурност и управлението на риска.