Wstęp
W ostatnich latach bezpieczeństwo informacji stało się jednym z głównych tematów, o jakich dyskutuje się w branży IT. Rosnąca liczba ataków hakerskich i wirusów oraz głośne historie dotyczące naruszenia bezpieczeństwa danych wzbudzają poruszenie w świecie technologii informatycznych.
Dyrektorzy często nie rozumieją w pełni kwestii bezpieczeństwa informacji, ryzyka i bieżących zagrożeń. Zwykle mają pewne pojęcie o dwóch lub trzech zagrożeniach, którymi się ogólnie interesują, i nie chcą zagłębiać się w niuanse IT. Kiedy zatwierdzają budżet, ważne jest dla nich, aby inwestycje w nowe oprogramowanie były zoptymalizowane pod względem kosztów i miały korzystny wpływ na firmę.
Rozmowy z osobami podejmującymi decyzje dotyczące bezpieczeństwa informacji mają zwykle pewne wyjątkowe cechy. Na bezpieczeństwo zwykle nie zwraca się zbyt wiele uwagi, o ile „wszystko jest w porządku”. Firmy, które doświadczyły dużych trudności w związku z utratą danych z powodu wirusów szyfrujących, zwracają znacznie większą uwagę na bezpieczeństwo niż te, które jeszcze nie napotkały problemów. Z drugiej strony bezpieczeństwa nie da się zapewnić na 100%. Każdy system, dopóki funkcjonuje, jest narażony na ryzyko. Naszym zadaniem jest wykazanie obecności ryzyka i zmniejszenie go do akceptowalnego poziomu. Ponieważ zmniejszenie ryzyka zależy od zakupu oprogramowania, ważne jest, aby znaleźć równowagę w miejscu, w którym bardziej opłaca się płacić za bezpieczeństwo niż za jego brak.