Остаточный риск информационной безопасности
Если же имеется понимание важности обеспечения информационной безопасности бизнеса, то при построении корпоративной системы защиты информации, следует знать, что 100 % защиты не существует, как в сфере обеспечения информационной безопасности, так и в других областях. Остаточный риск существует при любом варианте создания или реорганизации корпоративной системы защиты информации. Собственник информационных ресурсов должен сам выбирать допустимый уровень остаточных рисков и нести ответственность за свой выбор. К тому же, достаточно часто информационная безопасность неправильно понимается как проблема только службы информационных технологий. Поэтому многие организации предпринимают попытки устранить отдельные недостатки в сфере ИБ, используя частичные решения, чаще всего технического характера. Так, считается, что достигнут приемлемый уровень защиты информации, если применяются антивирусные программы, используется контроль прав доступа к информации, установлены межсетевые экраны при сетевом обмене электронной информацией. Однако это самый минимальный объем средств только и именно компьютерной защиты, не всегда соответствующий реальному уровню рисков организации. В условиях экономической нестабильности и возрастающего обмена информацией возрастают риски вторжения в информационные системы компаний, возникает возможность нанесения вреда информационным системам со стороны недовольных сотрудников, появляется повышенная вероятность мошенничества. Поэтому политика и работа в сфере информационной безопасности должна охватывать все сегменты деятельности компании, а не только информационные технологии.