Некоторые из разработчиков систем информационной безопасности (или компании, занимающиеся внедрением их инструментов), настаивают на том, что оценка рисков, должна проводиться их специалистами). По их мнению, привлечение сторонних экспертов позволит обеспечить системный подход к информационной безопасности. Странная логика. Ведь если в компании есть специалист по информбезопасности, то в его служебные обязанности как раз и входит оценка рисков и выбор путей решения проблемы. Да и аутсорсинг в области безопасности сам по себе чреват утечками данных, сколь бы незапятнанной ни была репутация компании, производящей внедрение защитной системы.
Конечно, в той или иной компании либо даже банке может и не оказаться сотрудника необходимой квалификации. Но в таком случае встает закономерный вопрос: нужна ли вообще этой компании комплексная система защиты важных данных, или можно ограничиться внедрением отдельных ее компонентов? Хотя… Перекрытие отдельных каналов утечек имеет мало смысла, если основные бреши в защите конфиденциальной информации остаются незакрытыми.
