РОЗРОБКА ОСНОВИ СТРАТЕГІЇ АНАЛІЗУ РИЗИКІВ ДЛЯ ОЦІНКИ ВПЛИВУ В СИСТЕМАХ УПРАВЛІННЯ ІНФОРМАЦІЙНОЇ БЕЗПЕКИ: ПРИКЛАД З ІНДУСТРІЇ ІТ-КОНСАЛТИНГУ. ЧАСТИНА 1
Ця стаття є вільним перекладом роботи Фотіс Кіціос, Ельпініки Хацидімітріу та Марії Камаріоту.
1. Введення
Інформація завжди була важливим активом кожної компанії і цей актив необхідно захищати. У сучасному світі більшість інформації зберігається у цифровому вигляді і доступна в Інтернеті, що спрощує доступ і мінімізує час архівування. Однак у цього є один недолік: вся ця інформація може наражатися на різні ризики та загрози в залежності від її важливості. Кібератаки на конфіденційну чи секретну інформацію з роками почастішали. Зростання компанії може зробити її привабливішою мішенню для кібератак, а витік інформації може завдати шкоди її репутації, доходам та надійності. З усіх вищезгаданих причин створення системи управління інформаційною безпекою (СУІБ) необхідне для залучення більшої кількості клієнтів та утримання існуючих. Кожен клієнт повинен знати, що спільно використовувана інформація надійно та правильно управляється.
Міжнародна організація зі стандартизації (ISO) 27001 є системою управління для виявлення, оцінки та пошуку механізмів подолання будь-якого неминучого ризику. Він може надати компанії посібник із розробки ефективної СУІБ з урахуванням її потреб. Впровадження СУІБ означає, що кожна компанія має розробити свою стратегію, щоб краще справлятися з ризиками та загрозами інформаційної безпеки та, в кінцевому підсумку, створити ЗМІБ, що відповідає стандарту ISO 27001. Стандарт не визначає конкретних процедур для реалізації умов, а натомість вони мають бути встановлені та виконані для конкретної компанії.
Хоча існує безліч різних підходів до успішного впровадження СУІБ у компанії, бажаний результат один і той же: забезпечити безпеку інформації та знайти оптимальне рішення, що відповідає потребам компанії. Більше того, однією з найважливіших та трудомістких частин створення ЗМІБ у компанії є оцінка ризиків. Усі можливі ризики мають бути ідентифіковані, оцінені та класифіковані. Оскільки кожна компанія є унікальною, ризики також можуть відрізнятися, і існує не тільки один підхід, який може використовувати кожна компанія для оцінки ризиків.
З цієї причини важливо надати більше тематичних досліджень та більше теоретичних основ щодо впровадження СУІБ у компанії, щоб кожна компанія чи зацікавлена сторона могли мати доступ до всієї цієї інформації та використовувати її для своїх цілей. Метою даного документа є розробка схеми оцінки ризиків, яку компанія використовувала у секторі інформаційних технологій для проведення процесу оцінки ризиків відповідно до стандарту ISO 27001.
Політика компанії гарантує, що інформація, з якою вона працює як в електронній, так і друкованій копії, адекватно захищена від наслідків порушення конфіденційності, порушення цілісності або порушення доступності цієї інформації. У компанії вже було багато процесів. Проте більшість із них не реєструвалися регулярно або взагалі не записувалися. Іншими словами, багато загроз не було ідентифіковано і, отже, не враховувалося. Швидке зростання компанії показало, що стандартизована модель інформаційної безпеки може зробити деякі аспекти бізнесу більш функціональними. Більше того, стало ясно, що швидке зростання зробить компанію мішенню для кіберзагроз. Це стало метою для компанії приступити до більш детальної та розширеної політики інформаційної безпеки. Традиційний спосіб забезпечення інформаційної безпеки не був стійким у компанії, що швидко зростає. Ризики, пов’язані з людським фактором, множилися зі зростанням штату співробітників компанії. Нарешті, компанія продовжувала отримувати те саме питання від численних клієнтів: «Чому ми повинні довіряти нашу інформацію з вами?» З роками все важче повертатися до клієнтів з добре документованими доказами. Більше того, клієнти стали менш терпимими до невизначеності інформаційної безпеки.
2. Теоретична основа
2.1. Системи управління інформаційною безпекою та переваги
Згідно Хауфе та співавт., інформаційна безпека вважається частиною управління ІТ. Виходячи з цього твердження, ми можемо зрозуміти важливість інформаційної безпеки у бізнес-стратегії сучасної та конкурентоспроможної компанії. Компанія може обробляти чи підтримувати різні види даних, віднесених до різних категорій інформації. Від записів клієнтів та співробітників до даних бухгалтерського обліку, вся ця інформація має бути доступною та доступною для належного функціонування компанії. Вся ця інформація має бути захищена, і цитуюча компанія повинна вибирати та застосовувати відповідні засоби захисту для захисту своїх фізичних та фінансових активів, репутації, правового становища, персоналу та інших фізичних та нематеріальних активів. Тут на допомогу приходить СУІБ. Проте якою є мета СУІБ?
У літературі є кілька дискусій щодо призначення СУІБ. Діш та ін. (2020) та Паананен та ін. (2020) зазначають, що основною метою інформаційної безпеки є захист інформації, програмного та апаратного забезпечення організації, які є її цінними ресурсами. Відповідно до Von Solms and Van Niekerk (2013), план, застосування та процес СУІБ мають бути в змозі зупинити та захистити апаратне забезпечення, програмне та забезпечення інформацію користувачів від зовнішньої та внутрішньої загрози, навіть якщо компанія чи організація перебуває під загрозою.
У світлі вищевикладеного ми можемо зрозуміти, що СУІБ є життєво важлива, оскільки вона може захистити свої критично важливі активи. Проте впровадження СУІБ — непросте завдання, а погане планування може негативно вплинути на компанії. Зокрема, можна прийняти процеси чи політики, які створюють бар’єри у функціях організацій під час запровадження СУІБ. Співробітникам може бути складніше виконувати повсякденні завдання, оскільки більше часу знадобиться для перевірки інформаційної безпеки. Крім того, робоче навантаження буде збільшено через обмеження доступу до інформації. Також, може виникнути ситуація коли неможливо буде підтримувати стандарти роботи до впровадження СУІБ, а якість роботи може бути нижчою. Нарешті, чи існуючий персонал повинен буде присвятити час обробці додаткових перевірок щодо інформаційної безпеки.
З вищевказаних причин регулювання та економічна ефективність є важливими компонентами ефективної СУІБ. Процедура СУІБ як невід’ємний компонент кожної СУІБ має узгоджуватися з цілями та місією організації. Це слід враховувати у процесі розробки успішної СУІБ, а не на пізнішому етапі, щоб уникнути додаткових витрат, збільшення робочого навантаження або зниження якості. Фундаментальна концепція СУІБ полягає у забезпеченні конфіденційності, цілісності та доступності всієї інформації та даних. Конфіденційність стосується ідеї, що інформація та дані не повинні бути доступні стороннім особам. Компанії працюють із фінансовими записами, ноу-хау, власним кодом, даними клієнтів, особистою інформацією і т. д. Цілісність відноситься до несанкціонованих змін даних та інформації. Хоча СУІБ не може гарантувати точність збереженої інформації та даних, вона включає процеси та інструменти, які перевіряють, що зміни призначені і правильно застосовуються, і не є шахрайськими подіями. Доступність відноситься до інформації та систем, які мають бути доступні на запит у будь-який час. Найбільш поширеними загрозами є відмова в обслуговуванні та втрата можливостей обробки даних. Відмова в обслуговуванні стосується дій користувача або зловмисника, які блокують обчислювальні служби. Навпаки, втрата можливостей обробки даних відноситься до руйнування обчислювального обладнання або програмних ресурсів або фізично (через стихійні лиха або дії людини), або через недоступність програмного забезпечення (через зловмисний доступ до системи або помилки оператора).
Незважаючи на те, що компанія впроваджуватиме засоби контролю для забезпечення фізичного, технічного та адміністративного середовища, не слід забувати про важливість балансу між конфіденційністю, цілісністю та доступністю. Золотої середини важко досягти, і вона здається ахіллесовою п’ятою зовнішніх атак. Наприклад, для забезпечення високої доступності конфіденційність може бути під загрозою. З іншого боку, якщо компанія забезпечує конфіденційність, доступність може стати надто складною.
Залежність компаній від підключення до Інтернету зростає дедалі більше. Навпаки, одночасно компанії працюють в умовах дуже складного та розвиненого середовища загроз безпеці, яке піддає їх інформаційну інфраструктуру цілому спектру загроз безпеці. Це призводить до появи безпрецедентних проблем і, нарешті, змушує компанії створювати безпечнішу інфраструктуру інформаційних технологій (ІТ). Кібератаки на компанію можуть завдати серйозної шкоди репутації та інвестиціям постраждалої компанії. Незважаючи на те, що кількість атак зростає, економічні наслідки інцидентів безпеки є менш очевидними. Тим не менш, безсумнівно, що одиничне порушення безпеки може призвести до непоправних збитків для фірми щодо корпоративної відповідальності, втрати довіри та зниження доходів.
Хоч інциденти безпеки і стосуються всіх учасників, водночас, перефразовуючи, співробітники не усвідомлюють важливість конфіденційності даних компанії та не вживають дій, необхідних для того, щоб гарантувати відсутність порушень. Хоча корпорації, організації та компанії визнають важливість аналізу, оцінки та ефективного зниження ризиків, обов’язки та плани боротьби з загрозами інформаційної безпеки, як правило, не встановлені всебічно. Впровадження інформаційної системи інформаційної безпеки, такої як ISO 27001, є ефективним та життєво важливим способом протистояти цим загрозам та безпечно та надійно обробляти дані.
Згідно Веласко та співавт. (2018), Діш та ін. (2020), Хсу та ін. (2016) та Shojaie et al. (2016), переваги ISO 27001 полягають у наступному: ISO 27001 може надати велику кількість значних переваг для компанії або організації. Впроваджуючи ISO 27001, компанії послідовно захищають та керують своїми конфіденційними даними, встановлюючи прозорий процес обробки для доступу до інформації, контролю та обробки. Для цього процес обробки даних повинен бути однозначним та постійно керованим. Крім того, ISO 27001 підвищує репутацію компанії. Оскільки клієнти охочіше довіряють свої дані компанії, сертифікованій за стандартом ISO 27001, це також інтерпретується як збільшення прибутку та частки ринку. Таким чином, компанія стає більш впевненою та конкурентоспроможною, щоб рости та залучати більше клієнтів. Ще один фактор, про який варто згадати, — це відповідність міжнародним нормам, таким як Загальний регламент захисту даних (GDPR), та дотримання вимог законодавства. Юридичні санкції за витік конфіденційної інформації можуть призвести до тривалих судових розглядів та величезних фінансових втрат. Компанія сертифікована за стандартом ISO 27001 може уникнути всіх несприятливих наслідків витоку даних. На основі положень ISO 27001 має бути створена розвинена система реагування на інциденти інформаційної безпеки. Це означає, що існує система, яка повідомлятиме про будь-які загрози інформаційній безпеці та усувати їх якомога раніше. Кібератаки можуть відбуватися щодня і дуже важливо виявляти їх на ранній стадії. Наприклад, у разі витоку даних магазинів Target компанії знадобилося більше тижня, щоб знайти атаку. Якби атака була виявлена раніше, обсяг витоків даних був би меншим, що торкнулося б менше клієнтів. Система реагування на інциденти ІБ могла б допомогти виявити та припинити атаку на більш ранній стадії. Крім того, компанія, сертифікована за стандартом ISO, регулярно аналізуватиме основні причини подібних атак або інцидентів за допомогою тестів, які виявлять будь-які недоліки системи до того, як відбудеться фактична атака. Виявлення вразливостей до того, як відбудеться фактична атака, дає компанії цінний час для підготовки до сценарію витоку даних. Нарешті компанія, сертифікована за стандартом ISO 27001, повинна мати встановлений план аварійного відновлення. Це буде активовано у разі надзвичайної ситуації, тобто, коли атака вже відбулася. Дуже важливо мати план відновлення після атаки. Якщо компанії вдасться якнайшвидше приступити до своїх звичайних функцій, втрати від атаки будуть незначними. Щодня, коли компанія не працює, вона втрачає значні кошти.
2.2. ISO 27000: 27001, 27002
ISO/IEC 27001:2013 є стандартом, що визначає умови для створення, застосування, підтримки та постійного розвитку СУІБ у рамках компанії. Він також включає попередні умови для оцінки та усунення загроз інформаційній безпеці, розроблені для задоволення потреб організації. Умови, викладені в ISO/IEC 27001:2013, не є конкретними та повинні застосовуватися до всіх організацій незалежно від їх типу, розміру або характеру. Це шанований та визнаний у всьому світі стандарт безпеки.
Стандарти ISO 27000 містять рекомендації щодо сумлінної практики для повного ЗМІБ. ISO 27000 надає зведення та термінологію, тоді як ISO 27002 надає загальний посібник з дій та засобів контролю інформаційної безпеки, розширюючи правила практики для ЗМІБ. На початку 2007 р. стандарт ISO 17799 був перейменований на ISO 27002, який містить рекомендації рівня управління із забезпечення безпеки ІТ. При впровадженні ЗМІБ ISO 27002 є орієнтиром вибору загальновизнаних засобів контролю, орієнтованих на конкретні умови ризику інформаційної безпеки компанії чи організації.
Щоб пройти сертифікацію за ISO 27001, компанія повинна впровадити всі засоби управління безпекою, як вони згадані в ISO 27002. Повноваження в ISO 27002 названі так само, як у Додатку A до ISO 27001 – наприклад, для ISO 27002 контроль 6.1.2 називається «Розділ обов’язків», а для ISO 27001 – «A.6.1.2 Поділ обов’язків». Відмінності виявляються у рівні деталізації. Поділ обов’язків належить до загальних рекомендацій у тому, як слід розрізняти обов’язки співробітників задля досягнення більшої відповідальності. Зокрема, ISO 27002 пояснює засоби контролю, які мають бути реалізовані в організації (наприклад, чітке розмежування обов’язків за допомогою чітких посадових інструкцій працівників), надаючи компаніям необхідні інструменти для більш ефективного застосування ISO 27001 за допомогою загальноприйнятих коштів.
Без подробиць, наведених у ISO 27002, засоби управління, викладені в Додатку А ISO 27001, не можуть бути виконані. Тим не менш, без структури управління з ISO 27001, ISO 27002 залишиться віддаленою роботою кількох експертів з інформаційної безпеки без визнання з боку ради директорів і без фактичного впливу на організацію. Ці два стандарти існують окремо, тому що, якби вони існували як єдиний стандарт, він був би надто складним та широким для практичного застосування.
2.3. ISO 27001: Оцінка ризиків
За даними Чавушоглу та співавт. (2015), у рамках інформаційної безпеки добре структурований інвестиційний намір безпеки пропонує топ-менеджерам набір умов для раціоналізації корпоративного фінансування інформаційної безпеки. Організації можуть враховувати як економічні, так і неекономічні наслідки інвестиційних рішень. Фінансові вимоги, такі як окупність інвестицій (ROI), дозволяють оцінити економічну доцільність контролю щодо вартості майна, яке має бути захищене за рахунок контролю, та вартості інвестицій. Неекономічні умови полягають у співпраці з клієнтами та підкреслюють організаційну та операційну життєздатність. У літературі з організаційної та управлінської діяльності також передбачається, що чітко окреслена стратегічна інвестиційна мета є важливим компонентом процесів розвитку, що призводить до організаційного прийняття та змін.
Ризик — це ключове слово та відповідь на викладені вище питання, а управління ризиками визначає розстановку пріоритетів. Як зазначено в ISO 27000:2013, ЗМІБ підтримує конфіденційність, цілісність та доступність інформації, використовуючи процес управління ризиками, який дає зацікавленим сторонам впевненість у тому, що ризики ефективно обробляються. Оцінка ризику – це інструмент аналізу та інтерпретації ризику. Це відноситься до розпізнавання та оцінки сприйнятливості організації. Це вимагає визначення обсягу та процедури оцінки, збору та аналізу даних, а також вивчення звітів щодо оцінки ризиків. Група впровадження має збирати та аналізувати дані про ризики. Для цього необхідно визначити всі активи, ризики, уразливості, заходи безпеки та їх важливість, залишок та ймовірність успішних атак.
Оцінка ризику не повинна обмежуватися лише існуючими проблемами, але також і майбутніми, беручи до уваги нові системи та винаходи, які вже існують і які ще з’являться. Здійснення оцінки ризиків також призводить до поглибленого знання організації та її діяльності. Група оцінки ризиків намагається зрозуміти, як взаємодіють системи та процедури, що дозволяє компанії виявити прогалини у своїх процесах. Однак тут слід зазначити, що люди, які керуватимуть процесом оцінки ризиків, повинні мати чітке, розширене уявлення та великі знання про всю компанію.
Управління ризиками є наступним кроком і є вибір і використання відповідних засобів контролю зниження ризику рівня, прийнятного в організацію. Як і в інших аспектах ISO 27001, немає жодного підсилювача або обов’язкового шаблону, який слід дотримуватися, коли справа доходить до оцінки ризиків. Група інформаційної безпеки може виконати оцінку ризиків, яка має сенс структури організації.
Оцінка ризику, як описано в ISO 27001 у пункті 6.1.2, встановлює та підтримує критерії ризику інформаційної безпеки; дає послідовні, точні та відносні результати; ідентифікує ризики разом із власниками ризиків; та аналізує та оцінює ці ризики. У ході оцінки ризику можуть бути реалізовані такі дії: ідентифікація активів, схильних до ризику, та визначення статусу важливості за величиною, чутливістю та критичності; виявлення потенційних загроз; маркування того, наскільки можливим є загроза для конкретного активу; визначення впливу, який зазвичай включає очікувані збитки, збитки та вартість відновлення; зниження ризику з допомогою запровадження управління ризиками у структуру активу; та обмеження засобів контролю, прийнятих компанією щодо бюджету.
2.4. ISO 31000: Керування ризиками
Стандарт управління ризиками ISO 31000 – це один із стандартів управління ризиками, який є серією міжнародних стандартів для застосування посібників з управління ризиками, випущених Міжнародною організацією зі стандартизації. Як і у випадку з більшістю інших стандартів управління ISO, ISO 31000 встановлює структуровану структуру, призначену для задоволення потреб компаній будь-якого розміру та типу. Крім того, було запропоновано використовувати стандарт ISO 31000:2018 як підходящу основу для роботи з невизначеністю при оцінці ризиків у виробничій діяльності. Система управління ризиками ISO 31000:2018 була представлена як життєздатна основа для ретельного вивчення управління ризиками. Хоча стандарт переважно використовується учасниками галузі, він є адаптованим і не залежить від галузі або сектора. Визначення ризику ISO 31000:2018 відрізняється від інших визначень ризику, що використовуються в традиційних оцінках ризику, тим, що ризик визначається не тільки з точки зору ймовірності поганих чи небажаних результатів; швидше акцент робиться на управлінні ризиками.
Управління ризиками ISO 31000:2018 є повторюваним процесом, який включає наступні етапи:
(1) визначення галузі застосування, контексту та критеріїв;
(2) оцінка ризику (включаючи ідентифікацію ризику, аналіз ризику та оцінку ризику);
(3) обробка ризиків; (4) збір даних та звітність;
(5) моніторинг та огляд; і
(6) спілкування та консультації.
ISO 31000 встановлює різницю між структурою управління ризиками та двома іншими компонентами системи управління ризиками організації, а саме, принципами управління ризиками та процесом управління ризиками. Архітектура управління ризиками складається з трьох компонентів. Структура управління ризиками являє собою набір компонентів, які є основою та організаційними структурами для розробки, впровадження, моніторингу, перевірки та постійного поліпшення управління ризиками в компанії. Деякі системи управління ризиками, наприклад, ISO 31000 також називають стандартами управління ризиками. Організації часто використовують ці дві назви взаємозаміно. Управління ризиками – це процес, який фокусується на управлінні ризиками, а саме на обміні інформацією, консультуванні, встановленні контексту, а також виявленні, аналізі, обробці. ISO 31000 встановлює основні принципи, структуру та методи. Він призначений не для нав’язування однаковості систем управління ризиками, а для визначення процесу управління ризиками в будь-якому конкретному бізнесі, включаючи безпеку. Він надає організаціям стандарти управління ризиками, які можна використовувати для створення та досягнення своїх цілей, незалежно від їх розміру чи типу бізнесу. Ідеї, рамки та процеси застосовні як до державних, так і до приватних організацій, а також до всіх типів груп, асоціацій та підприємств. Він встановлює єдиний підхід до управління ризиками, який є ні галузевим, ні міжгалузевим. Будь-якою формою ризику можна керувати за допомогою підходу до управління ризиками. Він застосовується протягом усього життя організації та до будь-якої діяльності, включаючи прийняття рішень на всіх рівнях. Зниження ризиків, прогнозування ризиків та управління ризиками — це компоненти управління організацією, в бізнес-план якої інтегровано управління ризиками. В результаті підприємства часто звертаються до ISO 31000 за допомогою у вирішенні цього завдання. ISO 31000 можна використовувати для прийняття стратегічних рішень на організаційному рівні, а також для управління процесами, операціями, проектами, програмами, товарами, послугами та активами.
3. Опис тематичного дослідження
3.1. Практичний приклад: впровадження ISO 27001 у ІТ-компанії
З міркувань безпеки назва компанії прихована. Щоб текст був коротким, компанії надано назву «Венера». Венера автоматизує та оптимізує бізнес-процеси, керовані даними, за допомогою програмного забезпечення та послуг. Консультаційні практики Венери добре відомі у всьому світі, і вони є світовим лідером на відомій платформі.
Фахівці Венери мають глибокі галузеві знання в різних установах і вертикалях. Компанія розуміє складність впровадження нових систем у бізнес та ретельно співпрацює з бізнес-фахівцями та ІТ-фахівцями своїх клієнтів, щоб допомогти їм розпізнати перспективи та цілі. Потім Венера співпрацює з ними, щоб надавати послуги всього життєвого циклу проекту, ефективно координуючи всі аспекти проекту, від реінжинірингу процесів до проектування, розробки та оптимізації системи. Венера може оцінити потреби організації в управлінні змінами та запропонувати найбільш ефективне навчання, щоб забезпечити повне прийняття нових процедур та технологій. Зрештою, компанія переходить до цілеспрямованої довгострокової підтримки виробництва.
Венера поєднує в собі ноу-хау з надійною наукою та вирішенням проблем, щоб надати ефективні програмні рішення для комп’ютеризації та покращення бізнес-процесів у строк та в рамках бюджету. Фахівці з технологій у компанії мають кілька кваліфікацій у галузі науки та техніки. Центр рішень Венери сертифікований як дослідницька організація Європейського Союзу та виграв кілька дослідницьких програм Європейського Союзу. Вчені та інженери компанії розробили кілька вдосконалених інструментів для вирішення точних та повсякденних проблем компанії. Дуже важливо, що Венера випробувала ці рішення на величезних обсягах точних даних від деяких найбільших світових компаній та отримала суттєвий та вимірний комерційний прибуток.
Венера – це компанія, яка базується на проектах. До кожного проекту кожного клієнта прикріплюються технологічні консультанти компанії. Команди динамічні; люди переводяться в команду або йдуть з неї залежно від фази та робочого навантаження проекту. Команда може складатися із 4–30 осіб. Для кожного клієнта створюється окрема інфраструктура. Ця інфраструктура складається з централізованого репозиторію коду. Цей архів файлів коду дозволяє проектам із декількома розробниками працювати з різними версіями; централізована бібліотека документів, спеціальний каталог інструменту управління проектами; спеціальні списки розсилки; спеціальні контейнери для розробки та тестування; трекер проблем проекту; та окремий вхід до інструменту керування часом. Описані вище інструменти та інфраструктура надають команді відповідну структуру для створення, управління та доставки проекту, бази для спільної роботи, показників та аналітики для забезпечення якості.
3.2. Статус компанії до впровадження ISO
Політика Венери гарантує, що інформація, яку вона обробляє як в електронному, так і друкованому вигляді, адекватно захищена від наслідків порушення конфіденційності, порушення цілісності або порушення доступу до цієї інформації. У компанії вже було багато процесів. Проте більшість із них не реєструвалися регулярно або взагалі не записувалися. Іншими словами, багато загроз не було ідентифіковано і, отже, не враховувалося. Проводилися щорічні та підготовчі тренінги з інформаційної безпеки, щоб співробітники були обізнані про сприйняту політику компанії щодо інформаційної безпеки. Групу інформаційної безпеки вже було створено. Члени пройшли навчання і всі співробітники могли вирішувати будь-які проблеми, пов’язані з інформаційною безпекою. У світлі вищевикладеного, компанія вже мала деякі встановлені процеси, які спростили б дотримання ISO 27001. Однак багато загроз і вразливості не було виявлено. Швидке зростання компанії показало, що стандартизована модель інформаційної безпеки може зробити деякі аспекти бізнесу більш функціональними. Більше того, стало ясно, що швидке зростання зробить компанію мішенню для кіберзагроз. Це стало метою для компанії приступити до більш детальної та розширеної політики інформаційної безпеки. Традиційний спосіб забезпечення інформаційної безпеки не був стійким у компанії, що швидко зростає. Ризики, пов’язані з людським фактором, множилися зі зростанням штату співробітників компанії. Нарешті, компанія продовжувала отримувати те саме питання від численних клієнтів: «Чому ми повинні довіряти нашу інформацію з вами?». З роками все важче повертатися до клієнтів з добре документованими доказами. Більше того, клієнти стали менш терпимими до невизначеності інформаційної безпеки.