Кто заинтересован в информационной безопасности?
Очевидно, что они заинтересованы в возмездной оценке уровня безопасности организации и его повышении.
И чем выше этот уровень необходимо поднять, тем больше данные компании выигрывают (зарабатывают).Вышестоящие и государственные регуляторы в области ИБ обычно занимаются разработкой требований, распоряжений, стандартов и т.п.
в области ИБ, а также контролем за их исполнением.
При этом государственные регуляторы предъявляют особые требования к государственным организациям, а также контролируют компании IT-предложения в области ИБ.
Регуляторы заинтересованы в повышении общего уровня безопасности за счет предъявления требований к нижестоящим организациям.
Теоретически, выполнение требований регуляторов по определению должно приводить к повышению уровня безопасности в организации, но на практике такой уровень безопасности часто является "виртуальным".
Так как цель повышения уровня безопасности подменяется целью соответствия нормативам регуляторов.
Например, регуляторы обязывают государственные организации использовать сертифицированные средства защиты.
Но необходимо понимать, что сертифицированные, не есть лучшие или более эффективные.Для организаций-конкурентов повышение уровня безопасности означает уменьшение количества, либо пропускной способности разведывательных каналов информации, уменьшение ценности добытой информации.
Для получения конкурентных преимуществ им потребуется больший объем ресурсов.Всем остальным повышенный уровень безопасности создает дополнительные препятствия для его нарушения или требует дополнительных затрат для его поддержки.Таким образом, повышение уровня безопасности привносит избыточность в работу заинтересованных лиц, тормозит их работу, заставляет нести дополнительные расходы и т.д., вследствие чего у всех них (кроме регуляторов и IT-предложения в сфере ИБ) складывается отношение сопротивления к повышению уровня безопасности, что создает значительные трудности в работе подразделений безопасности организации.