И по сути травмат - это костыль к нормальной системе безопасности

Если все же случится инцидент, ИБ говорит " а я вас предупреждал"
И как показать ценность в этом случае?

Минимальная мера по защите своей задницы - вовремя поданный рапорт

Я сталкивался с таким, а потом говорили, что ты был не достаточно настойчив или убедителен ...

Что у Вас подразумевается под корпорацией? Количество сотрудников и филиалов?

Говорить фразы а ля «мы же говорили» - контрпродуктивно и попытка доказать начальству его же некомпетентность

А вот пойти поговорить на тему факап случился, мы прибрались быстро как могли, давайте обсудим как сделать так чтоб это не повторялось - вполне конструктивный диалог

Достаточно большие что бы быть акционерными обществами

это называется управление рисками

акционерным обществом может быть любая шарашкина контора

Можно сколько удобно отходить от сути к терминологии и величественно рассуждать на тему как просторы вселенной бороздят угрозы

Правда это не меняет того что торговля страхом - унылое говно приводящее среднего цисо либо к виду сказочника в глазах руководства либо к «все ради комплаенса», что тоже не улучшает состояние безопасности в целом

А создание ценности своей деятельности неплохо позволяет коммуницировать с бизнесом

Коллекторское агентство с региональными КЦ которому нужен один-два ИБшника это тоже огромная компания, ну да ну да

Ох уж эти любители человеческих объемов

Что Вы понимаете под созданием ценности интересно?

Человеческие объемы, разнесенные по городам и регионам вносят некую специфику в построение информационной безопасности

сфера деятельности организации вносит специфику в построение информационной безопасности

для шарашкиной конторы оказывается "говно", для крупной организации оказывается действенным подходом. А уход от сути к терминологии является единственным решением для охвата всей организации. Стандартизацию не просто так придумали

Толку не будет если расскажу, до этого надо дойти самостоятельно путём анализа того как работает бизнес в котором вы работаете, понимания его процессов и того что является итоговой ценностью в сознании руководства и сотрудников компании в целом

Не, пугалки в духе "нас взломают если не дадите денег" это отстой для любой организации, хотя бы потому что взломать можно хоть кого при необходимости и деньги не помогут. Процесс управления инцидентами предполагает что инциденты случаются как факт

Сфера да и то только разнясь от подхода и комплаенса, географическая разделённость - только если она страновая

Можно внедрить стандартизированный исо по качеству и убить организацию заблокав часть процессов

Стандартизация это хорошо, пойдём к ней, ну да, ну да.

В целом смеюсь в голос, ох уж эти большие организации типа наших больших банков которые «денег на ИБ не выделяют»

То то текут только в путь, настоящий и отличный уровень управления рисками и инцидентами

Звучит как логика разраба «А у меня на стенде работает»