Do niedawna osoby odpowiedzialne za zarządzanie bezpieczeństwem IT przyjmowały, że jest ono możliwe tylko i wyłącznie w przypadku, gdy ma się pełną kontrolę nad serwerami, nośnikami danych, aplikacjami, łączami, czyli wszystkim, co wiąże się z systemami informatycznymi przedsiębiorstwa. Takie podejście skutkowało modelowaniem wszelkich mechanizmów bezpieczeństwa i ochrony z założeniem pełnej kontroli i własności wykorzystywanych zasobów.
Tymczasem dynamiczny rozwój internetu oraz rozwiązań informatycznych powoduje, że klasyczny paradygmat bezpieczeństwa „zarządzam, jeżeli kontroluję” zupełnie traci rację bytu. Przedsiębiorstwa nie są w stanie w pełni kontrolować swoich aplikacji i danych umieszczonych w chmurze czy w sieciach społecznościowych, co w praktyce oznacza, że nie są w stanie zarządzać ich bezpieczeństwem według klasycznej definicji. Dlatego też menedżerowie powinni zmienić swoje postrzeganie zagadnień bezpieczeństwa w systemach informatycznych.
Klasyczne podejście do bezpieczeństwa IT
Dotychczas w praktyce przedsiębiorstw występowały trzy standardowe elementy zarządcze dotyczące zabezpieczeń IT. Pierwszym z filarów jest zarządzanie ryzykiem, a w szczególności strategia postępowania z nim (risk handling), realizowana na cztery możliwe sposoby:
zabezpieczenie zasobów, czyli standardowe myślenie o bezpieczeństwie;
unikanie zagrożeń, czyli niedopuszczanie do powstania ryzyka;
akceptacja ryzyka, czyli świadome pozostawienie bez działań zapobiegawczych czynnika powodującego zagrożenie;
transfer ryzyka, czyli „ubezpieczanie się” od zagrożeń lub przeniesienie ryzyka na stronę trzecią.