– качество работы коллектива, обеспечивающего бизнес;
– скорость реакции коллектива на внешние факторы, влияющие на бизнес, или на управляющие воздействия;
– стратегия и качество ведения самого бизнеса;
– выбранная стратегия управления рисками, в том числе экономическими рисками и рисками информационной безопасности.
Следует также отметить, что бизнес ведется, как правило, во враждебной среде, в условиях конкурентной борьбы, неблагоприятного законодательства, риска рейдерства, часто нескоординированной деятельности различных надзорных органов. Особое место в этом списке занимает криминал, стремящийся отнять или поставить под контроль прибыль от вложения активов. Наиболее в острой форме это появляется в банковском бизнесе, поскольку банки работают с самой сублимированной формой активов – деньгами, а атака на них наиболее результативна, потому что приносит быстрые и ощутимые результаты.
Поэтому все большее значение приобретает прогноз, то есть моделирование возможных рисковых ситуаций и разработка превентивных защитных мер, позволяющих избежать (отразить, уклониться) последствий от атак на бизнес или на среду, обеспечивающую использование активов, составляющих основной элемент бизнеса.
Также следует отметить, что среди всего набора угроз и рисков существует определенная иерархия, по силе воздействия и уровню катастрофичности для бизнеса угрозы серьезно различаются. Так, политические риски или риски несоответствия законодательству являются для бизнеса определяющими, так как способны вне зависимости, насколько качественно осуществляется работа по минимизации рисков информационной безопасности физически уничтожить бизнес (лишение лицензии, налоговые штрафы и т. д.). К сожалению, следует говорить и о рисках, возникавших и при взаимодействии с правоохранительными органами, например, когда в ходе расследования изымались оригиналы документов или сервера с базами данных, что неминуемо ведет к катастрофическим последствиям для организации.
С другой стороны, при абсолютно благоприятном внешнем политическом, законодательном и экономическом фоне, реализация рисков информационной безопасности может нанести субъекту бизнеса ущерб такого размера, от которого оправиться крайне сложно.
Таким образом, существует ряд рисков, включая риски информационной безопасности, ущерб от которых может быть неприемлем для субъекта бизнеса. В то же время некоторые общие риски политического, экономического и правового характера обладают «кумулятивным» эффектом и способны нанести системный ущерб, затрагивающий практически все сферы деятельности организации.