В рассмотрении информационной безопасности один из аспектов как правило обходиться стороной. Это психологическая составляющая информационной безопасности. Больше внимания уделяется технической и процессной составляющей, а человеческое рассматривается в формате "внутреннего" или "внешнего" нарушителя. Вместе с тем, практика деятельности в сфере информационной безопасности свидетельствует, что именно психология руководителя ИБ/ психология специалиста ИБ лежит в основе принятия решения - принятых мер достаточно. Почему так? К огромному сожалению, несмотря на обилие литературы и диссертаций, не существует объективной и беспристрастной методики оценки эффективности информационной безопасности. Все что предлагается строится на субъективной оценке достаточности мер блокирования угроз/предотвращения возможных атак. При этом, экономика процесса также довольно субъективна. Она базируется на двух тезисах: во-первых, безопасность дешевой не бывает; во-вторых, безопасность стоит не менее 2/3 стоимости защищаемого объекта.
Построение математически выверенной методики оценки эффективности информационной безопасности затруднено всего лишь одним фактором - невозможностью предусмотреть со 100% вероятностью какие, когда и как будут реализовываться угрозы/атаки/действия. Поэтому, в мерах информационной защиты вольно или невольно приходится перезакладываться. Это факт, но его нельзя опять же оценить, поскольку прогноз негатива всегда достаточно субъективен.
Наличие такого набора субъективного в информационной безопасности требует выстраивания баланса между необходимостью и достаточностью мер информационной безопасности. Как дать специалистам ИБ инструментарий оценки, как психологию принятия решения наполнить объективностью? По существу, путь только один - детальное моделирование процессов, сценариев и т.д. Но не абстрактное моделирование, а реализация полнофункциональных вычислительных моделей с использованием искусственного интеллекта для совершенствования модели.