Разница между стратегиями «снизу вверх» и «сверху вниз» в информационной безопасности заключается в том, кто инициирует мероприятия по защите информации и как руководство смотрит на этот процесс. 12

Стратегия «снизу вверх» предполагает, что инициатива по всем мероприятиям по информационной безопасности (ИБ) исходит от рядовых специалистов или линейных руководителей. 2 Такой подход включает в себя написание служебных записок, доведение до руководства информации об инцидентах и прочее. 2

Стратегия «сверху вниз» предполагает вовлечённость топ-менеджмента и владельцев бизнеса в проблематику информационной безопасности. 2 Руководство смотрит на ИБ с позиции бизнеса, ведёт оценку рисков. 2 Подход позволяет получать требуемые ресурсы и принимать необходимые меры, так как комплексная защита информации на предприятии — инициатива руководства. 2

Некоторые преимущества стратегии «снизу вверх»: системный администраторы, работающие с информационными системами ежедневно, обладают глубокими знаниями, которые могут значительно способствовать разработке системы ИБ. 1

Некоторые преимущества стратегии «сверху вниз»: сильная поддержка высшего руководства, обычно выделяемое финансирование, чёткий процесс планирования и реализации, а также средства для влияния на организационную культуру. 1

Таким образом, стратегия «снизу вверх» может быть эффективна, когда руководство организации не до конца понимает необходимость мер по обеспечению ИБ, а стратегия «сверху вниз» считается более эффективной, поскольку руководство смотрит на ИБ с позиции бизнеса и тщательно оценивает все риски. 25