Составляющие финансового планирования на информационную безопасность

Ежегодно российские компании увеличивают расходы на организацию информационной безопасности – формируют новые подразделения, используют последние технологии. Параллельно растет и число инцидентов, причём во всём мире. Более того, они не просто становятся массовыми, но и наносят всё больший ущерб. Как защитить данные, распланировать затраты на организацию информационной безопасности и рассчитать расходы?

Картина информационной безопасности

По разным данным не более 15% всех компаний в России, которые уже организовали информационную безопасность, способны отразить кибератаку. ИБ остальных компаний недостаточно, в основном они не могут противостоять серьёзным угрозам.

Киберпреступления, прежде всего – финансовые расходы, в том числе упущенная прибыль, а также испорченная репутация. Например, исследование IBM показало, что только за прошлый 2020 год потеря данных обернулась ущербом в почти 4 млн долларов из расчёта на один инцидент. Если гиганты рынка могут справиться с таким ущербом, то средние и мелкие компании часто разоряются после серьёзных кибератак или потери данных.

Организация кибербезопасности включает предложения разработчиков и интеграторов услуг продуктов или комплексных решений. Не всегда возможно сразу посчитать отдачу от покупки продукта.

Это практически не касается государственных компании – организация ИБ в них строго регламентирована, расходы на неё заложены в бюджет.  Для частных же компаний траты на информационную безопасность могут варьироваться.

Какие существуют риски

Киберинциденты несут в себе следующие риски:

• финансовые – потеря денег или потенциальной прибыли;
• репутационные;
• информационные – потеря конфиденциальных данных;
• технические – нарушение работы оборудования или ПО.

Согласно недавно проведенному опросу, 25% российских компаний оценивают ущерб от остановки работы системы в день в сумму около 500 тыс. руб. Но есть и другие примеры – атаковавший датскую компанию Moller-Maersk вирус NotPetya  стоил ей по меньшей мере 300 млн долларов – это недополученная выручка во время простоя зараженной системы.

Составляющие финансового планирования

Работа службы информационной безопасности включает:

• административно-организационные аспекты;
• технические мероприятия;
• действия по устранению форс-мажоров или влиянию негативных факторов на систему.

Соответственно, расходы на ИБ можно разделить на три категории:

• организационные мероприятия для предупреждения атак;
• технические мероприятия для предупреждения атак;
• ликвидация атак.

Рассчитать годовые затраты на организацию ИБ можно по формуле ЗИБ = Зо + Зт + Зл, где:

• ЗИЗ – затраты на безопасность в сумме за год;
• Зо – расходы на административно-организационные действия;
• Зт – затраты на мероприятия технического плана;
• Зл – затраты на устранение последствий.

По сути, бюджет состоит из  расходов на привлекаемые ресурсы и оплату труда специалистов по кибербезопасности. Распределение этих частей в общих расходах варьируется в зависимости от отрасли, направления деятельности и масштаба компании.

Например, если компания мало использует информационные технологии, то и расходы на ИБ будут меньше, чем в компаниях, например, сферы IT.

Какие компоненты защиты использовать

Чтобы правильно рассчитать расходы на ИБ, нужно провести такие мероприятия:

• выполнить IT-аудит;
• составить список уязвимостей;
• оценить все виды потерь, которые компания потенциально не получит из-за кибератак;
• составить перечень задач, которые будет решать информационная безопасность;
• подобрать инструменты для улучшения ИБ и рассчитать их цену.

Во многих организациях уже есть те или иные компоненты ИБ:

• средства для резервирования данных;
• межсетевое экранирование;
• IPS/IDS;
• демилитаризованные зоны и др.

Но для современных кибермошенников классические варианты защиты перестали быть преградой. Если была запланирована целевая атака на компанию, этих компонентов недостаточно.

Информационная безопасность должна включать такие основные компоненты:

• базовые средства для защиты от кибератак;
• тестирование и аудиты;
• выявление небезопасных ресурсов;
• организация SIEM;
• применение WAF;
• оперативное реагирование на киберинциденты и их расследование;
• обучение сотрудников компании вопросам информационной безопасности.

Это тот минимум, который позволит защитить данные. Все мероприятия должны быть регулярными, минимум один раз в год важно проводить аудит или тестирование.

С развитием технологий для компаний повышается не только прибыль, но и риски. Ими можно управлять, если кобеспечить комплексный подход против киберугроз. ИТ аутсорсинговая компания Битрейд поможет вам сэкономить деньги. Наши специалисты проведут аудит безопасности данных и обеспечат информационную безопасность в IT-инфраструктуре компаний и предприятий. Мы создадим антивирусную защиту почты, интернет-трафика, рабочих мест, серверов, организуем управление учетными записями пользователей, ограничим несанкционированный доступ в сеть и устраним все уязвимости. Заключаем с клиентом соглашение SLA и несем полную ответственность за результат.