Составляющие финансового планирования на информационную безопасность
Ежегодно российские компании увеличивают расходы на организацию информационной безопасности – формируют новые подразделения, используют последние технологии. Параллельно растет и число инцидентов, причём во всём мире. Более того, они не просто становятся массовыми, но и наносят всё больший ущерб. Как защитить данные, распланировать затраты на организацию информационной безопасности и рассчитать расходы?
Картина информационной безопасности
По разным данным не более 15% всех компаний в России, которые уже организовали информационную безопасность, способны отразить кибератаку. ИБ остальных компаний недостаточно, в основном они не могут противостоять серьёзным угрозам.
Киберпреступления, прежде всего – финансовые расходы, в том числе упущенная прибыль, а также испорченная репутация. Например, исследование IBM показало, что только за прошлый 2020 год потеря данных обернулась ущербом в почти 4 млн долларов из расчёта на один инцидент. Если гиганты рынка могут справиться с таким ущербом, то средние и мелкие компании часто разоряются после серьёзных кибератак или потери данных.
Организация кибербезопасности включает предложения разработчиков и интеграторов услуг продуктов или комплексных решений. Не всегда возможно сразу посчитать отдачу от покупки продукта.
Это практически не касается государственных компании – организация ИБ в них строго регламентирована, расходы на неё заложены в бюджет. Для частных же компаний траты на информационную безопасность могут варьироваться.
Какие существуют риски
Киберинциденты несут в себе следующие риски:
- финансовые – потеря денег или потенциальной прибыли;
- репутационные;
- информационные – потеря конфиденциальных данных;
- технические – нарушение работы оборудования или ПО.
Согласно недавно проведенному опросу, 25% российских компаний оценивают ущерб от остановки работы системы в день в сумму около 500 тыс. руб. Но есть и другие примеры – атаковавший датскую компанию Moller-Maersk вирус NotPetya стоил ей по меньшей мере 300 млн долларов – это недополученная выручка во время простоя зараженной системы.
Составляющие финансового планирования
Работа службы информационной безопасности включает:
- административно-организационные аспекты;
- технические мероприятия;
- действия по устранению форс-мажоров или влиянию негативных факторов на систему.
Соответственно, расходы на ИБ можно разделить на три категории:
- организационные мероприятия для предупреждения атак;
- технические мероприятия для предупреждения атак;
- ликвидация атак.
Рассчитать годовые затраты на организацию ИБ можно по формуле ЗИБ = Зо + Зт + Зл, где:
- ЗИЗ – затраты на безопасность в сумме за год;
- Зо – расходы на административно-организационные действия;
- Зт – затраты на мероприятия технического плана;
- Зл – затраты на устранение последствий.
По сути, бюджет состоит из расходов на привлекаемые ресурсы и оплату труда специалистов по кибербезопасности. Распределение этих частей в общих расходах варьируется в зависимости от отрасли, направления деятельности и масштаба компании.
Например, если компания мало использует информационные технологии, то и расходы на ИБ будут меньше, чем в компаниях, например, сферы IT.
Какие компоненты защиты использовать
Чтобы правильно рассчитать расходы на ИБ, нужно провести такие мероприятия:
- выполнить IT-аудит;
- составить список уязвимостей;
- оценить все виды потерь, которые компания потенциально не получит из-за кибератак;
- составить перечень задач, которые будет решать информационная безопасность;
- подобрать инструменты для улучшения ИБ и рассчитать их цену.
Во многих организациях уже есть те или иные компоненты ИБ:
- средства для резервирования данных;
- межсетевое экранирование;
- IPS/IDS;
- демилитаризованные зоны и др.
Но для современных кибермошенников классические варианты защиты перестали быть преградой. Если была запланирована целевая атака на компанию, этих компонентов недостаточно.
Информационная безопасность должна включать такие основные компоненты:
- базовые средства для защиты от кибератак;
- тестирование и аудиты;
- выявление небезопасных ресурсов;
- организация SIEM;
- применение WAF;
- оперативное реагирование на киберинциденты и их расследование;
- обучение сотрудников компании вопросам информационной безопасности.
Это тот минимум, который позволит защитить данные. Все мероприятия должны быть регулярными, минимум один раз в год важно проводить аудит или тестирование.
С развитием технологий для компаний повышается не только прибыль, но и риски. Ими можно управлять, если кобеспечить комплексный подход против киберугроз. ИТ аутсорсинговая компания Битрейд поможет вам сэкономить деньги. Наши специалисты проведут аудит безопасности данных и обеспечат информационную безопасность в IT-инфраструктуре компаний и предприятий. Мы создадим антивирусную защиту почты, интернет-трафика, рабочих мест, серверов, организуем управление учетными записями пользователей, ограничим несанкционированный доступ в сеть и устраним все уязвимости. Заключаем с клиентом соглашение SLA и несем полную ответственность за результат.