В настоящее время в российских банках происходит перераспределение бюджетов от IT- сферы в сферу информационной безопасности. У служб IT-безопасности появляется возможность привлекать профессиональные компании для консультирования в области построения защиты от угроз и снижения рисков. В рамках разработки и внедрения системы управления IT рисками, целесообразно поручить компании, ведущей такой проект, периодическое отслеживание уровня текущей безопасности и приведение его в соответствие с уровнем существующих угроз.
По нашему опыту, такое сотрудничество позволяет успешно завершить проект и сократить сроки его исполнения за счет более глубокого понимания исполнителем стоящих задач, своевременной корректировки стратегических планов, более тесного взаимодействия партнеров во время работы.
Что характерно, бюджет проекта при такой модели взаимодействия, не только не возрастает, а может даже сокращаться за счет более рационального распределения ресурсов и снижения рисков затягивания сроков проекта.
Дмитрий Слободенюк, коммерческий директор компании "Антивирусные решения"
Ниже можно ознакомится со статьей.
По результатам исследования наиболее значимых тенденций в области информационной безопасности, проведенного в 2008 году от имени международного консорциума сертифицированных специалистов (ISC)2 компанией Frost&Sullivan, даже в условиях снижения роста определенных секторов экономики, сфера информационной безопасности будет уверенно продолжать развитие. Данное развитие, по убеждению экспертов Frost & Sullivan, будет происходить в основном за счет следующих трех факторов:
Согласно данным CNews Analytics, по доле расходов на информационную безопасность банковский сектор делит первое место в России вместе с вертикальным рынком телекоммуникаций. По сведениям того же аналитического агентства, доля расходов на информационную безопасность во всех секторах российской экономики редко превышает 1,5% от всех ИТ-затрат. Исследование проведенное в 2008 году сообществом ABISS и компанией Perimetrix показало, что почти половина из 105 опрошенных российских банков тратит на информационную безопасность более 5% от бюджета ИТ
Казалось бы у банкиров все в порядке с финансированием, однако с каждым годом обосновывать новые затраты становится все сложнее. Процесс бюджетирования в любой крупной организации достаточно сложный и продолжается, как правило, длительное время, за которое бюджет затрат на информационную безопасность успевает сделать несколько итераций. Его рассматривают под разными углами и при каждой итерации "отрезают" немного от запрошенных денег. Руководители, наслушавшись "страшилок" во время процесса бюджетирования, выделяют деньги в основном для обеспечения соответствия нормативным требованиям регуляторов. Действительно, менеджмент не разбирается (да и не должен) в тонкостях используемых технологий.
Чтобы получить деньги на другие проекты, сотрудникам, занимающимся обеспечением информационной безопасности, приходится демонстрировать руководству пользу от своей деятельности, и что выделенные деньги были потрачены не зря. Поэтому "безопасники" учатся говорить на языке бизнеса, используют финансовые термины.
Однако описывать затраты на информационную безопасность как инвестиции значит злоупотреблять значением термина "инвестиции", как его принято понимать в финансовой сфере - разве возможна прибыль на инвестированный капитал, когда мы говорим о затратах на информационную безопасность?
Обосновывать затраты и защищать их перед руководством всегда затруднительно. Парадокс, но если информационная безопасность налажена и работает эффективно, это создает для менеджмента отрицательную обратную связь. Чем более эффективна безопасность, тем меньше инцидентов происходит. Уменьшение количества инцидентов и атак вызывает вопрос, чем это вызвано - уменьшением общего количества попыток, или тем, что принятые меры информационной безопасности достаточно хороши? Оба варианта приводят руководителей к одному и тому же выводу - зачем тратить дополнительные средства на информационную безопасность, если и так все хорошо? Выходит, что затраты на безопасность легко обосновать только после успешной атаки или серьезного инцидента. Хотя это сродни тому, чтобы ставить надежную дверь уже после того, как вас ограбили и вынесли из квартиры все ценности.
Последние несколько лет в сфере информационной безопасности наблюдается общая тенденция к отнесению затрат на безопасность в категорию инвестиций. В западной прессе даже придумали специальный термин - ROSI (Return on Security Investment), т.е. прибыль на инвестированный в информационную безопасность капитал. Данный термин был образован в качестве производной от термина из финансовой сферы ROI (Return on Investment), обозначающего отношение среднего увеличения прибыли к объёму инвестиций. Ключевым в данном определении является слово "прибыль". Говоря другими словами, ROI - это интегральный критерий, позволяющий оценить, сколько денег "производит" за год рубль, вложенный в компанию. Инвестиции порождают поток прибыли (если это не потеря денег), и конечно руководители очень хорошо понимают слово "прибыль".
Все же описывать затраты на информационную безопасность как инвестиции означает неправильно истолковать значение инвестиций, как их понимают в финансовом мире, там где "живут" руководители. Невозможно получить прибыль в ответ на затраты в сфере информационной безопасности, можно лишь сэкономить часть денег. В результате ROSI - искусственный, некорректный термин, использование данного подхода является попыткой обратиться к желанию руководителей извлечь прибыль из инвестиций. Затраты на информационную безопасность - это именно "затраты".
Противники последнего утверждения обычно приводят в качестве аргумента то, что "возврат" инвестиций происходит за счет предотвращения возможных потерь. У подобного подхода существует три фундаментальных проблемы:
Кроме того, были ли рассмотренные сценарии реалистичными? Были ли атаки действительно предотвращены мерами информационной безопасности или они просто не произошли, или сценарий был неправдоподобен? Без конкретных денежных расчетов вряд ли менеджмент с готовностью "купит" концепцию ROSI. А деньги, выделяемые на информационную безопасность - не создают новых денег.
Намного лучше относить затраты на информационную безопасность в другую финансовую категорию, куда они действительно подходят - "страховку". Компании обычно страхуют свои материальные и нематериальные ресурсы, машины, здания, мебель и т.д. Сейчас можно застраховать практически все, что угодно, даже возможный ущерб деловой репутации или потерю прибыли.
Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов (страховых премий) (ст. 2 закона РФ "Об организации страхового дела в Российской Федерации").
Это особая сфера перераспределительных отношений по поводу формирования и использования целевых фондов денежных средств для защиты имущественных интересов физических и юридических лиц и возмещения им материального ущерба при наступлении неблагоприятных явлений и событий, именуемых страховыми случаями. Говоря другими словами мы переносим свои риски на третью сторону в обмен на уплату страховой премии.
Как профессионалы в области информационной безопасности мы отвечаем за защиту ресурсов организации. И все, что мы делаем в этом отношении, по сути, очень хорошо подходит под определение страховки. Единственная разница, что по сравнению с "обычной" страховкой риск потерь не обязательно передается третьей стороне, внешней по отношению к организации.
Рассмотрим данный подход подробнее. Информационная безопасность, также как и страховка, начинается с управления рисками. Первый этап в управлении рисками - идентификация и оценка ресурсов, которые следует защищать (страховать) от возможных потерь. Без знания о том, что мы хотим защищать и каковы угрозы, мы не узнаем какие защитные меры предусмотреть, что купить и внедрить. А без оценки стоимости защищаемого ресурса мы не будем знать приемлемое количество средств (страховую премию) которые можно потратить.
Поскольку после идентификации и оценки ресурсов мы уже знаем, что нам необходимо защищать, кроме того, мы знаем стоимость данных ресурсов, будь это база данных или центр обработки данных целиком. Значит, мы можем использовать методологию управления рисками для того, чтобы определить приемлемое количество денег, которые необходимо потратить (а не инвестировать) для защиты данных ресурсов.
Рассмотрим на примерах: межсетевой экран - это страховка от нежелательного трафика; система предотвращения атак - страховка от потенциальных атак; антивирус - страховка от вирусов и вредоносного программного обеспечения; различные политики и процедуры - страховка от нежелательного поведения сотрудников; контроль доступа - страховка от нежелательных посетителей и т.д.
Ни одна из указанных защитных мер не создает "возврат" инвестиций и не генерирует новые деньги; напротив - только потребляет их. Также как "обычная" страховка автомобиля или квартиры. Тем не менее, для организаций подобная страховка в области информационной безопасности имеет определенную ценность, так как снижает риск возможных потерь.
Страховая премия, которую мы платим за эту страховку - это совокупная стоимость владения соответствующей технологией. Часть данной премии обычно платится сразу, оставшаяся часть относится к текущим расходам.
Возможное возражение, которое может быть высказано по отношению к приведенной "страховой" модели информационной безопасности: когда мы теряем застрахованный ресурс, страховая компания выплачивает нам денежное возмещение. Если же мы имеем дело с нарушением информационной безопасности, мы не получаем никакой компенсации. Однако в случае нарушения требований безопасности начнет работать группа по расследованию происшествия, которая в свою очередь является очередной мерой информационной безопасности. Если данная группа не сможет полностью прекратить нарушение безопасности, и мы продолжим нести потери, то можно будет применить "обычную" страховку как стандартную меру переноса рисков для покрытия убытков от потери ресурсов, прибыли и т.д. Полная цепочка защитных мер, начиная от физической и до технологической безопасности, фактически наша страховка от возможных потерь ресурсов компании.
Профессионалы в области информационной безопасности, работающие в больших организациях, могут счесть полезным привлечение профессиональных страховщиков к процессу управления рисками.
В заключение хотелось отметить, что профессионалам в области информационной безопасности, если они хотят добиться успеха, следует поработать над отчетностью руководству. Как правило, отчеты о работе слишком "техничны", неясны и слишком детальны, чтобы использоваться бизнесом. Если руководители не будут знать, каких успехов достигла информационная безопасность, они будут считать что никаких. В результате меры информационной безопасности будут постоянно недооцениваться, бюджеты урезаться, а штаты сокращаться. Поэтому, отчеты о работе подразделений информационной безопасности должны быть регулярными, правдивыми и подготовленными с точки зрения бизнеса. Менеджмент организаций очень хорошо понимает концепцию страховки, поэтому представление затрат на информационную безопасность в виде страховки - достаточно хороший подход.
источник:
Аналитический банковский журнал 07 (158) июль 2008
По нашему опыту, такое сотрудничество позволяет успешно завершить проект и сократить сроки его исполнения за счет более глубокого понимания исполнителем стоящих задач, своевременной корректировки стратегических планов, более тесного взаимодействия партнеров во время работы.
Что характерно, бюджет проекта при такой модели взаимодействия, не только не возрастает, а может даже сокращаться за счет более рационального распределения ресурсов и снижения рисков затягивания сроков проекта.
Дмитрий Слободенюк, коммерческий директор компании "Антивирусные решения"
Ниже можно ознакомится со статьей.
По результатам исследования наиболее значимых тенденций в области информационной безопасности, проведенного в 2008 году от имени международного консорциума сертифицированных специалистов (ISC)2 компанией Frost&Sullivan, даже в условиях снижения роста определенных секторов экономики, сфера информационной безопасности будет уверенно продолжать развитие. Данное развитие, по убеждению экспертов Frost & Sullivan, будет происходить в основном за счет следующих трех факторов:
- Доверие общественности - в отличие от ситуации в прошлые годы, большинство респондентов отнесли предотвращение ущерба репутации компании к наиболее приоритетным задачам. По мнению экспертов Frost & Sullivan, рост данной тенденции будет продолжаться не только в отношении ближайшего будущего, но и в стремлении компаний к соблюдению установленных норм. Организации осознают, что несанкционированный доступ к информации сегодня приводит к значительным финансовым потерям. В соответствии с результатами многочисленных оценок, ущерб от каждого факта несанкционированного доступа к информации составляет от 50 до 200 долларов США за каждый утерянный документ, при этом указанная сумма не включает затраты, которые трудно оценить, например, ущерб репутации.
- Соблюдение норм - соблюдение требований и норм является основной движущей силой развития данной сферы профессиональной деятельности. Устанавливаемые нормы все чаще возлагают ответственность за обеспечение их соблюдения непосредственно на плечи высшего исполнительного руководства. Это повышает важность информационной безопасности внутри организации, способствуя тем самым росту числа профессионалов в области.
- Окупаемость инвестиций (ROI) - одной из основных задач, с решением которой сталкиваются профессионалы, заключается в обеспечении окупаемости вкладываемых инвестиций. Штрафы за несоблюдение нормативных требований дают значительно более весомый аргумент для аргументации затрат, необходимых для обеспечения информационной безопасности.
Согласно данным CNews Analytics, по доле расходов на информационную безопасность банковский сектор делит первое место в России вместе с вертикальным рынком телекоммуникаций. По сведениям того же аналитического агентства, доля расходов на информационную безопасность во всех секторах российской экономики редко превышает 1,5% от всех ИТ-затрат. Исследование проведенное в 2008 году сообществом ABISS и компанией Perimetrix показало, что почти половина из 105 опрошенных российских банков тратит на информационную безопасность более 5% от бюджета ИТ
Казалось бы у банкиров все в порядке с финансированием, однако с каждым годом обосновывать новые затраты становится все сложнее. Процесс бюджетирования в любой крупной организации достаточно сложный и продолжается, как правило, длительное время, за которое бюджет затрат на информационную безопасность успевает сделать несколько итераций. Его рассматривают под разными углами и при каждой итерации "отрезают" немного от запрошенных денег. Руководители, наслушавшись "страшилок" во время процесса бюджетирования, выделяют деньги в основном для обеспечения соответствия нормативным требованиям регуляторов. Действительно, менеджмент не разбирается (да и не должен) в тонкостях используемых технологий.
Чтобы получить деньги на другие проекты, сотрудникам, занимающимся обеспечением информационной безопасности, приходится демонстрировать руководству пользу от своей деятельности, и что выделенные деньги были потрачены не зря. Поэтому "безопасники" учатся говорить на языке бизнеса, используют финансовые термины.
Однако описывать затраты на информационную безопасность как инвестиции значит злоупотреблять значением термина "инвестиции", как его принято понимать в финансовой сфере - разве возможна прибыль на инвестированный капитал, когда мы говорим о затратах на информационную безопасность?
Обосновывать затраты и защищать их перед руководством всегда затруднительно. Парадокс, но если информационная безопасность налажена и работает эффективно, это создает для менеджмента отрицательную обратную связь. Чем более эффективна безопасность, тем меньше инцидентов происходит. Уменьшение количества инцидентов и атак вызывает вопрос, чем это вызвано - уменьшением общего количества попыток, или тем, что принятые меры информационной безопасности достаточно хороши? Оба варианта приводят руководителей к одному и тому же выводу - зачем тратить дополнительные средства на информационную безопасность, если и так все хорошо? Выходит, что затраты на безопасность легко обосновать только после успешной атаки или серьезного инцидента. Хотя это сродни тому, чтобы ставить надежную дверь уже после того, как вас ограбили и вынесли из квартиры все ценности.
Последние несколько лет в сфере информационной безопасности наблюдается общая тенденция к отнесению затрат на безопасность в категорию инвестиций. В западной прессе даже придумали специальный термин - ROSI (Return on Security Investment), т.е. прибыль на инвестированный в информационную безопасность капитал. Данный термин был образован в качестве производной от термина из финансовой сферы ROI (Return on Investment), обозначающего отношение среднего увеличения прибыли к объёму инвестиций. Ключевым в данном определении является слово "прибыль". Говоря другими словами, ROI - это интегральный критерий, позволяющий оценить, сколько денег "производит" за год рубль, вложенный в компанию. Инвестиции порождают поток прибыли (если это не потеря денег), и конечно руководители очень хорошо понимают слово "прибыль".
Все же описывать затраты на информационную безопасность как инвестиции означает неправильно истолковать значение инвестиций, как их понимают в финансовом мире, там где "живут" руководители. Невозможно получить прибыль в ответ на затраты в сфере информационной безопасности, можно лишь сэкономить часть денег. В результате ROSI - искусственный, некорректный термин, использование данного подхода является попыткой обратиться к желанию руководителей извлечь прибыль из инвестиций. Затраты на информационную безопасность - это именно "затраты".
Противники последнего утверждения обычно приводят в качестве аргумента то, что "возврат" инвестиций происходит за счет предотвращения возможных потерь. У подобного подхода существует три фундаментальных проблемы:
- В сложном бизнес окружении невозможно с достаточной точностью описать последствия атак, которые не произошли или были предотвращены;
- Невозможно рассчитать финансовые потери, которые были предотвращены;
- Предотвращение потерь не равносильно созданию прибыли, т.е. не является "возвратом", если мы проведем аналогию с определением ROI.
Кроме того, были ли рассмотренные сценарии реалистичными? Были ли атаки действительно предотвращены мерами информационной безопасности или они просто не произошли, или сценарий был неправдоподобен? Без конкретных денежных расчетов вряд ли менеджмент с готовностью "купит" концепцию ROSI. А деньги, выделяемые на информационную безопасность - не создают новых денег.
Намного лучше относить затраты на информационную безопасность в другую финансовую категорию, куда они действительно подходят - "страховку". Компании обычно страхуют свои материальные и нематериальные ресурсы, машины, здания, мебель и т.д. Сейчас можно застраховать практически все, что угодно, даже возможный ущерб деловой репутации или потерю прибыли.
Страхование представляет собой отношения по защите имущественных интересов физических и юридических лиц при наступлении определенных событий (страховых случаев) за счет денежных фондов, формируемых из уплачиваемых ими страховых взносов (страховых премий) (ст. 2 закона РФ "Об организации страхового дела в Российской Федерации").
Это особая сфера перераспределительных отношений по поводу формирования и использования целевых фондов денежных средств для защиты имущественных интересов физических и юридических лиц и возмещения им материального ущерба при наступлении неблагоприятных явлений и событий, именуемых страховыми случаями. Говоря другими словами мы переносим свои риски на третью сторону в обмен на уплату страховой премии.
Как профессионалы в области информационной безопасности мы отвечаем за защиту ресурсов организации. И все, что мы делаем в этом отношении, по сути, очень хорошо подходит под определение страховки. Единственная разница, что по сравнению с "обычной" страховкой риск потерь не обязательно передается третьей стороне, внешней по отношению к организации.
Рассмотрим данный подход подробнее. Информационная безопасность, также как и страховка, начинается с управления рисками. Первый этап в управлении рисками - идентификация и оценка ресурсов, которые следует защищать (страховать) от возможных потерь. Без знания о том, что мы хотим защищать и каковы угрозы, мы не узнаем какие защитные меры предусмотреть, что купить и внедрить. А без оценки стоимости защищаемого ресурса мы не будем знать приемлемое количество средств (страховую премию) которые можно потратить.
Поскольку после идентификации и оценки ресурсов мы уже знаем, что нам необходимо защищать, кроме того, мы знаем стоимость данных ресурсов, будь это база данных или центр обработки данных целиком. Значит, мы можем использовать методологию управления рисками для того, чтобы определить приемлемое количество денег, которые необходимо потратить (а не инвестировать) для защиты данных ресурсов.
Рассмотрим на примерах: межсетевой экран - это страховка от нежелательного трафика; система предотвращения атак - страховка от потенциальных атак; антивирус - страховка от вирусов и вредоносного программного обеспечения; различные политики и процедуры - страховка от нежелательного поведения сотрудников; контроль доступа - страховка от нежелательных посетителей и т.д.
Ни одна из указанных защитных мер не создает "возврат" инвестиций и не генерирует новые деньги; напротив - только потребляет их. Также как "обычная" страховка автомобиля или квартиры. Тем не менее, для организаций подобная страховка в области информационной безопасности имеет определенную ценность, так как снижает риск возможных потерь.
Страховая премия, которую мы платим за эту страховку - это совокупная стоимость владения соответствующей технологией. Часть данной премии обычно платится сразу, оставшаяся часть относится к текущим расходам.
Возможное возражение, которое может быть высказано по отношению к приведенной "страховой" модели информационной безопасности: когда мы теряем застрахованный ресурс, страховая компания выплачивает нам денежное возмещение. Если же мы имеем дело с нарушением информационной безопасности, мы не получаем никакой компенсации. Однако в случае нарушения требований безопасности начнет работать группа по расследованию происшествия, которая в свою очередь является очередной мерой информационной безопасности. Если данная группа не сможет полностью прекратить нарушение безопасности, и мы продолжим нести потери, то можно будет применить "обычную" страховку как стандартную меру переноса рисков для покрытия убытков от потери ресурсов, прибыли и т.д. Полная цепочка защитных мер, начиная от физической и до технологической безопасности, фактически наша страховка от возможных потерь ресурсов компании.
Профессионалы в области информационной безопасности, работающие в больших организациях, могут счесть полезным привлечение профессиональных страховщиков к процессу управления рисками.
В заключение хотелось отметить, что профессионалам в области информационной безопасности, если они хотят добиться успеха, следует поработать над отчетностью руководству. Как правило, отчеты о работе слишком "техничны", неясны и слишком детальны, чтобы использоваться бизнесом. Если руководители не будут знать, каких успехов достигла информационная безопасность, они будут считать что никаких. В результате меры информационной безопасности будут постоянно недооцениваться, бюджеты урезаться, а штаты сокращаться. Поэтому, отчеты о работе подразделений информационной безопасности должны быть регулярными, правдивыми и подготовленными с точки зрения бизнеса. Менеджмент организаций очень хорошо понимает концепцию страховки, поэтому представление затрат на информационную безопасность в виде страховки - достаточно хороший подход.
источник:
Аналитический банковский журнал 07 (158) июль 2008
