Сколько стоит безопасность компании?
Сколько денег требует корпоративная безопасность? По мнению Б. Вайолино, автора статьи в журнале Chief Security Officer, August 20, 2019, ответ на этот вопрос очень простой: цена безопасности зависит от:
- профиля деятельности, вида бизнеса;
- категории персональной, служебной информации, интеллектуальной собственности;
- требований регулятора;
- конфигурации интернет инфраструктуры компании;
- привлекательности с позиции криминала.
Более важен по-иному сформулированный вопрос: «Как организация определяет, сколько денег необходимо тратить на безопасность?».
Редакция журнала Chief Information Officer с помощью экспертов опросила в разных странах 683 руководителя отделов IT, стремясь выяснить, какая часть их бюджета идет на обеспечение безопасности компании. Чаще всего называли цифру 15%. Четверть респондентов озвучили цифру 20 и более процентов.
При этом обнаружилось, что размер организации не имеет принципиального значения. Средние цифры в процентах у крупных и малых предприятий не сильно разнятся. Что же касается сфер деятельности, то больше всего денег на безопасность тратят организации, занятые в финансах, высоких технологиях и оказании профессиональных услуг.
Отвечая на вопрос: «Какие бизнес инициативы наиболее значимы для финансирования IT в их организациях?», 40% опрошенных на первое место поставили кибербезопасность.
В другом исследовании, проведенном IDG Communications, две трети из числа опрошенных руководителей в области корпоративной безопасности разных стран (664 человека), заявили, что планируют в следующем году увеличить бюджет в среднем на 13%.
Среди факторов, определяющих приоритет вопросов охраны и безопасности в распределении финансов и конкретное их использование, называют:
- опыт «лучших практик» (74%);
- контроль за соблюдением политик и инструкций по безопасности (69%);
- ответ на инциденты безопасности, подобные тем, что уже происходили в организации (35%);
- ответ на инциденты в других организациях (29%).
Не надо слишком доверять таким опросам, считает Фрэнк Диксон, вице-президент компании Data Corp. (IDC). Обычно организации на цели кибербезопасности тратят, по его мнению, от 7% до 10% от бюджета на IT. «Однако, вы можете тратить и 15%, но не добиться желаемого уровня безопасности, если у вас архитектура внутренних сетей и баз особенно сложная, или данные, подлежащие защите, чрезвычайно ценные. В то же время, потратив всего 5% от бюджета, предназначенного на IT, вы можете получить желаемый результат» (там же).
В компании HITRUST (некоммерческая организация, занимающаяся разработкой и сертификацией стандартов безопасности данных) финансовые средства, отпускаемые на безопасность, остаются неизменными вот уже на протяжении нескольких лет. Джейсон Таул, отвечающий за безопасность, объясняет это так: «Как и большинство других организаций, мы сталкиваемся каждый год с растущим числом угроз и рисков. Но предпочитаем решать возникающие проблемы путем повышения оперативной эффективности. Если бы мы не фокусировали внимание на вопросах эффективности, тогда нам пришлось бы постоянно увеличивать бюджет». Важную роль играют измерения эффективности программ безопасности. Мониторинг с помощью специально выбранных метрик ведется постоянно, подчеркивает Таул.
Одновременно Таул отмечает, что требования регуляторов, клиентские ожидания, партнеры диктуют необходимость дополнительных расходов на безопасность. Обычно такие дополнительные расходы учитываются в ценовой политике. Но клиенты, как правило, считают, что это бремя должно ложиться не на них, а на бизнес.
Отвечая на вопрос о том, как определить уровень финансирования, исходя из результатов повседневного анализа ландшафта рисков, Таул говорит: «Если картина рисков и угроз существенно не меняется, то нет и необходимости в дополнительном финансировании. Но если мы приходим к выводу, что мы сталкиваемся с новыми и серьезными вызовами, то, конечно, надо что-то предпринимать в плане бюджета. Но важно, что ответ всегда не статичен».
© "АМУЛЕТ" 2003 г. Тел/Факс.(495) 614-40-60, 614-41-60,
Е-mail:sb@amulet-group.ru
|
