Эксперт в области информационной безопасности Ричард Стьеннон в своей статье для Forbes рассказывает о том, почему так важно должным образом выделять средства на нужды информационной безопасности.
Во многих компаниях IT-отделы годами пытаются обосновать руководству необходимость расходов на обеспечение безопасности. Различные методы стимулирования вышестоящего руководства к выделению средств используются с большим или меньшим успехом. Современные модели возвращения инвестиций в безопасность призваны оценить суммы, которые удается сохранить в результате предотвращения инцидентов безопасности. Среди учитываемых факторов: потери в результате падения производительности, прямые издержки на уведомление в случае утечки информации, которое должно быть сделано по законодательствам 45 штатов США, и самый трудноопределимый показатель – размер репутационных потерь и уменьшение стоимости бренда.
Очевидно, что эти попытки обосновать затраты на безопасность безуспешны. Как могут компании, зная обо всем, продолжать терпеть убытки в результате грубых нарушений безопасности? Похищение 21,5 миллиона строго конфиденциальных данных о государственных служащих, а также об их семьях из Управления кадровой службой США – это лишь один из множества последних вопиющих примеров.
В ответ на утечку в Управлении кадровой службой США 12 июня Министерство внутренней безопасности США инициировало мероприятия по усилению кибербезопасности с целью определить критически важные объекты, выследить и устранить злоумышленников. В итоге этого инцидента правительство США вынуждено погасить внушительный «долг безопасности».
Под «долгом безопасности» имеется в виду следующее. Одна из статей расходов – это процент от всего бюджета IT-отдела, выделенный на безопасность. Организации, уделяющие наибольшее внимание безопасности, выделяют на нее не менее 8% от бюджета на IT. Поэтому можно говорить о том, что компании, которые выделяют недостаточные средства на безопасность, накапливают «долг безопасности», который они будут вынуждены заплатить позже. Если компании тратят на безопасность 2% своего бюджета на IT, а наиболее ответственные организации выделяют 8% на нужды этого сектора, то в таком случае у них накапливается «долг безопасности» в размере 6% в год.
В качестве примера можно привести следующую ситуацию: 5 лет назад производитель виджетов располагал IT-бюджетом в размере 1000000 долларов США. Каждый год, пока производились автоматизация заводской отчетности, усовершенствование сети и покупка новых компьютеров, бюджет рос на 10%, и по истечении 5 лет составлял 1464100 долларов США. В случае, если компания тратила на безопасность 2% бюджета, то сумма на первый год составляла 20000 долларов, а на пятый год – 29282 доллара. Поскольку лучшим решением является выделение 8% на безопасность, то «долг безопасности» компании будет составлять 6% или 60000 долларов в год, за пятый год эта сумма будет составлять 87846 долларов, а всего за пять лет размер затрат, понесенных в результате недостаточных расходов на безопасность, составит 366306 долларов.
Чтобы избежать неминуемого инцидента безопасности, который закроет компанию на месяц или выведет её из строя навсегда, организации необходимо внимательно относиться к информационной безопасности. Это подразумевает трату 25% IT-бюджета компании на «игру в догонялки». К счастью, технологии безопасности существенно развились за последние 5 лет. Программное обеспечение для сетевого мониторинга, передовые мультифункциональные фаерволы, строгая аутентификация, более совершенные технологии шифрования данных сегодня доступны по более низкой цене и имеют более высокое качество. Благодаря этому компании могут теперь грамотно распределять свой IT-бюджет и обеспечивать информационную безопасность бизнеса.