Контакты
Подписка
МЕНЮ
Контакты
Подписка

Четыре проверенных способа оптимизировать расходы на ИБ

Андрей Степанов, 04/12/19

Развивать информационную безопасность непросто, особенно когда руководство не позволяет увеличивать расходы или еще хуже – требует их оптимизации. Тем не менее, если не опускать руки, а включить мозги, то поддерживать информационную безопасность на приемлемом уровне и развивать возможно даже при жесткой экономии. Более 13 лет я проработал руководителем ИБ в различного рода организациях – министерствах, кредитных учреждениях, энергетических компаниях. Я накопил немалый практический опыт управления ИБ, которым хотелось бы поделиться в этой статье.
 
Андрей Степанов
Эксперт по информационной безопасности
 

Рано или поздно менеджер ИБ сталкивается с ограничениями бюджета по ряду разных причин: финансовые трудности у компании, руководство желает оптимизировать расходы и т.д.

По моему опыту, при оптимизации расходов ответственный за информационную безопасность оказывается "в тисках": с одной стороны, ему нужно обеспечивать должный уровень безопасности и выполнять Compliance, а с другой – вписаться в обозначенный руководством бюджет.

На практике можно выделить следующие направления возможной оптимизации затрат:

  1.  Лицензии и техподдержка на СЗИ.
  2.  Человеческие ресурсы.
  3.  Аутсорсинг процессов.
  4.  Реализация взаимовыгодных проектов.

Лицензии и техподдержка на СЗИ

Самое первое, что приходит в голову, – это экономия на закупке СЗИ путем замены ранее выбранных средств защиты более дешевыми альтернативными или переговоры с интеграторами о снижении цены. Можно рассмотреть вариант постепенной покупки нужного количества СЗИ, частями в течение нескольких лет.

Плюс этого подхода в возможности сэкономить и/или уменьшить финансовую нагрузку в текущий момент времени.

К минусам относится то, что:

  •  альтернативный продукт может оказаться не настолько эффективным, как изначально выбранный, и возрастет вероятность реализации закрываемых угроз;
  •  есть риск, что в последующие годы руководство повторно попросит сократить расходы.

Использование SaaS

Еще один из способов – отказаться от приобретения СЗИ и воспользоваться Softwareasa-Service (SaaS). Тогда можно в короткие сроки получить полноценный сервис и существенно сэкономить при единовременной закупке (иногда до 70%). При этом освобождаются человеческие ресурсы, так как пропадает потребность осуществлять техническую поддержку СЗИ (СЗИ обслуживаются владельцем сервиса), а также наблюдается снижение CAPEX и увеличение OPEX, если финансовая модель предприятия приветствует снижение собственных активов (снижение налогооблагаемой базы).

Среди минусов:

  •  стандартная подписка обычно ограничена по функциональности;
  •  отсутствует возможность самостоятельной настройки сервиса;
  •  настройка и добавление специфичных функций потребует дополнительных затрат;
  •  снижение CAPEX – увеличение OPEX, если финансовая модель предприятия приветствует увеличение собственных активов (увеличение стоимости организации).

Совет: во время принятия решения об использовании SaaS или приобретении СЗИ необходимо оценивать общие затраты на владение в период минимум 3–5 лет. Часто бывает, что при длительном владении собственными СЗИ общие затраты оказываются меньше, чем подписка на SaaS.

Смена продукта

Можно внедрить практику, получившую широкое распространение в Европе, – смену продукта для получения первоначальной скидки. Ставка делается на желание вендора "переманить" клиента у конкурента. В таких случаях новому клиенту предлагается хорошая скидка на первоначальную лицензию СЗИ при условии перехода от конкурента, что дает возможность существенно сэкономить (иногда до 30%).

Однако при злоупотреблении можно получить плохую репутацию среди вендоров, а вместо скидок – повышение цены. Кроме того, каждый переход на новый продукт потребует внутренних трудозатрат на внедрение, а если ресурсы не из вашего подразделения, то это может вызвать негативную реакцию их владельца.

Совет: перед принятием решения необходимо предварительно взвесить все за и против. Например, для многих организаций ввиду специфики деятельности репутация надежного и стабильного заказчика более важна, чем экономия. Следует также заручиться поддержкой руководства топ-уровня.

При переходе на ограниченную техническую поддержку экономия может повлечь деградацию сервиса. Нужно действовать осторожно.

Защищенные облачные ЦОД

В маленькой организации без критической инфраструктуры самой существенной экономии можно добиться за счет перевода инфраструктуры в защищенные облачные ЦОД.

Плюсы:

  •  отсутствует необходимость обслуживать и поддерживать сервисы, в результате возникает экономия на ФОТ в подразделениях ИБ и ИТ;
  •  затраты на СЗИ входят в общий договор, возможно снижение бюджета ИБ почти до 0;
  •  отсутствуют CAPEXы, только OPEX.

Минусы:

  •  риск нарушения конфиденциальности или потери данных;
  •  сложно найти ЦОД, который будет по умолчанию обеспечивать все потребности по защите, особенно в части выполнения требований регуляторов.

Совет: нужно внимательно изучать модель угроз и техническое задание на СЗИ ЦОД. Кроме того, в SLA-договоре должно быть предусмотрено страхование рисков от потери данных, конфиденциальности, а также компенсация недополученной прибыли в случае перебоев в работе ЦОД.

Человеческие ресурсы

Один из распространенных способов экономии на персонале, если ситуация позволяет использовать работников невысокой квалификации, – это привлечение практикантов или прием на работу выпускников без опыта. Труд практикантов обычно бесплатен, а выпускники нетребовательны к заработной плате, пока не набрались опыта. Их главная цель – получить опыт и знания, которыми компания может поделиться.

В этом есть свои плюсы:

  •  экономия на ФОТ;
  •  работа с легкими задачами, которые квалифицированные специалисты не горят желанием решать.

С другой стороны, минусов не избежать:

  •  требуются наставники и время на обучение;
  •  после получения опыта и знаний необходимо повышать работника в должности или улучшать мотивационную составляющую, так как его цена на рынке возрастает.

Совет: обязательно предусмотреть NDA с учебным заведением и самим практикантом. При приеме на работу выпускников нужно заранее планировать их мотивацию к работе в будущем, когда они уже наберутся опыта.

Другой тренд – брать в аренду специалистов у внешних компаний под решение определенных задач. К сожалению, в России это направление пока еще только развивается, но уже есть примеры. Например, при необходимости участия ИБ в крупном проекте и отсутствии своих свободных экспертов есть возможность "взять напрокат" специалиста у интегратора1 и вернуть его после завершения проекта.

Плюсы аутстафа:

  •  в короткие сроки можно приобрести квалифицированного специалиста, который сразу готов к выполнению поставленной задачи;
  •  опыт других проектов и компетенции нескольких специалистов интегратора;
  •  такой подход позволяет не увеличивать ФОТ, что обычно приветствуется владельцами бизнеса, так как это OPEX и его можно отнести к расходам.

Из минусов:

  •  в любой момент работник может быть заменен на другого, что потребует временных затрат на его вхождение в курс дел по проекту;
  •  возможны конфликты с другими подразделениями, так как аутстаф-работник на первых этапах работы еще не знаком с корпоративной культурой;
  •  ответственность только интегратора (юридического лица), личная ответственность аутстаф-работника отсутствует или непрозрачна для заказчика;
  •  мотивировать аутстаф-работника может только работодатель.

Совет: не использовать аутстаф для жестко фиксированных по срокам проектов, так как возможно увеличение времени выполнения задач по причине неожиданной замены работника.

В случае возникновения законодательных проблем с допуском к тайне следует устраивать таких специалистов на 0,1 ставки. Это не повлечет больших финансовых затрат, но зато будут выполнены требования законодательства. Кроме того, необходимо предусмотреть все острые моменты в договоре SLA.

Аутсорсинг процессов

В международных компаниях хорошо зарекомендовала себя практика передачи части функциональности внешним компаниям – сервис-провайдерам MSSP (Managed Security Service Provider):

  •  техническое сопровождение СЗИ;
  •  бэкапирование;
  •  повышение осведомленности работников;
  •  мониторинг событий ИБ;
  •  расследование инцидентов ИБ;
  •  обеспечение безопасности программного кода;
  •  менеджмент уязвимостей;
  •  аудит и многое другое.

Все это обусловлено желанием снижать налогооблагаемую базу за счет увеличения расходов и снижения ФОТ. В целом для компании такие сервисы получаются дешевле, чем выполнение этих работ собственными силами.

Например, в России уже вошло в норму покупать услугу защиты каналов от DDos, а не строить свою, хотя всего 10 лет назад компании обеспечивали такого рода защиту только самостоятельно.

Многие эксперты предрекают, что в ближайшем будущем подразделения информационной безопасности будут представлять собой группу менеджеров, которые занимаются определением стратегии, заказом сервисов и контролем SLA.

Плюсы такого аутсорсинга:

  •  привлечение лучших экспертов ИБ без необходимости обучения собственных;
  •  существенная экономия;
  •  получение нужного результата в короткие сроки;
  •  возможно применение для организаций любого масштаба и уровня.

Минусы:

  •  в России рынок MSSP пока еще находится на стадии развития;
  •  требуется определенное время для адаптации предоставляемого сервиса под конкретные потребности.

Совет: при использовании аутсорсинга не забывать про требования законодательства по защите определенных видов тайн. Не всегда использование MSSP допустимо/дешевле.

Реализация взаимовыгодных проектов

В случае участия ИБ в проектной деятельности организации или наличия тесного взаимодействия с бизнес-подразделениями можно использовать это с пользой, а именно реализовывать мероприятия или внедрять СЗИ за счет чужих бюджетов.

Хорошей практикой является добавление в проекты бизнеса требований по внедрению тех или иных мер защиты или заказа услуг по ИБ. Естественно, делаться это должно не из-под палки, а взаимовыгодным путем.

Например, стоит цель внедрить двухфакторную аутентификацию для всех сервисов компании и известно, что в компании планируется внедрение новой фронтофисной системы. Можно использовать этот проект для инициирования внедрения платформы двухфакторной аутентификации, предложив снизить мошенничество среди работников из-за трудностей передачи паролей друг другу. Это можно сделать путем общения с заказчиком проекта, озвучив ему существующие риски и предложив способ их снижения с помощью второго фактора.

Другой пример – получение дополнительного функционала снизит мошенничество со стороны работников или повысит конкурентоспособность продукта.

Если нужно выполнить требования по защите ПДн во время обмена с контрагентами, но нет бюджета на внедрение СЗИ, можно предложить бизнесу вместо бумажного документооброта юридически значимый электронный, с применением квалифицированной/неквалифицированной электронной подписи, что существенно ускорит процесс взаимодействия с контрагентами и сократит расходы на бумагу. С большой вероятностью бизнес прислушается и выделит бюджет на организацию такого обмена, а это позволит параллельно и без дополнительных затрат включить шифрование и обеспечить безопасность ПДн. И все это без увеличения бюджета ИБ.

Плюсы очевидны:

  •  можно внедрять СЗИ с нулевым бюджетом ИБ;
  •  коллеги и руководство видят пользу от подразделения ИБ.

Но есть и один минус: необходимо обладать хорошей коммуникацией с коллегами из других функциональных блоков и уметь разговаривать с ними на одном языке.

Совет: налаживать как можно больше неформальных контактов с коллегами.

Поиск золотой середины

Это только несколько примеров того, каким образом можно снизить расходы на ИБ, наверняка у коллег есть другие работающие примеры возможной экономии. Предложенные рекомендации основаны на личном опыте, проверены на практике и могут принести ощутимую пользу как ИБ-подразделениям, так и бизнесу в целом.

___________________________________________
1 Аутстаффинг (от англ. out staff – вывод за штат) – это способ управления персоналом, при котором одно юридическое лицо (исполнитель) оказывает другому юридическому лицу (заказчику) услуги в форме предоставления в распоряжение заказчика определенного количества работников, не вступающих с ним в какие-либо правовые отношения (гражданско-правовые, трудовые) напрямую, но оказывающих от имени исполнителя определенные услуги (работы) по месту нахождения заказчика.
 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019

Темы:УправлениеБюджет на ИБ

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
Стать автором
Комментарии

More...