26/11/19
Оптимизация затрат компании - тема актуальная во все времена. Что делать, когда не хватает денег на обеспечение информационной безопасности, и можно ли вообще заниматься защитой информации в условиях сокращения бюджета, решали эксперты кода ИБ в Самаре.
Слово о формировании бюджета для обеспечения ИБ взял Алексей Богданов (Ростелеком). Он рассказал, что потребность в данной статье расходов возникает в тот момент, когда руководство осознает необходимость обеспечения информационной безопасности в компании. Этому способствуют две основные причины - реальная угроза потери данных и выполнение требований существующего законодательства.
Лайфхаком, как помочь безопаснику обосновать бюджет на ИБ, поделился Георгий Минасян (SearchInform): «Мы всегда говорим, что средства, которые вы покупаете для обеспечения безопасности, это помощь не безопасности, это помощь бизнесу. Главный аргумент – насколько информационная безопасность гарантирует непрерывность бизнеса». Вячеслав Медведев (Доктор Веб) внес свое уточнение: прежде, чем обосновывать бюджет, необходимо считать риски и определить продукт, который компания намеревается использовать для устранения этих рисков. Только после этого можно приступать к обоснованию бюджета. На практике же получается, что конечные потребители очень плохо знают тот продукт, который они эксплуатируют, и, следовательно, используют лишь малую часть его функционала. Именно в этой связи активно развивается, в том числе и в нашей стране, сервисная модель обеспечения ИБ, отметил Алексей Богданов. Проводник, обеспечивающий такой сервис, позволяет максимально эффективно выполнять функцию ИБ. Эксперт пояснил: «Вы можете и сами выбирать те или иные решения в рамках этого сервиса, но самое главное - это то, что выбранные продукты будут выполнять поставленные вами конкретные задачи по обеспечению ИБ. Пока заказчики осторожно знакомятся с сервисной моделью, средства защиты информации сегодня в основном все-таки стараются покупать себе на баланс. Что касается общего управления безопасностью, то здесь динамика направлена в сторону аутсорсинга, поскольку реализовать SOC на предприятии - задача, требующая больших финансовых, трудовых и временных вложений».
Продолжая дискуссию о сервисной модели, Алексей Лукацкий (Cisco) отметил, что аутсорсинг информационной безопасности действительно позволяет не вешать на баланс предприятия оборудование, лицензии, не нанимать дорогостоящий персонал, но при этом выполняет те или иные задачи, связанные с ИБ, в том числе, учитывая требования регуляторов. Но, поскольку движение в сторону сервисной модели идет медленно, эксперты предлагают компаниям активно использовать пилотные версии различных решений в области ИБ. Они, как правило, бесплатные, рассчитаны на довольно длительный период использования (до года) и таким образом позволяют достаточно эффективно обеспечивать информационную безопасность в компании.
Еще одним вариантом поддержания ИБ предприятий поделился Георгий Минасян. Компания предоставляет заказчикам услуги по обслуживанию различного ПО в течение 1-2 лет, пока специалисты внутри компании-заказчика ни обучатся и ни начнут заниматься самостоятельно этой работой. При этом продукт сдается в аренду, а не продается, продаются услуги безопасности. То есть сервисная компания приходит со своим инструментом и оперирует им в течение определенного периода времени.
В заключение дискуссии Алексей Лукацкий подвел итог и озвучил основные варианты обеспечения ИБ в условиях ограниченного бюджета – это бесплатные пилотные системы, управление ИБ по сервисной модели, а также использование Open Source продуктов. Кроме того был упомянут вариант разделения бюджетов с другими подразделениями для решения общих задач. Однако все эти способы не отменяют главного – аргументированного обоснования бюджета на ИБ перед руководством, что избавит от необходимости существовать в рамках ограниченного бюджета.
Надо отметить, что конференция Код ИБ в Самаре прошла в шестой раз, собрав более 150 участников. Спикеры из Москвы, Санкт-Петербурга, Чебоксар, Новосибирска и других городов России представили свои доклады в секциях “Безопасность КИИ”, “Технологии” и “Люди”.
Впечатления участников
«Я в третий раз на конференции, и с каждым разом мероприятие нравится все больше. Увеличивается количество компаний-партнеров. С каждым разом все приятнее приходить, все поддерживают и делятся информацией. Обстановка полудомашняя, потому что много знакомых. Организации конференции на высшем уровне!»
Игорь Краснов, Скайлаб
«На Коде ИБ я уже в третий раз. У вашей конференции динамика всегда положительная. Каждый год новые задания, темы конференций постоянно интересные и актуальные. Мы приходим на Код ИБ практически целым отделом, чтобы потом не пересказывать друг другу».
Светлана Анатольевна Чернышова, начальник отдела защиты информации ПФР России по Нижегородской области
