Четыре проверенных способа оптимизировать расходы на ИБ
Андрей Степанов, 04/12/19
Эксперт по информационной безопасности
Рано или поздно менеджер ИБ сталкивается с ограничениями бюджета по ряду разных причин: финансовые трудности у компании, руководство желает оптимизировать расходы и т.д.
По моему опыту, при оптимизации расходов ответственный за информационную безопасность оказывается "в тисках": с одной стороны, ему нужно обеспечивать должный уровень безопасности и выполнять Compliance, а с другой – вписаться в обозначенный руководством бюджет.
На практике можно выделить следующие направления возможной оптимизации затрат:
- Лицензии и техподдержка на СЗИ.
- Человеческие ресурсы.
- Аутсорсинг процессов.
- Реализация взаимовыгодных проектов.
Лицензии и техподдержка на СЗИ
Самое первое, что приходит в голову, – это экономия на закупке СЗИ путем замены ранее выбранных средств защиты более дешевыми альтернативными или переговоры с интеграторами о снижении цены. Можно рассмотреть вариант постепенной покупки нужного количества СЗИ, частями в течение нескольких лет.
Плюс этого подхода в возможности сэкономить и/или уменьшить финансовую нагрузку в текущий момент времени.
К минусам относится то, что:
- альтернативный продукт может оказаться не настолько эффективным, как изначально выбранный, и возрастет вероятность реализации закрываемых угроз;
- есть риск, что в последующие годы руководство повторно попросит сократить расходы.
Использование SaaS
Еще один из способов – отказаться от приобретения СЗИ и воспользоваться Softwareasa-Service (SaaS). Тогда можно в короткие сроки получить полноценный сервис и существенно сэкономить при единовременной закупке (иногда до 70%). При этом освобождаются человеческие ресурсы, так как пропадает потребность осуществлять техническую поддержку СЗИ (СЗИ обслуживаются владельцем сервиса), а также наблюдается снижение CAPEX и увеличение OPEX, если финансовая модель предприятия приветствует снижение собственных активов (снижение налогооблагаемой базы).
Среди минусов:
- стандартная подписка обычно ограничена по функциональности;
- отсутствует возможность самостоятельной настройки сервиса;
- настройка и добавление специфичных функций потребует дополнительных затрат;
- снижение CAPEX – увеличение OPEX, если финансовая модель предприятия приветствует увеличение собственных активов (увеличение стоимости организации).
Совет: во время принятия решения об использовании SaaS или приобретении СЗИ необходимо оценивать общие затраты на владение в период минимум 3–5 лет. Часто бывает, что при длительном владении собственными СЗИ общие затраты оказываются меньше, чем подписка на SaaS.
Смена продукта
Можно внедрить практику, получившую широкое распространение в Европе, – смену продукта для получения первоначальной скидки. Ставка делается на желание вендора "переманить" клиента у конкурента. В таких случаях новому клиенту предлагается хорошая скидка на первоначальную лицензию СЗИ при условии перехода от конкурента, что дает возможность существенно сэкономить (иногда до 30%).
Однако при злоупотреблении можно получить плохую репутацию среди вендоров, а вместо скидок – повышение цены. Кроме того, каждый переход на новый продукт потребует внутренних трудозатрат на внедрение, а если ресурсы не из вашего подразделения, то это может вызвать негативную реакцию их владельца.
Совет: перед принятием решения необходимо предварительно взвесить все за и против. Например, для многих организаций ввиду специфики деятельности репутация надежного и стабильного заказчика более важна, чем экономия. Следует также заручиться поддержкой руководства топ-уровня.
При переходе на ограниченную техническую поддержку экономия может повлечь деградацию сервиса. Нужно действовать осторожно.
Защищенные облачные ЦОД
В маленькой организации без критической инфраструктуры самой существенной экономии можно добиться за счет перевода инфраструктуры в защищенные облачные ЦОД.
Плюсы:
- отсутствует необходимость обслуживать и поддерживать сервисы, в результате возникает экономия на ФОТ в подразделениях ИБ и ИТ;
- затраты на СЗИ входят в общий договор, возможно снижение бюджета ИБ почти до 0;
- отсутствуют CAPEXы, только OPEX.
Минусы:
- риск нарушения конфиденциальности или потери данных;
- сложно найти ЦОД, который будет по умолчанию обеспечивать все потребности по защите, особенно в части выполнения требований регуляторов.
Совет: нужно внимательно изучать модель угроз и техническое задание на СЗИ ЦОД. Кроме того, в SLA-договоре должно быть предусмотрено страхование рисков от потери данных, конфиденциальности, а также компенсация недополученной прибыли в случае перебоев в работе ЦОД.
Человеческие ресурсы
Один из распространенных способов экономии на персонале, если ситуация позволяет использовать работников невысокой квалификации, – это привлечение практикантов или прием на работу выпускников без опыта. Труд практикантов обычно бесплатен, а выпускники нетребовательны к заработной плате, пока не набрались опыта. Их главная цель – получить опыт и знания, которыми компания может поделиться.
В этом есть свои плюсы:
- экономия на ФОТ;
- работа с легкими задачами, которые квалифицированные специалисты не горят желанием решать.
С другой стороны, минусов не избежать:
- требуются наставники и время на обучение;
- после получения опыта и знаний необходимо повышать работника в должности или улучшать мотивационную составляющую, так как его цена на рынке возрастает.
Совет: обязательно предусмотреть NDA с учебным заведением и самим практикантом. При приеме на работу выпускников нужно заранее планировать их мотивацию к работе в будущем, когда они уже наберутся опыта.
Другой тренд – брать в аренду специалистов у внешних компаний под решение определенных задач. К сожалению, в России это направление пока еще только развивается, но уже есть примеры. Например, при необходимости участия ИБ в крупном проекте и отсутствии своих свободных экспертов есть возможность "взять напрокат" специалиста у интегратора1 и вернуть его после завершения проекта.
Плюсы аутстафа:
- в короткие сроки можно приобрести квалифицированного специалиста, который сразу готов к выполнению поставленной задачи;
- опыт других проектов и компетенции нескольких специалистов интегратора;
- такой подход позволяет не увеличивать ФОТ, что обычно приветствуется владельцами бизнеса, так как это OPEX и его можно отнести к расходам.
Из минусов:
- в любой момент работник может быть заменен на другого, что потребует временных затрат на его вхождение в курс дел по проекту;
- возможны конфликты с другими подразделениями, так как аутстаф-работник на первых этапах работы еще не знаком с корпоративной культурой;
- ответственность только интегратора (юридического лица), личная ответственность аутстаф-работника отсутствует или непрозрачна для заказчика;
- мотивировать аутстаф-работника может только работодатель.
Совет: не использовать аутстаф для жестко фиксированных по срокам проектов, так как возможно увеличение времени выполнения задач по причине неожиданной замены работника.
В случае возникновения законодательных проблем с допуском к тайне следует устраивать таких специалистов на 0,1 ставки. Это не повлечет больших финансовых затрат, но зато будут выполнены требования законодательства. Кроме того, необходимо предусмотреть все острые моменты в договоре SLA.
Аутсорсинг процессов
В международных компаниях хорошо зарекомендовала себя практика передачи части функциональности внешним компаниям – сервис-провайдерам MSSP (Managed Security Service Provider):
- техническое сопровождение СЗИ;
- бэкапирование;
- повышение осведомленности работников;
- мониторинг событий ИБ;
- расследование инцидентов ИБ;
- обеспечение безопасности программного кода;
- менеджмент уязвимостей;
- аудит и многое другое.
Все это обусловлено желанием снижать налогооблагаемую базу за счет увеличения расходов и снижения ФОТ. В целом для компании такие сервисы получаются дешевле, чем выполнение этих работ собственными силами.
Например, в России уже вошло в норму покупать услугу защиты каналов от DDos, а не строить свою, хотя всего 10 лет назад компании обеспечивали такого рода защиту только самостоятельно.
Многие эксперты предрекают, что в ближайшем будущем подразделения информационной безопасности будут представлять собой группу менеджеров, которые занимаются определением стратегии, заказом сервисов и контролем SLA.
Плюсы такого аутсорсинга:
- привлечение лучших экспертов ИБ без необходимости обучения собственных;
- существенная экономия;
- получение нужного результата в короткие сроки;
- возможно применение для организаций любого масштаба и уровня.
Минусы:
- в России рынок MSSP пока еще находится на стадии развития;
- требуется определенное время для адаптации предоставляемого сервиса под конкретные потребности.
Совет: при использовании аутсорсинга не забывать про требования законодательства по защите определенных видов тайн. Не всегда использование MSSP допустимо/дешевле.
Реализация взаимовыгодных проектов
В случае участия ИБ в проектной деятельности организации или наличия тесного взаимодействия с бизнес-подразделениями можно использовать это с пользой, а именно реализовывать мероприятия или внедрять СЗИ за счет чужих бюджетов.
Хорошей практикой является добавление в проекты бизнеса требований по внедрению тех или иных мер защиты или заказа услуг по ИБ. Естественно, делаться это должно не из-под палки, а взаимовыгодным путем.
Например, стоит цель внедрить двухфакторную аутентификацию для всех сервисов компании и известно, что в компании планируется внедрение новой фронтофисной системы. Можно использовать этот проект для инициирования внедрения платформы двухфакторной аутентификации, предложив снизить мошенничество среди работников из-за трудностей передачи паролей друг другу. Это можно сделать путем общения с заказчиком проекта, озвучив ему существующие риски и предложив способ их снижения с помощью второго фактора.
Другой пример – получение дополнительного функционала снизит мошенничество со стороны работников или повысит конкурентоспособность продукта.
Если нужно выполнить требования по защите ПДн во время обмена с контрагентами, но нет бюджета на внедрение СЗИ, можно предложить бизнесу вместо бумажного документооброта юридически значимый электронный, с применением квалифицированной/неквалифицированной электронной подписи, что существенно ускорит процесс взаимодействия с контрагентами и сократит расходы на бумагу. С большой вероятностью бизнес прислушается и выделит бюджет на организацию такого обмена, а это позволит параллельно и без дополнительных затрат включить шифрование и обеспечить безопасность ПДн. И все это без увеличения бюджета ИБ.
Плюсы очевидны:
- можно внедрять СЗИ с нулевым бюджетом ИБ;
- коллеги и руководство видят пользу от подразделения ИБ.
Но есть и один минус: необходимо обладать хорошей коммуникацией с коллегами из других функциональных блоков и уметь разговаривать с ними на одном языке.
Совет: налаживать как можно больше неформальных контактов с коллегами.
Поиск золотой середины
Это только несколько примеров того, каким образом можно снизить расходы на ИБ, наверняка у коллег есть другие работающие примеры возможной экономии. Предложенные рекомендации основаны на личном опыте, проверены на практике и могут принести ощутимую пользу как ИБ-подразделениям, так и бизнесу в целом.
1 Аутстаффинг (от англ. out staff – вывод за штат) – это способ управления персоналом, при котором одно юридическое лицо (исполнитель) оказывает другому юридическому лицу (заказчику) услуги в форме предоставления в распоряжение заказчика определенного количества работников, не вступающих с ним в какие-либо правовые отношения (гражданско-правовые, трудовые) напрямую, но оказывающих от имени исполнителя определенные услуги (работы) по месту нахождения заказчика.
Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019