Контакты
Подписка 2024

Четыре проверенных способа оптимизировать расходы на ИБ

Андрей Степанов, 04/12/19

Развивать информационную безопасность непросто, особенно когда руководство не позволяет увеличивать расходы или еще хуже – требует их оптимизации. Тем не менее, если не опускать руки, а включить мозги, то поддерживать информационную безопасность на приемлемом уровне и развивать возможно даже при жесткой экономии. Более 13 лет я проработал руководителем ИБ в различного рода организациях – министерствах, кредитных учреждениях, энергетических компаниях. Я накопил немалый практический опыт управления ИБ, которым хотелось бы поделиться в этой статье.
 
Андрей Степанов
Эксперт по информационной безопасности
 

Рано или поздно менеджер ИБ сталкивается с ограничениями бюджета по ряду разных причин: финансовые трудности у компании, руководство желает оптимизировать расходы и т.д.

По моему опыту, при оптимизации расходов ответственный за информационную безопасность оказывается "в тисках": с одной стороны, ему нужно обеспечивать должный уровень безопасности и выполнять Compliance, а с другой – вписаться в обозначенный руководством бюджет.

На практике можно выделить следующие направления возможной оптимизации затрат:

  1.  Лицензии и техподдержка на СЗИ.
  2.  Человеческие ресурсы.
  3.  Аутсорсинг процессов.
  4.  Реализация взаимовыгодных проектов.

Лицензии и техподдержка на СЗИ

Самое первое, что приходит в голову, – это экономия на закупке СЗИ путем замены ранее выбранных средств защиты более дешевыми альтернативными или переговоры с интеграторами о снижении цены. Можно рассмотреть вариант постепенной покупки нужного количества СЗИ, частями в течение нескольких лет.

Плюс этого подхода в возможности сэкономить и/или уменьшить финансовую нагрузку в текущий момент времени.

К минусам относится то, что:

  •  альтернативный продукт может оказаться не настолько эффективным, как изначально выбранный, и возрастет вероятность реализации закрываемых угроз;
  •  есть риск, что в последующие годы руководство повторно попросит сократить расходы.

Использование SaaS

Еще один из способов – отказаться от приобретения СЗИ и воспользоваться Softwareasa-Service (SaaS). Тогда можно в короткие сроки получить полноценный сервис и существенно сэкономить при единовременной закупке (иногда до 70%). При этом освобождаются человеческие ресурсы, так как пропадает потребность осуществлять техническую поддержку СЗИ (СЗИ обслуживаются владельцем сервиса), а также наблюдается снижение CAPEX и увеличение OPEX, если финансовая модель предприятия приветствует снижение собственных активов (снижение налогооблагаемой базы).

Среди минусов:

  •  стандартная подписка обычно ограничена по функциональности;
  •  отсутствует возможность самостоятельной настройки сервиса;
  •  настройка и добавление специфичных функций потребует дополнительных затрат;
  •  снижение CAPEX – увеличение OPEX, если финансовая модель предприятия приветствует увеличение собственных активов (увеличение стоимости организации).

Совет: во время принятия решения об использовании SaaS или приобретении СЗИ необходимо оценивать общие затраты на владение в период минимум 3–5 лет. Часто бывает, что при длительном владении собственными СЗИ общие затраты оказываются меньше, чем подписка на SaaS.

Смена продукта

Можно внедрить практику, получившую широкое распространение в Европе, – смену продукта для получения первоначальной скидки. Ставка делается на желание вендора "переманить" клиента у конкурента. В таких случаях новому клиенту предлагается хорошая скидка на первоначальную лицензию СЗИ при условии перехода от конкурента, что дает возможность существенно сэкономить (иногда до 30%).

Однако при злоупотреблении можно получить плохую репутацию среди вендоров, а вместо скидок – повышение цены. Кроме того, каждый переход на новый продукт потребует внутренних трудозатрат на внедрение, а если ресурсы не из вашего подразделения, то это может вызвать негативную реакцию их владельца.

Совет: перед принятием решения необходимо предварительно взвесить все за и против. Например, для многих организаций ввиду специфики деятельности репутация надежного и стабильного заказчика более важна, чем экономия. Следует также заручиться поддержкой руководства топ-уровня.

При переходе на ограниченную техническую поддержку экономия может повлечь деградацию сервиса. Нужно действовать осторожно.

Защищенные облачные ЦОД

В маленькой организации без критической инфраструктуры самой существенной экономии можно добиться за счет перевода инфраструктуры в защищенные облачные ЦОД.

Плюсы:

  •  отсутствует необходимость обслуживать и поддерживать сервисы, в результате возникает экономия на ФОТ в подразделениях ИБ и ИТ;
  •  затраты на СЗИ входят в общий договор, возможно снижение бюджета ИБ почти до 0;
  •  отсутствуют CAPEXы, только OPEX.

Минусы:

  •  риск нарушения конфиденциальности или потери данных;
  •  сложно найти ЦОД, который будет по умолчанию обеспечивать все потребности по защите, особенно в части выполнения требований регуляторов.

Совет: нужно внимательно изучать модель угроз и техническое задание на СЗИ ЦОД. Кроме того, в SLA-договоре должно быть предусмотрено страхование рисков от потери данных, конфиденциальности, а также компенсация недополученной прибыли в случае перебоев в работе ЦОД.

Человеческие ресурсы

Один из распространенных способов экономии на персонале, если ситуация позволяет использовать работников невысокой квалификации, – это привлечение практикантов или прием на работу выпускников без опыта. Труд практикантов обычно бесплатен, а выпускники нетребовательны к заработной плате, пока не набрались опыта. Их главная цель – получить опыт и знания, которыми компания может поделиться.

В этом есть свои плюсы:

  •  экономия на ФОТ;
  •  работа с легкими задачами, которые квалифицированные специалисты не горят желанием решать.

С другой стороны, минусов не избежать:

  •  требуются наставники и время на обучение;
  •  после получения опыта и знаний необходимо повышать работника в должности или улучшать мотивационную составляющую, так как его цена на рынке возрастает.

Совет: обязательно предусмотреть NDA с учебным заведением и самим практикантом. При приеме на работу выпускников нужно заранее планировать их мотивацию к работе в будущем, когда они уже наберутся опыта.

Другой тренд – брать в аренду специалистов у внешних компаний под решение определенных задач. К сожалению, в России это направление пока еще только развивается, но уже есть примеры. Например, при необходимости участия ИБ в крупном проекте и отсутствии своих свободных экспертов есть возможность "взять напрокат" специалиста у интегратора1 и вернуть его после завершения проекта.

Плюсы аутстафа:

  •  в короткие сроки можно приобрести квалифицированного специалиста, который сразу готов к выполнению поставленной задачи;
  •  опыт других проектов и компетенции нескольких специалистов интегратора;
  •  такой подход позволяет не увеличивать ФОТ, что обычно приветствуется владельцами бизнеса, так как это OPEX и его можно отнести к расходам.

Из минусов:

  •  в любой момент работник может быть заменен на другого, что потребует временных затрат на его вхождение в курс дел по проекту;
  •  возможны конфликты с другими подразделениями, так как аутстаф-работник на первых этапах работы еще не знаком с корпоративной культурой;
  •  ответственность только интегратора (юридического лица), личная ответственность аутстаф-работника отсутствует или непрозрачна для заказчика;
  •  мотивировать аутстаф-работника может только работодатель.

Совет: не использовать аутстаф для жестко фиксированных по срокам проектов, так как возможно увеличение времени выполнения задач по причине неожиданной замены работника.

В случае возникновения законодательных проблем с допуском к тайне следует устраивать таких специалистов на 0,1 ставки. Это не повлечет больших финансовых затрат, но зато будут выполнены требования законодательства. Кроме того, необходимо предусмотреть все острые моменты в договоре SLA.

Аутсорсинг процессов

В международных компаниях хорошо зарекомендовала себя практика передачи части функциональности внешним компаниям – сервис-провайдерам MSSP (Managed Security Service Provider):

  •  техническое сопровождение СЗИ;
  •  бэкапирование;
  •  повышение осведомленности работников;
  •  мониторинг событий ИБ;
  •  расследование инцидентов ИБ;
  •  обеспечение безопасности программного кода;
  •  менеджмент уязвимостей;
  •  аудит и многое другое.

Все это обусловлено желанием снижать налогооблагаемую базу за счет увеличения расходов и снижения ФОТ. В целом для компании такие сервисы получаются дешевле, чем выполнение этих работ собственными силами.

Например, в России уже вошло в норму покупать услугу защиты каналов от DDos, а не строить свою, хотя всего 10 лет назад компании обеспечивали такого рода защиту только самостоятельно.

Многие эксперты предрекают, что в ближайшем будущем подразделения информационной безопасности будут представлять собой группу менеджеров, которые занимаются определением стратегии, заказом сервисов и контролем SLA.

Плюсы такого аутсорсинга:

  •  привлечение лучших экспертов ИБ без необходимости обучения собственных;
  •  существенная экономия;
  •  получение нужного результата в короткие сроки;
  •  возможно применение для организаций любого масштаба и уровня.

Минусы:

  •  в России рынок MSSP пока еще находится на стадии развития;
  •  требуется определенное время для адаптации предоставляемого сервиса под конкретные потребности.

Совет: при использовании аутсорсинга не забывать про требования законодательства по защите определенных видов тайн. Не всегда использование MSSP допустимо/дешевле.

Реализация взаимовыгодных проектов

В случае участия ИБ в проектной деятельности организации или наличия тесного взаимодействия с бизнес-подразделениями можно использовать это с пользой, а именно реализовывать мероприятия или внедрять СЗИ за счет чужих бюджетов.

Хорошей практикой является добавление в проекты бизнеса требований по внедрению тех или иных мер защиты или заказа услуг по ИБ. Естественно, делаться это должно не из-под палки, а взаимовыгодным путем.

Например, стоит цель внедрить двухфакторную аутентификацию для всех сервисов компании и известно, что в компании планируется внедрение новой фронтофисной системы. Можно использовать этот проект для инициирования внедрения платформы двухфакторной аутентификации, предложив снизить мошенничество среди работников из-за трудностей передачи паролей друг другу. Это можно сделать путем общения с заказчиком проекта, озвучив ему существующие риски и предложив способ их снижения с помощью второго фактора.

Другой пример – получение дополнительного функционала снизит мошенничество со стороны работников или повысит конкурентоспособность продукта.

Если нужно выполнить требования по защите ПДн во время обмена с контрагентами, но нет бюджета на внедрение СЗИ, можно предложить бизнесу вместо бумажного документооброта юридически значимый электронный, с применением квалифицированной/неквалифицированной электронной подписи, что существенно ускорит процесс взаимодействия с контрагентами и сократит расходы на бумагу. С большой вероятностью бизнес прислушается и выделит бюджет на организацию такого обмена, а это позволит параллельно и без дополнительных затрат включить шифрование и обеспечить безопасность ПДн. И все это без увеличения бюджета ИБ.

Плюсы очевидны:

  •  можно внедрять СЗИ с нулевым бюджетом ИБ;
  •  коллеги и руководство видят пользу от подразделения ИБ.

Но есть и один минус: необходимо обладать хорошей коммуникацией с коллегами из других функциональных блоков и уметь разговаривать с ними на одном языке.

Совет: налаживать как можно больше неформальных контактов с коллегами.

Поиск золотой середины

Это только несколько примеров того, каким образом можно снизить расходы на ИБ, наверняка у коллег есть другие работающие примеры возможной экономии. Предложенные рекомендации основаны на личном опыте, проверены на практике и могут принести ощутимую пользу как ИБ-подразделениям, так и бизнесу в целом.

___________________________________________
1 Аутстаффинг (от англ. out staff – вывод за штат) – это способ управления персоналом, при котором одно юридическое лицо (исполнитель) оказывает другому юридическому лицу (заказчику) услуги в форме предоставления в распоряжение заказчика определенного количества работников, не вступающих с ним в какие-либо правовые отношения (гражданско-правовые, трудовые) напрямую, но оказывающих от имени исполнителя определенные услуги (работы) по месту нахождения заказчика.
 

Опубликовано: Журнал "Information Security/ Информационная безопасность" #5, 2019

Темы:УправлениеБюджет на ИБ

Обеспечение кибербезопасности.
Защита АСУ ТП. Безопасность КИИ
Конференция | 28 июня 2024

Жми для участия
Обзоры. Спец.проекты. Исследования
Участвуйте в обзорах / исследованиях проекта "Информационная безопасность"!
Станьте автором журнала!
Статьи по той же темеСтатьи по той же теме

  • Что такое Compromise Assessment и зачем он нужен бизнесу
    Семен Рогачев, руководитель отдела реагирования на инциденты системного интегратора “Бастион”
    Если СЗИ молчат, то это не значит, что систему безопасности организации не взломали. Некоторые хакеры могут годами прятаться в ИТ-инфраструктуре и шпионить, прежде чем решат нанести удар. Вовремя выявить такую опасность или убедиться в ее отсутствии помогает практика Compromise Assessment.
  • От черного ящика к прозрачности: что CEO должен знать об ИБ
     Евгений Сурков, менеджер продуктов компании Innostage
    Почему CEO и высшему руководству иногда сложно понять ИБ-вызовы, какие проблемы несет отсутствие единой методологии и где найти баланс между открытостью и безопасностью?
  • Как оценить эффективность системы управления операционным риском? (чек-лист)
    Валерия Окорокова, младший консультант по ИБ RTM Group
    Рассмотрим ключевые моменты и задачи оценки эффективности системы управления операционными рисками и минимизации соответствующих расходов
  • 5 атак нового поколения, актуальных в 2023 году
    Александра Соколова, редактор Cloud Networks
    Технологии развиваются беспрецедентными темпами, и, как следствие, растет арсенал инструментов, доступных киберпреступникам для проведения сложных атак.
  • SECURITY AWARENESS: разработка мероприятий по повышению осведомленности
    Константин Саматов, Член Правления Ассоциации руководителей службы информационной безопасности
    Поговорим о создании системы мероприятий по повышению осведомленности персонала организации в вопросах информационной безопасности. Рассмотрим, зачем они нужны, кто является их потребителем и как их организовать.
  • ЧЕК-ЛИСТ: организация реагирования на инциденты ИБ
    Чтобы решить задачу по организации/модернизации системы реагирования на инциденты, задайте себе несколько следующих вопросов.

Хотите сотрудничать?

Выберите вариант!

Печатное издание
Интернет-портал
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
Linux
4 июля. Защищенный удаленный доступ к ИТ-инфраструктуре
Участвуйте!

More...
Обзоры. Исследования. Спец.проекты
Обзоры и исследования проекта "Информационная безопасность"
Жми, чтобы участвовать