Вкладывать, а не откладывать: как инвестировать в кибербезопасность бизнеса

Цифровизация в российском бизнесе в последнее время стала массовым трендом. По оценкам правительства РФ, инвестиции компаний всех отраслей в информационные технологии с 2020 г. выросли более чем на 80%, достигнув к 2024 г. 4 трлн руб. Причем речь идет не только о крупных, но и о средних и даже малых организациях. Они также увеличивают бюджеты на модернизацию IT-инфраструктуры, которая становится основой для большинства бизнес-процессов.

Такая зависимость от внутренних систем делает поддержание их бесперебойной работы особенно важным. Для этого необходимо выстраивать систему информационной безопасности (ИБ). Ведь основной угрозой являются хакерские атаки, которых с каждым годом становится все больше, особенно в связи со стремительным развитием технологий и применением современных языковых моделей. Поэтому сегодня работа с ИБ становится более комплексной, часто требующей серьезных вложений.

О том, как и сколько средств закладывать на защиту инфраструктуры в бюджет, рассказали специалисты компании «Анлим», центра компетенций по информационной безопасности.

Такие результаты получены в ходе совместного исследования сервиса «Контур.Эгида» и Staffcop среди директоров IT-отделов, владельцев бизнеса и руководителей подразделений из отраслей производства, строительства, телекоммуникаций, финансов и так далее.

Сегодня затраты на ИБ нужно воспринимать не как издержки, а как инвестицию в стабильность бизнеса. Выстроенная система защиты обеспечивает непрерывность работы, сохранность клиентской базы и отсутствие штрафов за утечку информации. Возьмем, к примеру, агрофирму, производящую молоко, в которой основные процессы выполняются автономными аппаратами: она может столкнуться с шифрованием внутренних данных о логистических поставках продукции, что способно привести к финансовым потерям из-за скоропортящегося сырья.

Какой объем средств стоит выделять на информационную безопасность и из каких факторов нужно исходить? Некоторые эксперты считают, что универсальным решением является выделение на ИБ 10% средств годового ИТ-бюджета. Однако специалисты компании «Анлим» уверены, что для каждой компании нужен индивидуальный план. Для этого необходимо собрать наиболее полную картину по имеющемуся ландшафту IT-инфраструктуры — корневым процессам и ресурсам, определить критические активы (например, клиентскую базу или финансовые данные) и сформировать перечень актуальных угроз. После этого нужно разработать дорожную карту, приоритетно на три года, с конкретными задачами по защите значимых элементов. Например, государственной организации — оператору геоинформационной системы — нужно обеспечить ее безопасность, исходя из требований нормативно-правовых актов. В то время как для бизнеса из сферы e-commerce критически важна непрерывность работы веб-приложения, через которое совершаются покупки.

Конкретного ответа на вопрос: сколько нужно закладывать на ИБ, — нет и быть не может. Мы рекомендуем лишь держать уровень финансирования не ниже диапазона 9-11% от годового ИТ-бюджета. Правда такой вариант выступает скорее «красным флагом», так как не учитывает риск-профиль организации. Если объем меньше 8% — вы уже играете в русскую рулетку. В целом, итоговая сумма на кибербезопасность зависит от отрасли компании, количества обрабатываемых персональных данных, сложности инфраструктуры, а также требований госрегуляторов, — рассказал Эдуард Герман, коммерческий директор компании «Анлим».

Из чего складываются расходы на информационную безопасность?

По подсчетам специалистов компании «Анлим», значительная доля затрат — более 40% — приходится на персонал. Так, зарплата специалиста по кибербезопасности уровня middle+ только в регионах может составлять порядка 250 тыс. руб.

Следующими по объему идут расходы на программное обеспечение и оборудование — они могут достигать 35% и 15% соответственно.

Меньше всего средств требуется на поддержку решений — от 5 до 10%. Однако этой статьей в бюджете нельзя пренебрегать. Ведь недостаточно просто внедрить те или иные системы: нужны постоянный контроль, настройки и проверки на наличие уязвимостей (пентест и аудиты). Человеческий ресурс ценится на рынке сильнее всего. И сегодня найти высококвалифицированного специалиста крайне трудно. Поэтому некоторые компании прибегают к помощи сторонних организаций при выстраивании ИБ-системы.

При выборе между собственным штатом и подрядчиком стоит учитывать, что у последних есть насмотренность во внедрении разноуровневых решений. Сторонняя организация поможет заложить хороший фундамент информационной безопасности: проведет анализ инфраструктуры, разработает требования и проект для создания системы защиты, возможно даже приступит к его реализации. Но долгосрочное сотрудничество с подрядчиком для дальнейшей работы с ИБ будет значительно дороже. Поэтому стоит выбрать гибридную схему: на основе работы подрядчика уже ваши специалисты смогут обучиться эксплуатации подсистем мониторинга и блокирования. Таким образом, удастся организовать систему защиты с нуля, подготовить персонал и отстроить процессы, — отметил Эдуард Герман.

Нередко даже при сформированном бюджете могут вноситься корректировки. Например, после подтвержденного ИБ-инцидента, с которым были связаны существенные финансовые либо производственные издержки. Или когда компания решает развивать системы защиты информации на фоне модернизации инфраструктуры и расширения бизнеса.

К выстраиванию кибербезопасности следует подходить комплексно, используя риск-ориентированный подход. Данный метод основан на определении ключевых процессов для компании, нарушение которых ведет к недопустимым событиям, и обеспечении их максимальной защиты. Благодаря нему также можно рассчитать капитальные и текущие расходы на ИБ.

Реклама. ООО «Анлим-ИТ», ИНН 7202226910, erid: 2W5zFGxWkGx

Читайте также на DK.RU: 

>>> Имитация атаки во спасение: как белый хакер ищет уязвимости в защите информационных систем