Может ли система информационной безопасности приносить прибыль?
Как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании?
В апреле 2011 компания Sony подверглась одной из самых громких хакерских атак XXI века. Злоумышленники проникли во внутреннюю сеть компании. Руководству Sony пришлось отключить доступ к серверам Playstation Network и Qriocity (сервис Sony для воспроизведения медиа) на неделю. Позднее компания официально признала факт внешнего вмешательства и заявила о возможной компрометации персональных данных пользователей этих сервисов (на тот момент 77 млн учетных записей). Огромные финансовые потери понесла не только Sony и ее партнеры, а и другие компании.
Руководство Sony сообщило, что временное отключение Playstation Network обошлось компании в 171 миллион $. И эта сумма не включает никаких прочих затрат, возникших в результате взлома.
С того момента уровень защиты информации значительно вырос, однако и сегодня происходят подобные инциденты:
• взлом серверов Bandai Namco;
• CD Project Red;
• EA с похищением исходного кода продуктов этих разработчиков;
• использование уязвимости Microsoft Store внутренним тестировщиком;
• выложенные на форуме чертежи танка “Chalenger 2” британским геймером.
Все эти инциденты информационной безопасности (ИБ) показывают, что утечка возможна даже из крупных IT-компаний или закрытых баз Министерства обороны. Значит ли это, что инвестировать в систему защиты информации бесполезно? Конечно нет, система ИБ позволяет снизить не только финансовые риски, но и репутационные. Но как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании?
Структура затрат на ИБ
По цели финансирования затраты на ИБ, можно разделить на расходы на соответствие (содержание ИБ) и на несоответствие (затраты, связанные с возникновение инцидента).

Расходы на соответствие можно разделить на превентивные меры и затраты на контроль. Первая группа включает затрат на предотвращение инцидентов (системы контроля доступа, антивирусный софт, фаервол и так далее), а также минимизацию ущерба (например – шифровка коммерческой информации). Превентивные меры могут включать: рекомендации и правила для сотрудников, покупку антивирусов, фаерволов, патч-менеджмент и другие меры. В эту группу также стоит относить затраты на проведение тестирования на проникновение, а также работы по устранению выявленных уязвимостей в рамках этой процедуры.
Если Вам показалось, что затраты на информационную безопасность по своей природе схожи с затратами на качество продукции, то Вы абсолютно правы. Важнейшим критерием качества любой информационной системы является ее безопасность.
Мониторинг соблюдения сотрудниками правил, методик и рекомендаций, отчетов, которые формируются в купленном или разработанном ПО и прочие затраты, связанные с выявлением инцидентов ИБ относятся к расходам на контроль. В крупных компаниях для этого создается отдельное подразделение – SOC (Security Operations Center), сотрудники которого могут использовать:
• SIEM-системы (Security information and event management), которые позволяют в реальном времени агрегировать и анализировать данные от разных источников;
• NTA (Network Traffic Analysis) – системы, которые анализируют сетевой трафик;
• UEBA (User and Entity Behavior Analytics) – система поиска угроз ИБ, основанная на анализе поведения пользователей;
• ETR (Endpoint Detection and Response) – система обнаружения сетевых атак на конечные точки сети;
• SOAR (Security Orchestration, Automation and Response) – система, которая, фактически, является аналогом SIEM, но, также, позволяет настраивать автоматические реакции на инциденты ИБ.
Стоимость работы сотрудников SOC относится к затратам, связанным с ликвидацией последствий инцидента. Нужно отметить, что сотрудник мог работать сверхурочно над выполнением своих обязанностей не связанных с ликвидацией последствий инцидента, но их все равно нужно отнести к затратам на ликвидацию в случае, если специалист вынужден был решать проблемы, возникшие в следствии инцидента ИБ в основное рабочее время. Об этом очень важно помнить, так как неправильная квалификация этих затрат может привести к их ошибочному распределению.
К затратам на несоответствие относятся финансовые потери, связанные с ликвидацией последствий инцидента и ущерб от инцидента (если такой был нанесен). В эту категорию нужно относить все затраты, связанные с любыми работами мотивацией к выполнению которых, послужил инцидент ИБ. Предположим, что сотрудники проводят работы по устранению обнаруженных уязвимостей. Если эти уязвимости были обнаружены вами в процессе проведения тестирования на проникновение, то их следует отнести к превентивным затратам, но, если эта уязвимость была обнаружена в рамках расследования инцидента – это затраты на ликвидацию последствий.
Зачастую объем ущерба очень трудно оценить, но для понимания экономического эффекта затрат на ИБ – это необходимо. Точные цифры ущерба рассчитать не получится, однако, с допустимой погрешностью, можно оценить стоимость простоя компании, потери от оттока клиентов в результате репутационного ущерба, потери от переманивания постоянных клиентов конкурентами (в случае утечки базы контрагентов) и прочее. Стоит учитывать, что эти затраты будут зависеть от вероятности появления события, которое к ним приводит. Поэтому для оценки размера потенциальных потерь можно использовать их ожидаемую величину EC (Expected Cost). Ее величина рассчитывается как произведение суммы затрат, которые понесет компания в случае возникновения инцидента (C), на вероятность возникновения инцидента (P):
EC=C*P,
В таком случае, общие потери от неэффективной работы системы ИБ (TEC) будут равны:
где, k – инцидент ИБ;
n – общее количество инцидентов за рассматриваемый период.
Главная цель затрат на ИБ – снижение размера общих потерь (TEC). Эффектом от увеличения будет разница между TEC1 и TEC2 при состоянии системы до и после проведения мероприятий, на которые были потрачены средства. Другими словами – эффектом будут предельные затраты на несоответствие. Для расчета эффективности нужно взять их отношение к предельным затратам на соответствие (дополнительные средства в бюджете ИБ).
Чтобы посчитать экономическую пользу от работы службы ИБ нужно из предельных затрат на несоответствие вычесть предельные затраты на соответствие. Проведение дополнительных мероприятий целесообразно в том случае, когда полученное число будет больше или равно нулю.
В небольшом временном промежутке (при условии, что количество пользователей в рассматриваемом интервале будет относительно постоянным), можно говорить о том, что предельная экономическая польза подчиняется закону убывающей предельной полезности. Но в реальной жизни, усиление позиций компании на рынке приводит к увеличению интереса к компании со стороны злоумышленников, что повышает риски для ИБ, а значит, вызывает рост предельной полезности от дополнительных затрат на систему информационной безопасности.
Конечно, ваш SOC или отдел ИБ прямо не увеличивает доход компании (если вы не продаете эти услуги на рынке), но влияние этого отдела на общую прибыль компании велико. Управление ИБ позволяет предотвратить возможное вторжение или, по крайней мере, значительно снижает время его обнаружения. Эффективная система безопасности уменьшает возможное время простоя бизнеса и, что немаловажно, заботится о репутации компании. Все это позволяет оставаться на текущем уровне прибыли, а, в долгосрочной перспективе, выйти на новые высоты.
- Неустойка за неповернення майна з оренди: між штрафом та пенею Дмитро Шаповал 13:56
- Стягнення шкоди з закладу освіти та батьків внаслідок пошкодження ока дитині Артур Кір’яков 13:11
- СЗЧ – вихід з ситуації є Сергій Пєтков 10:18
- Декілька ФОП: оптимізація податків чи дроблення бізнесу? Сергій Пагер 09:07
- Захист дітей від насильства: як працює модель Барнахус в Україні та Польщі Галина Скіпальська вчора о 17:02
- ПРРО як шлях до детенізації бізнесу та збільшення надхожень у бюджет Андрій Сухов вчора о 11:59
- Cпеціальні військові операції – міжнародна політика кремля Сергій Пєтков вчора о 10:18
- 100 днів, які не повернули мир в Україну Дмитро Пульмановський вчора о 10:15
- За фасадом новобудови: як виявити ризики перед купівлею Юрій Бабенко 22.04.2025 15:32
- Як енергетичні компанії оптимізують КІК: досвід ЄС та українські реалії Ростислав Никітенко 22.04.2025 11:46
- 4 помилки, які заважають власнику бізнесу побудувати сильну компанію Олександр Висоцький 22.04.2025 10:27
- Где покупать жилую недвижимость и какую? Володимир Стус 21.04.2025 23:53
- ТЦК – треш, хайп, фейк або соціальна допомога військовим та їх сім’ям Сергій Пєтков 21.04.2025 19:52
- Китай закручує "рідкоземельну гайку". Як Україні скористатися своїм шансом? Ксенія Оринчак 21.04.2025 16:53
- Компенсація 1,5 млн грн моральної шкоди з рф на користь киянина за "повітряні тривоги" Світлана Приймак 21.04.2025 10:20
- Омріяна Перемога: яким українці бачать закінчення війни? 149
- Стажування і підвищення кваліфікації: сенси та підходи 138
- Люди в центрі змін: як Франковий університет створює сучасне академічне середовище 111
- ТЦК – треш, хайп, фейк або соціальна допомога військовим та їх сім’ям 96
- Китай закручує "рідкоземельну гайку". Як Україні скористатися своїм шансом? 91
-
Казахстан заявив, що видобуватиме стільки нафти, скільки потрібно йому, а не ОПЕК
Бізнес 25232
-
"Останній інгредієнт отруйного коктейлю". У Швейцарії стривожені різким зростанням франка
Фінанси 18526
-
"Я приніс вам мир". Чому зірвались мирні переговори у Лондоні і що далі – сценарії
14242
-
У юристки Панаіотіді пройшов обшук. ЇЇ чоловік Коболєв каже, що вилучили телефони й компʼютер
Бізнес 7243
-
Держборг України у 2025 році вперше перевищить "психологічну" позначку 100% – МВФ
Фінанси 6030