Может ли система информационной безопасности приносить прибыль?
Как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании?
В апреле 2011 компания Sony подверглась одной из самых громких хакерских атак XXI века. Злоумышленники проникли во внутреннюю сеть компании. Руководству Sony пришлось отключить доступ к серверам Playstation Network и Qriocity (сервис Sony для воспроизведения медиа) на неделю. Позднее компания официально признала факт внешнего вмешательства и заявила о возможной компрометации персональных данных пользователей этих сервисов (на тот момент 77 млн учетных записей). Огромные финансовые потери понесла не только Sony и ее партнеры, а и другие компании.
Руководство Sony сообщило, что временное отключение Playstation Network обошлось компании в 171 миллион $. И эта сумма не включает никаких прочих затрат, возникших в результате взлома.
С того момента уровень защиты информации значительно вырос, однако и сегодня происходят подобные инциденты:
• взлом серверов Bandai Namco;
• CD Project Red;
• EA с похищением исходного кода продуктов этих разработчиков;
• использование уязвимости Microsoft Store внутренним тестировщиком;
• выложенные на форуме чертежи танка “Chalenger 2” британским геймером.
Все эти инциденты информационной безопасности (ИБ) показывают, что утечка возможна даже из крупных IT-компаний или закрытых баз Министерства обороны. Значит ли это, что инвестировать в систему защиты информации бесполезно? Конечно нет, система ИБ позволяет снизить не только финансовые риски, но и репутационные. Но как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании?
Структура затрат на ИБ
По цели финансирования затраты на ИБ, можно разделить на расходы на соответствие (содержание ИБ) и на несоответствие (затраты, связанные с возникновение инцидента).
Расходы на соответствие можно разделить на превентивные меры и затраты на контроль. Первая группа включает затрат на предотвращение инцидентов (системы контроля доступа, антивирусный софт, фаервол и так далее), а также минимизацию ущерба (например – шифровка коммерческой информации). Превентивные меры могут включать: рекомендации и правила для сотрудников, покупку антивирусов, фаерволов, патч-менеджмент и другие меры. В эту группу также стоит относить затраты на проведение тестирования на проникновение, а также работы по устранению выявленных уязвимостей в рамках этой процедуры.
Если Вам показалось, что затраты на информационную безопасность по своей природе схожи с затратами на качество продукции, то Вы абсолютно правы. Важнейшим критерием качества любой информационной системы является ее безопасность.
Мониторинг соблюдения сотрудниками правил, методик и рекомендаций, отчетов, которые формируются в купленном или разработанном ПО и прочие затраты, связанные с выявлением инцидентов ИБ относятся к расходам на контроль. В крупных компаниях для этого создается отдельное подразделение – SOC (Security Operations Center), сотрудники которого могут использовать:
• SIEM-системы (Security information and event management), которые позволяют в реальном времени агрегировать и анализировать данные от разных источников;
• NTA (Network Traffic Analysis) – системы, которые анализируют сетевой трафик;
• UEBA (User and Entity Behavior Analytics) – система поиска угроз ИБ, основанная на анализе поведения пользователей;
• ETR (Endpoint Detection and Response) – система обнаружения сетевых атак на конечные точки сети;
• SOAR (Security Orchestration, Automation and Response) – система, которая, фактически, является аналогом SIEM, но, также, позволяет настраивать автоматические реакции на инциденты ИБ.
Стоимость работы сотрудников SOC относится к затратам, связанным с ликвидацией последствий инцидента. Нужно отметить, что сотрудник мог работать сверхурочно над выполнением своих обязанностей не связанных с ликвидацией последствий инцидента, но их все равно нужно отнести к затратам на ликвидацию в случае, если специалист вынужден был решать проблемы, возникшие в следствии инцидента ИБ в основное рабочее время. Об этом очень важно помнить, так как неправильная квалификация этих затрат может привести к их ошибочному распределению.
К затратам на несоответствие относятся финансовые потери, связанные с ликвидацией последствий инцидента и ущерб от инцидента (если такой был нанесен). В эту категорию нужно относить все затраты, связанные с любыми работами мотивацией к выполнению которых, послужил инцидент ИБ. Предположим, что сотрудники проводят работы по устранению обнаруженных уязвимостей. Если эти уязвимости были обнаружены вами в процессе проведения тестирования на проникновение, то их следует отнести к превентивным затратам, но, если эта уязвимость была обнаружена в рамках расследования инцидента – это затраты на ликвидацию последствий.
Зачастую объем ущерба очень трудно оценить, но для понимания экономического эффекта затрат на ИБ – это необходимо. Точные цифры ущерба рассчитать не получится, однако, с допустимой погрешностью, можно оценить стоимость простоя компании, потери от оттока клиентов в результате репутационного ущерба, потери от переманивания постоянных клиентов конкурентами (в случае утечки базы контрагентов) и прочее. Стоит учитывать, что эти затраты будут зависеть от вероятности появления события, которое к ним приводит. Поэтому для оценки размера потенциальных потерь можно использовать их ожидаемую величину EC (Expected Cost). Ее величина рассчитывается как произведение суммы затрат, которые понесет компания в случае возникновения инцидента (C), на вероятность возникновения инцидента (P):
EC=C*P,
В таком случае, общие потери от неэффективной работы системы ИБ (TEC) будут равны:
где, k – инцидент ИБ;
n – общее количество инцидентов за рассматриваемый период.
Главная цель затрат на ИБ – снижение размера общих потерь (TEC). Эффектом от увеличения будет разница между TEC1 и TEC2 при состоянии системы до и после проведения мероприятий, на которые были потрачены средства. Другими словами – эффектом будут предельные затраты на несоответствие. Для расчета эффективности нужно взять их отношение к предельным затратам на соответствие (дополнительные средства в бюджете ИБ).
Чтобы посчитать экономическую пользу от работы службы ИБ нужно из предельных затрат на несоответствие вычесть предельные затраты на соответствие. Проведение дополнительных мероприятий целесообразно в том случае, когда полученное число будет больше или равно нулю.
В небольшом временном промежутке (при условии, что количество пользователей в рассматриваемом интервале будет относительно постоянным), можно говорить о том, что предельная экономическая польза подчиняется закону убывающей предельной полезности. Но в реальной жизни, усиление позиций компании на рынке приводит к увеличению интереса к компании со стороны злоумышленников, что повышает риски для ИБ, а значит, вызывает рост предельной полезности от дополнительных затрат на систему информационной безопасности.
Конечно, ваш SOC или отдел ИБ прямо не увеличивает доход компании (если вы не продаете эти услуги на рынке), но влияние этого отдела на общую прибыль компании велико. Управление ИБ позволяет предотвратить возможное вторжение или, по крайней мере, значительно снижает время его обнаружения. Эффективная система безопасности уменьшает возможное время простоя бизнеса и, что немаловажно, заботится о репутации компании. Все это позволяет оставаться на текущем уровне прибыли, а, в долгосрочной перспективе, выйти на новые высоты.
- Успіх компанії залежить від ефективності кожного працівника Катерина Мілютенко вчора о 23:55
- Поділу доходів отриманих другим із подружжя від зайняття підприємницькою діяльністю Євген Морозов вчора о 20:34
- Скасування повідомлення про підготовчі роботи: юридичні аспекти Павло Васильєв вчора о 17:22
- Судова практика: сервітут без переговорів – шлях до відмови в позові Світлана Приймак вчора о 16:11
- Доцільність залучення експерта у виконавчому провадженні Дмитро Зенкін вчора о 13:14
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? Сергій Лабазюк вчора о 11:43
- Розпорядження майном "цивільного подружжя" при поділі спільного сумісного майна Євген Морозов 22.12.2024 20:34
- JIT – концепція, час якої настав Наталія Качан 22.12.2024 19:43
- Оновлення законодавства про захист персональних даних: GDPR в законопроєкті 8153 Анастасія Полтавцева 21.12.2024 18:47
- Податкова біполярність або коли виграв справу, але неправильно Євген Власов 21.12.2024 16:35
- Встановлення факту спільного проживання «цивільного подружжя» при поділі майна Євген Морозов 21.12.2024 10:52
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду Лариса Гольник 21.12.2024 09:26
- Топ-3 проєктів протидії фінансовому шахрайству у 2024 році Артем Ковбель 20.12.2024 23:10
- Как снять арест с карты: советы для должников ЖКХ Віра Тарасенко 20.12.2024 21:40
- Кейс нотаріальної фальсифікації в Україні: кримінал, зловживання довірою й порушення етики Світлана Приймак 20.12.2024 16:40
- Україна сировинний придаток, тепер офіційно? 1396
- Когнітивка від Psymetrics – прогнозований бар’єр для Вищого антикорупційного суду 684
- Правова стратегія для захисту інтересів дитини у суді 567
- Вчимося та вчимо дітей: мотивація та управління часом 316
- 2025. Рік економічного відновлення, репатріації та інтеграції військових. Чи буде так? 198
-
В Україні рекордно подорожчав часник
Бізнес 8106
-
Укренерго дало команду на екстрені відключення світла: причина
оновлено Бізнес 3647
-
"Особливі буряти" Путіна. Як солдати КНДР воюють проти України: ексклюзивні подробиці
3133
-
Королі савани, небезпечний Крейвен і поїздка, з якої немає вороття: три кіноновинки тижня
Життя 2717
-
"Ми повинні потримати цю штуку ще трохи". Трамп виступив проти заборони TikTok в США
Бізнес 2569