Может ли система информационной безопасности приносить прибыль?
Как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании?
В апреле 2011 компания Sony подверглась одной из самых громких хакерских атак XXI века. Злоумышленники проникли во внутреннюю сеть компании. Руководству Sony пришлось отключить доступ к серверам Playstation Network и Qriocity (сервис Sony для воспроизведения медиа) на неделю. Позднее компания официально признала факт внешнего вмешательства и заявила о возможной компрометации персональных данных пользователей этих сервисов (на тот момент 77 млн учетных записей). Огромные финансовые потери понесла не только Sony и ее партнеры, а и другие компании.
Руководство Sony сообщило, что временное отключение Playstation Network обошлось компании в 171 миллион $. И эта сумма не включает никаких прочих затрат, возникших в результате взлома.
С того момента уровень защиты информации значительно вырос, однако и сегодня происходят подобные инциденты:
• взлом серверов Bandai Namco;
• CD Project Red;
• EA с похищением исходного кода продуктов этих разработчиков;
• использование уязвимости Microsoft Store внутренним тестировщиком;
• выложенные на форуме чертежи танка “Chalenger 2” британским геймером.
Все эти инциденты информационной безопасности (ИБ) показывают, что утечка возможна даже из крупных IT-компаний или закрытых баз Министерства обороны. Значит ли это, что инвестировать в систему защиты информации бесполезно? Конечно нет, система ИБ позволяет снизить не только финансовые риски, но и репутационные. Но как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании?
Структура затрат на ИБ
По цели финансирования затраты на ИБ, можно разделить на расходы на соответствие (содержание ИБ) и на несоответствие (затраты, связанные с возникновение инцидента).
Расходы на соответствие можно разделить на превентивные меры и затраты на контроль. Первая группа включает затрат на предотвращение инцидентов (системы контроля доступа, антивирусный софт, фаервол и так далее), а также минимизацию ущерба (например – шифровка коммерческой информации). Превентивные меры могут включать: рекомендации и правила для сотрудников, покупку антивирусов, фаерволов, патч-менеджмент и другие меры. В эту группу также стоит относить затраты на проведение тестирования на проникновение, а также работы по устранению выявленных уязвимостей в рамках этой процедуры.
Если Вам показалось, что затраты на информационную безопасность по своей природе схожи с затратами на качество продукции, то Вы абсолютно правы. Важнейшим критерием качества любой информационной системы является ее безопасность.
Мониторинг соблюдения сотрудниками правил, методик и рекомендаций, отчетов, которые формируются в купленном или разработанном ПО и прочие затраты, связанные с выявлением инцидентов ИБ относятся к расходам на контроль. В крупных компаниях для этого создается отдельное подразделение – SOC (Security Operations Center), сотрудники которого могут использовать:
• SIEM-системы (Security information and event management), которые позволяют в реальном времени агрегировать и анализировать данные от разных источников;
• NTA (Network Traffic Analysis) – системы, которые анализируют сетевой трафик;
• UEBA (User and Entity Behavior Analytics) – система поиска угроз ИБ, основанная на анализе поведения пользователей;
• ETR (Endpoint Detection and Response) – система обнаружения сетевых атак на конечные точки сети;
• SOAR (Security Orchestration, Automation and Response) – система, которая, фактически, является аналогом SIEM, но, также, позволяет настраивать автоматические реакции на инциденты ИБ.
Стоимость работы сотрудников SOC относится к затратам, связанным с ликвидацией последствий инцидента. Нужно отметить, что сотрудник мог работать сверхурочно над выполнением своих обязанностей не связанных с ликвидацией последствий инцидента, но их все равно нужно отнести к затратам на ликвидацию в случае, если специалист вынужден был решать проблемы, возникшие в следствии инцидента ИБ в основное рабочее время. Об этом очень важно помнить, так как неправильная квалификация этих затрат может привести к их ошибочному распределению.
К затратам на несоответствие относятся финансовые потери, связанные с ликвидацией последствий инцидента и ущерб от инцидента (если такой был нанесен). В эту категорию нужно относить все затраты, связанные с любыми работами мотивацией к выполнению которых, послужил инцидент ИБ. Предположим, что сотрудники проводят работы по устранению обнаруженных уязвимостей. Если эти уязвимости были обнаружены вами в процессе проведения тестирования на проникновение, то их следует отнести к превентивным затратам, но, если эта уязвимость была обнаружена в рамках расследования инцидента – это затраты на ликвидацию последствий.
Зачастую объем ущерба очень трудно оценить, но для понимания экономического эффекта затрат на ИБ – это необходимо. Точные цифры ущерба рассчитать не получится, однако, с допустимой погрешностью, можно оценить стоимость простоя компании, потери от оттока клиентов в результате репутационного ущерба, потери от переманивания постоянных клиентов конкурентами (в случае утечки базы контрагентов) и прочее. Стоит учитывать, что эти затраты будут зависеть от вероятности появления события, которое к ним приводит. Поэтому для оценки размера потенциальных потерь можно использовать их ожидаемую величину EC (Expected Cost). Ее величина рассчитывается как произведение суммы затрат, которые понесет компания в случае возникновения инцидента (C), на вероятность возникновения инцидента (P):
EC=C*P,
В таком случае, общие потери от неэффективной работы системы ИБ (TEC) будут равны:
где, k – инцидент ИБ;
n – общее количество инцидентов за рассматриваемый период.
Главная цель затрат на ИБ – снижение размера общих потерь (TEC). Эффектом от увеличения будет разница между TEC1 и TEC2 при состоянии системы до и после проведения мероприятий, на которые были потрачены средства. Другими словами – эффектом будут предельные затраты на несоответствие. Для расчета эффективности нужно взять их отношение к предельным затратам на соответствие (дополнительные средства в бюджете ИБ).
Чтобы посчитать экономическую пользу от работы службы ИБ нужно из предельных затрат на несоответствие вычесть предельные затраты на соответствие. Проведение дополнительных мероприятий целесообразно в том случае, когда полученное число будет больше или равно нулю.
В небольшом временном промежутке (при условии, что количество пользователей в рассматриваемом интервале будет относительно постоянным), можно говорить о том, что предельная экономическая польза подчиняется закону убывающей предельной полезности. Но в реальной жизни, усиление позиций компании на рынке приводит к увеличению интереса к компании со стороны злоумышленников, что повышает риски для ИБ, а значит, вызывает рост предельной полезности от дополнительных затрат на систему информационной безопасности.
Конечно, ваш SOC или отдел ИБ прямо не увеличивает доход компании (если вы не продаете эти услуги на рынке), но влияние этого отдела на общую прибыль компании велико. Управление ИБ позволяет предотвратить возможное вторжение или, по крайней мере, значительно снижает время его обнаружения. Эффективная система безопасности уменьшает возможное время простоя бизнеса и, что немаловажно, заботится о репутации компании. Все это позволяет оставаться на текущем уровне прибыли, а, в долгосрочной перспективе, выйти на новые высоты.
- Експорт української продукції в Азербайджан зріс на 15,1% за 10 місяців 2024 року Юрій Гусєв 14:30
- Підстави для виселення при зверненні стягнення на предмет іпотеки Євген Морозов 14:16
- Історичний кіт у мішку: чому піврічні торги деревиною обурили деревообробників Юрій Дюг 07:32
- Доплата за фактичні квадратні метри об`єкту інвестування Євген Морозов вчора о 14:52
- "Компостер подій" Кремля: будьте пильними Євген Магда вчора о 11:28
- З 1 грудня зміняться правила бронювання: з'явилася Постанова Кабміну Віталій Соловей 23.11.2024 20:23
- Бюджет-2025 прийнятий, але це не точно Любов Шпак 23.11.2024 18:55
- Час затягувати паски Андрій Павловський 23.11.2024 17:27
- Строк нарахування 3% річних від суми позики Євген Морозов 23.11.2024 13:52
- Судовий захист при звернені стягнення на предмет іпотеки, якщо таке майно не відчужено Євген Морозов 22.11.2024 13:02
- Система обліку немайнової шкоди: коли держава намагається залікувати невидимі рани війни Світлана Приймак 22.11.2024 11:36
- Чому енергетичні та газові гіганти обирають Нідерланди чи Швейцарію для бізнесу Ростислав Никітенко 22.11.2024 08:47
- 1000+ днів війни: чи достатньо покарати агрессора правовими засобами?! Дмитро Зенкін 21.11.2024 21:35
- Горизонтальний моніторинг як сучасний метод податкового контролю Юлія Мороз 21.11.2024 13:36
- Ієрархія протилежних правових висновків суду касаційної інстанції Євген Морозов 21.11.2024 12:39
-
24 листопада в Україні відключатимуть світло – деталі
Бізнес 8498
-
Банки в ОАЕ, Туреччині та Таїланді не обслуговують видані Газпромбанком картки UnionPay
Фінанси 8468
-
Чоловіки, які прийшли на підприємство і були заброньовані після 18 травня, втратять бронь
виправлено Бізнес 7529
-
В Україні фальсифіковані до 25% молочних продуктів: голова Спілки молочних підприємств
Бізнес 6695
-
Найвища гора Західної Європи та найефектніша гора Франції: неперевершений Монблан — фото
Життя 3681