Может ли система информационной безопасности приносить прибыль?
Как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании?
В апреле 2011 компания Sony подверглась одной из самых громких хакерских атак XXI века. Злоумышленники проникли во внутреннюю сеть компании. Руководству Sony пришлось отключить доступ к серверам Playstation Network и Qriocity (сервис Sony для воспроизведения медиа) на неделю. Позднее компания официально признала факт внешнего вмешательства и заявила о возможной компрометации персональных данных пользователей этих сервисов (на тот момент 77 млн учетных записей). Огромные финансовые потери понесла не только Sony и ее партнеры, а и другие компании.
Руководство Sony сообщило, что временное отключение Playstation Network обошлось компании в 171 миллион $. И эта сумма не включает никаких прочих затрат, возникших в результате взлома.
С того момента уровень защиты информации значительно вырос, однако и сегодня происходят подобные инциденты:
• взлом серверов Bandai Namco;
• CD Project Red;
• EA с похищением исходного кода продуктов этих разработчиков;
• использование уязвимости Microsoft Store внутренним тестировщиком;
• выложенные на форуме чертежи танка “Chalenger 2” британским геймером.
Все эти инциденты информационной безопасности (ИБ) показывают, что утечка возможна даже из крупных IT-компаний или закрытых баз Министерства обороны. Значит ли это, что инвестировать в систему защиты информации бесполезно? Конечно нет, система ИБ позволяет снизить не только финансовые риски, но и репутационные. Но как определить какую сумму можно потратить на эти цели и как сделать чтобы эти затраты приносили прибыль компании?
Структура затрат на ИБ
По цели финансирования затраты на ИБ, можно разделить на расходы на соответствие (содержание ИБ) и на несоответствие (затраты, связанные с возникновение инцидента).

Расходы на соответствие можно разделить на превентивные меры и затраты на контроль. Первая группа включает затрат на предотвращение инцидентов (системы контроля доступа, антивирусный софт, фаервол и так далее), а также минимизацию ущерба (например – шифровка коммерческой информации). Превентивные меры могут включать: рекомендации и правила для сотрудников, покупку антивирусов, фаерволов, патч-менеджмент и другие меры. В эту группу также стоит относить затраты на проведение тестирования на проникновение, а также работы по устранению выявленных уязвимостей в рамках этой процедуры.
Если Вам показалось, что затраты на информационную безопасность по своей природе схожи с затратами на качество продукции, то Вы абсолютно правы. Важнейшим критерием качества любой информационной системы является ее безопасность.
Мониторинг соблюдения сотрудниками правил, методик и рекомендаций, отчетов, которые формируются в купленном или разработанном ПО и прочие затраты, связанные с выявлением инцидентов ИБ относятся к расходам на контроль. В крупных компаниях для этого создается отдельное подразделение – SOC (Security Operations Center), сотрудники которого могут использовать:
• SIEM-системы (Security information and event management), которые позволяют в реальном времени агрегировать и анализировать данные от разных источников;
• NTA (Network Traffic Analysis) – системы, которые анализируют сетевой трафик;
• UEBA (User and Entity Behavior Analytics) – система поиска угроз ИБ, основанная на анализе поведения пользователей;
• ETR (Endpoint Detection and Response) – система обнаружения сетевых атак на конечные точки сети;
• SOAR (Security Orchestration, Automation and Response) – система, которая, фактически, является аналогом SIEM, но, также, позволяет настраивать автоматические реакции на инциденты ИБ.
Стоимость работы сотрудников SOC относится к затратам, связанным с ликвидацией последствий инцидента. Нужно отметить, что сотрудник мог работать сверхурочно над выполнением своих обязанностей не связанных с ликвидацией последствий инцидента, но их все равно нужно отнести к затратам на ликвидацию в случае, если специалист вынужден был решать проблемы, возникшие в следствии инцидента ИБ в основное рабочее время. Об этом очень важно помнить, так как неправильная квалификация этих затрат может привести к их ошибочному распределению.
К затратам на несоответствие относятся финансовые потери, связанные с ликвидацией последствий инцидента и ущерб от инцидента (если такой был нанесен). В эту категорию нужно относить все затраты, связанные с любыми работами мотивацией к выполнению которых, послужил инцидент ИБ. Предположим, что сотрудники проводят работы по устранению обнаруженных уязвимостей. Если эти уязвимости были обнаружены вами в процессе проведения тестирования на проникновение, то их следует отнести к превентивным затратам, но, если эта уязвимость была обнаружена в рамках расследования инцидента – это затраты на ликвидацию последствий.
Зачастую объем ущерба очень трудно оценить, но для понимания экономического эффекта затрат на ИБ – это необходимо. Точные цифры ущерба рассчитать не получится, однако, с допустимой погрешностью, можно оценить стоимость простоя компании, потери от оттока клиентов в результате репутационного ущерба, потери от переманивания постоянных клиентов конкурентами (в случае утечки базы контрагентов) и прочее. Стоит учитывать, что эти затраты будут зависеть от вероятности появления события, которое к ним приводит. Поэтому для оценки размера потенциальных потерь можно использовать их ожидаемую величину EC (Expected Cost). Ее величина рассчитывается как произведение суммы затрат, которые понесет компания в случае возникновения инцидента (C), на вероятность возникновения инцидента (P):
EC=C*P,
В таком случае, общие потери от неэффективной работы системы ИБ (TEC) будут равны:
где, k – инцидент ИБ;
n – общее количество инцидентов за рассматриваемый период.
Главная цель затрат на ИБ – снижение размера общих потерь (TEC). Эффектом от увеличения будет разница между TEC1 и TEC2 при состоянии системы до и после проведения мероприятий, на которые были потрачены средства. Другими словами – эффектом будут предельные затраты на несоответствие. Для расчета эффективности нужно взять их отношение к предельным затратам на соответствие (дополнительные средства в бюджете ИБ).
Чтобы посчитать экономическую пользу от работы службы ИБ нужно из предельных затрат на несоответствие вычесть предельные затраты на соответствие. Проведение дополнительных мероприятий целесообразно в том случае, когда полученное число будет больше или равно нулю.
В небольшом временном промежутке (при условии, что количество пользователей в рассматриваемом интервале будет относительно постоянным), можно говорить о том, что предельная экономическая польза подчиняется закону убывающей предельной полезности. Но в реальной жизни, усиление позиций компании на рынке приводит к увеличению интереса к компании со стороны злоумышленников, что повышает риски для ИБ, а значит, вызывает рост предельной полезности от дополнительных затрат на систему информационной безопасности.
Конечно, ваш SOC или отдел ИБ прямо не увеличивает доход компании (если вы не продаете эти услуги на рынке), но влияние этого отдела на общую прибыль компании велико. Управление ИБ позволяет предотвратить возможное вторжение или, по крайней мере, значительно снижает время его обнаружения. Эффективная система безопасности уменьшает возможное время простоя бизнеса и, что немаловажно, заботится о репутации компании. Все это позволяет оставаться на текущем уровне прибыли, а, в долгосрочной перспективе, выйти на новые высоты.
- Стейкхолдери – основний локомотив сучасної якісної освіти Сергій Пєтков вчора о 10:49
- "Спорт внє палітікі?". Як би ж то! Країна-агресор хоче повернутися у міжнародний спорт Володимир Горковенко вчора о 10:10
- Землі заказника "Лівобережний" у Дніпрі: історія зміни статусу та забудови Павло Васильєв 08.05.2025 22:23
- Пам'яті жертв Другої Світової війни або чому ми не святкуємо! Дмитро Пульмановський 08.05.2025 16:11
- Що робити, коли дії співробітника призвели до фінансових втрат? Олександр Висоцький 08.05.2025 11:13
- Кабальні "угоди Яресько" блокують економічне відновлення України Любов Шпак 08.05.2025 11:09
- Изменения в оформлении отсрочки от мобилизации с 06.05.2025 Віра Тарасенко 07.05.2025 23:36
- Безбар’єрність у лікарнях: чому доступ до медичних послуг виходить за межі пандусів Ігор Ткаченко 07.05.2025 15:10
- Де отримати криптоліцензію у 2025 році? Юлія Барабаш 07.05.2025 12:25
- Як сплачує податки та подає звітність контрольована іноземна компанія (КІК) Сергій Пагер 07.05.2025 09:19
- Тренди світових витрат засобами візуалізації: військо, освіта, охорона здоров’я Христина Кухарук 06.05.2025 19:13
- Як роботодавцю повернути кошти, сплачені працівнику за скасованим рішенням суду Альона Прасол 06.05.2025 14:30
- Чому підприємці бояться виходити на новий рівень і як подолати цей бар’єр? Олександр Висоцький 06.05.2025 14:12
- "Ситник проти України" – чи може справедливість бути упередженою? Дмитро Зенкін 06.05.2025 12:57
- Нові правила подачі заявок на торговельні марки Сергій Барбашин 06.05.2025 11:45
- Літо, тераси та куріння: чи є заборона для літніх майданчиків? 183
- Регіональні тренди запитів "Відео ШІ" в Україні: піки, спад і соціальні фактори 178
- Безбар’єрність у лікарнях: чому доступ до медичних послуг виходить за межі пандусів 134
- Тренди світових витрат засобами візуалізації: військо, освіта, охорона здоров’я 109
- Чому ми приймаємо нелогічні фінансові рішення? 104
-
Чому Путін святкує 9 травня. Справжня історія Другої світової, яку не вчать у Кремлі
10767
-
Угода Україна–США: три ключові вигоди для нашої держави
Думка 6095
-
Нове житло на межі зникнення. Що говорить статистика про кризу на ринку нерухомості
Бізнес 5876
-
8 травня. Чи можлива українська історія Другої світової
Думка 3563
-
Три хвилі приморозків. Хто збанкрутує, а хто – заробить
Бізнес 3272