Приступая к изучению бюджетирования и расходов организаций на ИТ-безопасность, мы знали, что задача не будет простой. Расходы на безопасность не относятся к одной четко определенной сфере, не составляют единой статьи бюджета на какие-то специальные продукты. Если в вашей организации имеются стратегии, процедуры или ресурсы, относящиеся к ИТ-безопасности, соответствующие расходы в основном или даже полностью скрываются в других статьях бюджета. Поэтому мы не могли просто задать вопросы об инвестициях в ИТ-безопасность. Нам пришлось спрашивать и о связанных с обеспечением защиты расходах в иных статьях бюджетов. И нам необходимо было разобраться во взаимоотношениях тех и других.

В январе 2011 г. мы провели онлайновое исследование среди включенных в нашу обширную базу данных руководителей ИТ-подразделений предприятий. Мы задавали вопросы о бюджетных расходах на безопасность и о влиянии ИТ-безопасности на другие статьи расходов. Мы получили 164 ответа от хорошо осведомленных в этих вопросах лиц, работающих в организациях, насчитывающих не менее 50 сотрудников. 49% респондентов трудятся в организациях, где имеется 1000 сотрудников и более.

Мы с удивлением обнаружили, что половина этих организаций в действительности не имеет специального общекорпоративного бюджета ИТ-безопасности. Так обстояло дело даже в самых крупных организациях. Это означает, что расходы, в том числе на персонал, часто переносятся на уровень департаментов, проектов и приложений. Последствия ясны: отсутствие планирования безопасности на стратегическом уровне в необходимом объеме.

Планирование безопасности: реактивное или проактивное?

Если ваше ИТ-подразделение лишь реагирует на события в области безопасности, то ваша организация, вероятно, попадает в число тех, где отсутствует общекорпоративный бюджет безопасности (50% респондентов). Почему? Потому что без общекорпоративной стратегии обеспечения безопасности вы можете только реагировать на разрозненные запросы отдельных специалистов, возникающие в процессе работы или при появлении новых проектов.

Конечно, важно удовлетворять потребности ваших внутренних клиентов. Но без специальных ресурсов для обеспечения защиты вы не можете оценить риск, проанализировать сценарии возникновения потерь или определить необходимый размер инвестиций. Это даже без учета очевидных преимуществ эффекта масштаба и обмена знаниями и опытом.

Там, где имеются централизованные бюджеты безопасности, значительная доля средств, как показало наше исследование, выделяется на оплату труда соответствующих ИТ-специалистов. Хотя 48% затрат приходится на оборудование, ПО и сервисы, на зарплату тратится 34%. Очевидно, что подбор специалистов является первоначально необходимым условием инвестиций, если вы хотите применить стратегический подход к безопасности. Вам нужны знающие, способные сотрудники, готовые создать и совершенствовать инфраструктуру безопасности, а также осуществлять ее мониторинг, хотя отдельные решения развертываются на уровне бизнес-подразделений.

Если решения являются частью централизованного бюджета компании, значительная доля расходов приходится на предназначенное для обеспечения безопасности оборудование, тогда как доля ПО и сервисов составляет лишь 13% и 12% соответственно. Происходящая сейчас замена основной части обеспечивающего безопасность ПО сервисами отчасти объясняет незначительную долю расходов на него. Но почему столь же низка доля затрат на сервисы? 95% опрошенных нами ИТ-руководителей сообщили, что в централизованном бюджете их компании фигурируют сервисы. Таким образом, они весьма популярны, поскольку встречаются в бюджетах гораздо чаще, чем другие направления затрат. Фокус в том, что в расчете на одного сотрудника расходы на сервисы безопасности такие же или несколько ниже, чем на ПО. Соответственно организации дополняют свой арсенал повышающими гибкость сервисами примерно при таких же затратах на каждого работника.

Как и полагается в соответствии со стратегическим характером специального бюджета безопасности, значительная его доля предназначается на консалтинг. Интересно было увидеть, что бизнес-консалтинг почти в такой же мере является частью стратегического планирования в области безопасности, как и технический консалтинг. Вы можете считать, что это вызвано исключительно юридическими проблемами и соблюдением требований регуляторов, которые часто связаны с обеспечением безопасности. Однако действенная стратегия защиты может подсказать также и способы успешного выхода на новые рынки, повышения операционной эффективности, более интенсивного обмена знаниями и другие направления усилий, отражающихся на итоговых показателях компании.

Где расходы на безопасность?

Где и в каком виде фигурируют расходы на ИТ-безопасность в тех статьях, которые не связаны с обеспечением защиты ИТ? В любой из них — от затрат на мобильные устройства до финансирования разработки приложений — можно видеть смещение акцентов в сторону безопасности. Особенно интересно, как нужды ИТ-безопасности и соответствующие планы диктуют расширение финансирования одних направлений в большей степени, чем других, вызывая тем самым изменение структуры ИТ-бюджетов.

Одни направления явно получают преимущество, например соблюдение требований регуляторов и управление. 71% респондентов сообщили, что соответствующие статьи расходов возросли благодаря затратам на ИТ-безопасность. 62% опрошенных также сказали, что расходы на облачные вычисления увеличились, потому что они включают затраты на обеспечение защиты.

Но есть и не столь заметно выигравшие направления, такие как разработка приложений, которые часто включают средства на обеспечение безопасности. Затраты на создание приложений предусматривают также выделение самой высокой доли (12%) на их защиту.

Что здесь происходит? Есть две возможные причины того, почему столь значительную часть средств, отпускаемых на разработку приложений, следует тратить на безопасность: важность защиты и ее стоимость. По мнению респондентов, дополнительные расходы вызваны значением безопасности, поскольку облака, совместная работа и мобильность породили новые потребности в аутентификации, управлении идентификацией и контроле за транзакциями, которые переносятся на уровень приложения.

Сходные соображения заставляют тратить значительную долю средств компании на безопасность в рамках затрат на текущие операции и корпоративное ПО. Управление пользователями и применением ИТ — это те проблемы, из-за которых компании расходуют в среднем на 6% больше на ИТ-операции и на 7% больше на корпоративное ПО, чтобы обеспечить ИТ-безопасность.

Эти направления расходов выросли по сравнению с обычным уровнем, поскольку включают затраты на безопасность. То же самое можно сказать о затратах на мобильные устройства (56% респондентов включают в них расходы на безопасность), настольное ПО (53%) и в меньшей степени — на ПК и сетевое ПО. Не попадают в эту категорию затраты на серверы и системы хранения, в которые редко включаются расходы на безопасность. Мало затронуты данной тенденцией также СУБД, системы управления контентом и немобильные телекоммуникации.

Что впереди

Какие тенденции мы можем наблюдать в области безопасности? Начнем с того, что 2011 г. становится годом возобновления интереса к решениям в области ИТ-безопасности в целом и инвестирования в них. Социальные сети в сочетании с облаками, коллективной работой и мобильностью открывают перед бизнесом новые возможности, которые сопряжены также с серьезными угрозами для информации и интеллектуальной собственности. Типичные для нашего исследования централизованные расходы организации на безопасность, как ожидается, возрастут на 10% по сравнению с 2010 г. Это среднее значение, которое верно также и для крупных предприятий.

Следует также отметить, что почти треть (29%) обследованных нами предприятий ожидает роста централизованных расходов на ИТ-безопасность на 50% и более. Понятно, что в большинстве случаев общие расходы компании настолько не вырастут. Скорее, значительная доля этих затрат связана с централизацией инициатив в области безопасности, т. е. включением в общий бюджет безопасности тех средств, которые прежде проходили по другим статьям расходов.

Такая централизация порождает проактивный, нацеленный на поиск возможностей подход к ИТ-безопасности, который потенциально придает организации большую гибкость и повышает вероятность роста. Является ли он также предвестником появления в ближайшие годы всеобъемлющего стратегического подхода к безопасности предприятия? Мы считаем, что да. Разумеется, мы рекомендуем данную стратегию, и не только по соображениям эффективности.

Безопасность подобна страхованию, но специалистов, как ни странно, мало, будь то ИТ или финансы. Это приводит к тому, что компании плохо понимают, какие потери (весьма реальные) им грозят при недостаточных инвестициях в эту сферу. Чтобы выработать такое понимание, прийти к всеобъемлющей и ориентированной на бизнес стратегии безопасности, организациям необходимо произвести централизацию затрат.

Если бы подобный ход мыслей был им не совсем чужд, большинство предприятий уже давно провели бы централизацию. С нашей точки зрения, поистине всепроникающий характер тенденций, определяющих ныне вложения в безопасность (использование социальных сетей, облачных вычислений, коллективной работы и мобильности, как правило, осуществляются сразу во всей организации), заставит предприятия перейти к единой стратегии безопасности и соответствующим решениям.