В области информационной безопасности складывается непростая ситуация. С одной стороны ИБ-системы жизненно необходимы предприятиям, а с другой — сложные экономические и политические условия накладывают свои ограничения и требуют пересмотра традиционных подходов. Что делать в таких условиях? На семинаре по ИБ, проведенном компанией PwC, консультанты и руководители ИБ-отделов предприятий поделились опытом и мнениями.
Инвестировать нельзя сокращать
В результате экономического кризиса, снижения государственных расходов и удорожания кредитов предприятия сокращают бюджеты практически всех подразделений. При этом первыми под нож идут сервисные направления, такие как ИТ и ИБ.
Однако проблема защиты корпоративных сетей не только не исчезает, но и становится все более актуальной. Так, согласно отчету компании PwC (The Global State of Information Security Survey, 2015), сейчас каждый день в мире совершается на 48% больше атак, чем год назад. Огромный резонанс получила атака на Sony Pictures, в результате которой компания понесла колоссальные убытки.
В России также складывается тревожная ситуация. По данным «Лаборатории Касперского» и агентства B2B International, в
По словам Романа Чаплыгина, директора отдела анализа и контроля рисков в области кибербезопасности PwC, несмотря на то, что вероятность подвергнуться атаке растет, при оптимизации расходов предприятия часто в первую очередь рассматривают направление ИБ: персонал и бюджет сокращается, а уровень поддержки со стороны руководства снижается. Причина в том, что новые риски экономического характера перевешивают риски ИБ.
В связи с этим специалистам по безопасности следует наладить взаимопонимание с бизнес-подразделениями, считает Роман Чаплыгин.
Это мнение разделяет Дмитрий Мананников, директор по информационной безопасности компании «СПСР-Экспресс»: «Традиционно при общении с бизнесом безопасники использовали свою терминологию: вирусные атаки, утечка коммерческой тайны, нарушение защиты персональных данных и т. д. Такой подход называется „торговля страхом“, и раньше он неплохо работал».
Дело в том, что у руководителей компаний есть потребности в чувстве защищенности и уверенности, поэтому в спокойные времена они были готовы инвестировать в снижение вероятности компьютерных угроз.
Однако в кризис на «рынке страха» появились новые «игроки» — массовые сокращения, изменения курса валют, банкротства партнеров, санкции и т. д. Эти риски пугают предприятия сильнее, чем старые. Поэтому ИБ-отделам стало гораздо труднее «продавать страх». Но с другой стороны, ИТ все больше проникают в бизнес, и без них уже не обойтись. Поэтому старые риски никуда не делись, ими по-прежнему нужно заниматься.
Роман Чаплыгин предложил искать общие точки взаимодействия между бизнесом и безопасностью, так как и у тех, и других одни и те же цели, например, оптимизация процессов и исключение избыточности, повышение эффективности труда и обучение персонала, фокусировка на наиболее важных и прибыльных задачах.
По его мнению, чтобы сохранить имеющийся статус-кво нужны четыре компонента. Прежде всего это компетентность, так как персонал — это актив компании. И хотя с некоторыми сотрудниками придется расстаться, их можно перевести на контрактную схему. Не стоит бояться и фрилансеров.
Второй компонент — технологичность. «Пора обратить на внимание на то, что на предприятиях есть немало систем, часть из которых имеют дублирующий функционал, а другие используются далеко не полностью. Поэтому можно отказаться от лишнего», — сказал Роман Чаплыгин и посоветовал также обратить внимание на свободное ПО.
Третий компонент — экономичность, а точнее оптимизация затрат. Для этого следует выполнить приоритезацию ИБ-проектов, оставить самые выгодные, от чего-то отказаться, а что-то заморозить. И в четвертых, нужно понять, что волнует бизнес и перевести это на язык ИБ.
Как получить прибыль от ИБ
Сейчас бизнес больше всего волнует сокращение ресурсной базы, в частности, денег. По словам Дмитрия Мананникова, компании на это реагируют, делая «денежную подушку» — стараются меньше тратить и накапливать деньги для маневра. В связи с этим все более важную роль играет финансовый директор, который определяет, до какой точки пойдет оптимизация ресурсов.
Но финансисты оценивают деятельность подразделений в зависимости от отчетности, которая показывает прибыли и убытки, и подразделение ИБ не является исключением. «Нам очень важно представить свою деятельность в показателях, понятных финансистам. Если им, например, сказать, что в прошлом году риски были 9 баллов, теперь стали 6 баллов, то финансисты это не оценят, так как они увидят одни убытки за счет оплаты труда, аренды помещений, использования оборудования и т. д.», — сказал Дмитрий Мананников.
Причина в распространенном заблуждении, что прибыль от ИБ нельзя посчитать и это — только затратное подразделение. Дмитрий Мананников поделился опытом расчета доходов от ИБ.
Прежде всего нельзя искать прибыль внутри своего подразделения, так как в этом случае получается безопасность ради безопасности. Любой ИБ-проект или процесс должен быть востребован внутри компании, другими словами, необходим заказчик, который понимает, сколько стоит та или иная ИБ-функция, и готов за нее платить.
Никто не будет покупать состояние защищенности. Бизнесу важна непрерывность процессов, т. е. безотказная работа ИТ-систем, получение конкурентных преимуществ, а значит сохранение коммерческой тайны и т. д. Бизнес-подразделения покупают то, что понятно для них с точки зрения экономики. Нельзя говорить с ними на языке ИБ, так как они это не поймут.
«У отдела ИБ должен быть полностью просчитан весь процесс, все капитальные и операционные затраты. На основание этих двух показателей, которые вы согласуете со своими бизнес-подразделениями, вы сможете рассчитать экономические параметры своих процессов, — подчеркнул Дмитрий Мананников. — Главные показатели, которые понимают финансисты, это — сколько денег тот или иной проект принесет компании и период окупаемости проекта».
Очень важно продемонстрировать, что ИБ-система может приносить прибыль. Для этого следует разделить инвестиции по ИБ-проекту между несколькими бизнес-подразделениями и с каждым из них подписать соглашение. В таком виде экономика ИБ будет принята финансовым подразделением, уверен Дмитрий Мананников.
Правда он признал, что точно посчитать прибыль от ИБ невозможно, приходится что-то предполагать и прогнозировать, и какая-то неопределенность останется. Но этого не стоит бояться, так как любое подразделение планирует свою деятельность точно так же. Конечно важно, чтобы результат совпадал с тем, что было запланировано, но это уже вопрос компетенции ИБ-отдела.
В качестве примера расчета Дмитрий Мананников привел антивирусную защиту: «У нас антивирус стоит 70 руб. на сотрудника. Эта цифра ложится в конкретные показатели качества — SLA, которые мы утвердили с бизнесом. Например, что за определенный отчетный период из 50 вирусных атак мы сможем локализовать 48, а от остальных будет ущерб, который будет ликвидирован за какое-то время. Если мы достигаем эти показатели, то счета, которые изначально лежали у дирекции по ИБ, переходят к конкретному подразделению, которое пользуется антивирусом. Оплата происходит путем перерасчета. Я свои счета отправляю в затратный центр другого подразделений, потому что сам по себе антивирус на рабочей станции никакой пользы бизнесу не приносит и в моем бизнес-процессе тоже никак не участвует. Почему я должен нести за него затраты?».
Так же обстоят дела с новыми проектами. Для расчета Дмитрий Мананников советует искать внутри компании кейсы, оценки операционных рисков, например, сколько стоит простой того или иного бизнес-подразделения. Эти данные можно взять из статистики за прошлые годы. Потом следует согласовать расчеты с руководителем бизнес-подразделения, который должен эту оценку принять, при этом он ее может увеличить или занизить. Всегда важно договариваться с заказчиком внутри компании, который хочет знать, что ему продает ИБ-отдел, и какой предлагает SLA-показатель по отношению к операционным рискам.
По мнению Дмитрия Мананникова, хотя в кризис компании обычно оптимизируют затраты, это означает не сокращение, а повышение экономической эффективности. Поэтому кризис может дать старт для новых проектов и поиска новых возможностей.
Но поскольку сокращать затраты все же надо, важно сосредоточиться на тех направлениях, на которых можно получить больше выгоды и принести пользу компании. Поэтому с точки зрения бизнеса интересны будут проекты с низкими капитальными затратами, с высокой эффективностью и быстрым сроком окупаемости, а также проекты с разнесенными платежами, чтобы можно было использовать системы раньше, а платить позднее, и проекты, обеспечивающие стратегические цели компании, позволяющие открыть новые возможности, пути развития и т. д.
«Я уверен, что подразделение ИБ может приносить прибыль и показывать экономическую эффективность», — сказал Дмитрий Мананников. Такой подход в корне отличается от привычной «торговли страхом». Руководитель отдела безопасности предлагает ИБ-проекты в общем пуле других проектов, которые реализует компания, и получает на них бюджеты не из-за того, что напугал инвестиционный комитет, а потому что смог показать, что бюджет используется эффективно и приносит деньги компании.
По мнению Дмитрия Мананникова, этот метод подходит не только для крупных компаний: «Небольшая компания не может себе позволить мощные системы защиты, а предложенная методика позволит ей оценить, что нужно в первую очередь, и на чем надо сосредоточиться, чтобы экономить и больше зарабатывать».
Аргументы в пользу ИБ
Дмитрий Устюжанин, руководитель департамента информационной безопасности компании «ВымпелКом», также уверен, что несмотря на уменьшение финансирования и надвигающийся хаос, ИБ-отдел все равно должен продолжать работать. Поэтому надо показать руководству, что раз компания уже инвестировала в ИБ, а специалисты накопили опыт и имеют немало прошлых заслуг, то нужно сохранить хотя бы существующий уровень ИБ.
Следует обратить внимание руководства на то, что в условиях сокращения ключевого персонала, изменения бизнес-процессов могут вырасти риски внутреннего мошенничества. Эти риски следует вычислить и показать, что можно предложить для их предотвращения.
Можно также постараться убедить руководство, что экономия за счет сокращения ИБ несопоставимо меньше, чем ущерб от рисков, которые возрастут многократно, взять хотя бы необходимость удовлетворять требования регуляторов.
К тому же, по мнению участников семинара, нетрудно сократить затраты на ИБ примерно на 30%, так как в подавляющем большинстве компаний они либо не просчитаны, либо завышены. Это происходит из-за того, что бизнес-подразделения предоставляют слишком высокие оценки операционных рисков, стараясь повысить свою роль в компании.