Troškovi informacijske sigurnosti. Izravni i neizravni troškovi informacijske sigurnosti poduzeća. Proračun informacijske sigurnosti: udio raste, "kolač" se smanjuje

Globalna studija rizika sigurnost informacija za poslovanje (Kaspersky Lab Global Corporate IT Security Risks Survey) je godišnja analiza trendova u korporativnoj informacijskoj sigurnosti diljem svijeta. Razmatramo važne aspekte kibernetičke sigurnosti kao što su troškovi informacijske sigurnosti, stvarne vrste prijetnji za različite vrste tvrtki i financijske posljedice suočavanja s tim prijetnjama. Osim toga, učeći od rukovoditelja o načelima proračuna informacijske sigurnosti, možemo vidjeti kako tvrtke u različitim regijama svijeta reagiraju na promjene u okruženju prijetnji.

U 2017. pokušali smo shvatiti vide li tvrtke informacijsku sigurnost kao izvor troškova (nužno zlo na koje moraju trošiti novac) ili je počinju vidjeti kao strateško ulaganje (tj. sredstvo za osiguranje kontinuiteta poslovanja koje pruža značajne prednosti u eri kibernetičkih prijetnji koje se brzo pojavljuju).

Ovo je vrlo važno pitanje, pogotovo jer IT proračun opada u većini regija svijeta.

U Rusiji je, međutim, u 2017. došlo do blagog povećanja prosječnog proračuna koji se izdvaja za sigurnost - 2%. Prosječni budžet za kibernetičku sigurnost u Rusiji bio je oko 15,4 milijuna rubalja.

Ovo izvješće detaljno opisuje vrste prijetnji s kojima se suočavaju tvrtke svih veličina, kao i karakteristične obrasce raspodjele IT troškova.

Opće informacije i metodologija istraživanja

Kaspersky Lab Global Corporate IT Security Risks Survey istraživanje je rukovoditelja koji upravljaju IT uslugama u svojim organizacijama koje se provodi svake godine od 2011. godine.

Najnoviji podaci prikupljeni su u ožujku i travnju 2017. Anketirano je ukupno 5274 ispitanika iz više od 30 zemalja, a u istraživanju su sudjelovale tvrtke svih veličina.

U izvješću se ponekad koriste sljedeće oznake: mala poduzeća - manje od 50 zaposlenih, SMB (srednja i mala poduzeća - od 50 do 250 zaposlenih) i velika poduzeća (tvrtke s više od 250 zaposlenih). Ovo izvješće predstavlja analizu parametara istraživanja koji najviše otkrivaju.

Glavni zaključci:

Tvrtkama svih veličina postaje sve teže nositi se s kibernetičkim prijetnjama, a rastu i troškovi obrane. U Rusiji, u segmentu srednjeg i malog poslovanja, prosječni trošak otklanjanja posljedica samo jednog kibernetičkog incidenta iznosi 1,6 milijuna rubalja, a za segment velikog poslovanja troškovi su 16,1 milijun rubalja.

Udio IT proračuna koji se izdvaja za informacijsku sigurnost raste. Ovo vrijedi za tvrtke bilo koje veličine. Ukupni iznos proračuna, međutim, ostaje nizak, au Rusiji je rast bio samo 2%, tako da su stručnjaci prisiljeni izvršavati svoje zadatke s malo sredstava.

Šteta od jednog incidenta je u porastu, a tvrtke koje ne daju prioritet trošenju na kibernetičku sigurnost uskoro bi se mogle naći u ozbiljnim problemima. Studija je pokazala da u segmentu malih i srednjih poduzeća tvrtke troše oko 300 tisuća rubalja za svaki sigurnosni incident na dodatna plaćanja osoblju, a velike korporacije mogu potrošiti 2,7 milijuna rubalja kako bi smanjile štetu nanesenu marki.

Šteta od sigurnosnih incidenata

Šteta od kibersigurnosnih incidenata neprestano raste: tvrtke se moraju nositi s mnogim njihovim posljedicama, od dodatni posao s javnošću prije zapošljavanja novih zaposlenika. U 2017. godini zabilježen je daljnji rast financijskih gubitaka u slučaju narušavanja integriteta podataka. Ovo bi trebalo promijeniti način na koji pristupamo ovom pitanju: tvrtke će prestati doživljavati trošenje na kibernetičku sigurnost kao nužno zlo i početi ga doživljavati kao investiciju koja će izbjeći značajne financijske gubitke u slučaju napada.

Teške povrede podataka koštaju sve više i više

Tehnički direktori najviše su zabrinuti zbog masovnih napada koji propuštaju milijune zapisa. Takvi su bili napadi na Nacionalnu zdravstvenu službu (NHS) Velike Britanije, Sony ili hakiranje HBO kanala uz otkrivanje povjerljivih podataka vezanih uz seriju Igra prijestolja. U stvarnosti, međutim, takvi veliki incidenti više su iznimka nego pravilo. Većina kibernetičkih napada nije dospjela na naslovnice sve do prošle godine i ostali su posebna izvješća za stručnjake. Naravno, epidemije ransomwarea malo su promijenile situaciju, ali još uvijek korporativni segment poslovanja ne shvaća cijelu sliku.

Relativno mali broj poznatih kibernetičkih napada velikih razmjera ne znači da je šteta od većine napada zanemariva. Dakle, koliko tvrtke u prosjeku potroše na popravak "tipične" povrede podataka? Zamolili smo sudionike studije da procijene koliko je njihova tvrtka potrošila/izgubila kao rezultat bilo kojeg sigurnosnog incidenta koji se dogodio u prošloj godini.

Sve tvrtke s 50 ili više zaposlenika morale su procijeniti nastale troškove u svakoj od sljedećih kategorija:

Za svaku od kategorija izračunali smo prosječne troškove tvrtki koje su se suočile s incidentom informacijske sigurnosti, a zbroj svih kategorija omogućio nam je procjenu iznosa ukupne štete uzrokovane incidentom informacijske sigurnosti.

Rezultati za male i srednje poduzetnike i velike poslovne segmente dani su zasebno u nastavku, budući da se statistike za njih razlikuju u mnogočemu. Na primjer, prosječna šteta za ruska mala i srednja poduzeća iznosi gotovo 1,6 milijuna rubalja, a za velika poduzeća gotovo deset puta veća - 16,1 milijun rubalja. To pokazuje da su kibernetički napadi skupi za tvrtke svih veličina.

Ne čudi da velike tvrtke u prosjeku trpe više gubitaka od narušavanja integriteta podataka, no zanimljivo je analizirati distribuciju štete po kategorijama.

Prošle su godine primanja zaposlenika bila najveći trošak i za mala i srednja poduzeća i za velika poduzeća. No, ove godine slika se promijenila, a glavne stavke rashoda postale su tvrtke različitih veličina. Male i srednje tvrtke i dalje najviše gube na primanjima zaposlenika. No veliki poduzetnici počeli su ulagati u dodatni PR kako bi smanjili štetu ugledu brenda. Osim toga, značajna stavka troška za velika poduzeća bio je trošak poboljšanja tehničke opreme i nabave dodatnog softvera.

Za sve tvrtke porasli su troškovi školovanja zaposlenika. Sigurnosni incidenti često natjeraju tvrtke da shvate važnost povećanja kibernetičke pismenosti i poboljšanja obavještajnih podataka o prijetnjama.

Opsežniji unutarnji resursi velikih poduzeća i osobitosti njihove regulacije uvjetuju različitu ravnotežu između troškova otklanjanja same prijetnje i troškova naknade štete. Povećanje premija osiguranja, pogoršanje kreditnog rejtinga i potkopavanje povjerenja u tvrtku postali su ozbiljna stavka troškova: u prosjeku, nakon svakog incidenta, velike tvrtke na tome gube oko 2,3 milijuna rubalja.

Naše istraživanje pokazuje da je velik dio povećanja potrošnje nastao zbog potrebe da se spriječe – ili barem ublaže – gubici reputacije u obliku kreditnih rezultata, imidža marke i naknada.

Uz sve više i više novih propisa koji se primjenjuju posvuda, prosječna šteta će vjerojatno nastaviti rasti: tvrtke će morati javno prijaviti sve incidente i povećati transparentnost zaštite podataka.

Takvi trendovi tipični su, primjerice, za Japan, gdje se prosječni trošak sanacije sigurnosne povrede više nego udvostručio s 580.000 dolara u 2016. na 1,3 milijuna dolara u 2017. godini. Japanska vlada poduzela je korake za pooštravanje regulatornih zahtjeva zbog porasta prijetnji kibernetičkoj sigurnosti. U 2017. godini na snagu su stupili novi zakoni koji su uzrokovali naglo povećanje troškova.

Međutim, razvoj i provedba zakona zahtijeva vrijeme. S brzim razvojem korporativnog IT krajolika i evolucijom kibernetičkih prijetnji, regulatorni zaostaci postaju veliki problem. Primjerice, novi japanski standardi dogovoreni su još 2015., ali je njihovo stupanje na snagu moralo biti odgođeno za čak dvije godine. Za mnoge je ovo odgađanje bilo vrlo skupo: tijekom posljednje dvije godine brojne su velike japanske tvrtke bile žrtve skupih napada. Jedan primjer je putnička tvrtka JTB Corp., koja se suočila s velikim curenjem informacija 2016. Ukradeni su podaci 8 milijuna klijenata, uključujući imena, adrese i brojeve putovnica.

Ovo je jedan od simptoma globalnog problema: prijetnje se brzo razvijaju, a inertnost vlada i kompanija je prevelika. Još jedan primjer zatezanja vijaka je Zajednička europska regulativa o zaštiti podataka (GDPR) koja stupa na snagu u svibnju 2018. i značajno ograničava prihvatljive načine obrade i pohranjivanja podataka građana EU.

Zakoni se mijenjaju u cijelom svijetu, ali ne mogu pratiti cyber prijetnje – tri vala ransomwarea u Rusiji podsjetila su na to 2017. godine. Stoga bi poduzetnici trebali biti svjesni nesavršenosti zakona i pojačati zaštitu u skladu sa stvarnim okolnostima – ili se unaprijed pomiriti s narušavanjem ugleda i kupaca. Vrijedi se pripremiti za nove regulatorne zahtjeve bez čekanja na rokove. Promjenom politika nakon objavljivanja relevantnih zakona, tvrtke riskiraju ne samo kazne, već i sigurnost vlastitih podataka i podataka klijenata.

Nema tuđe ranjivosti: proboji u zaštitu partnera su skupi

Za zaštitu od curenja podataka vrlo je važno razumjeti koje vektore napada koriste napadači. S druge strane, ove informacije će vam pomoći da shvatite koje vrste napada koštaju najviše.

Istraživanje je pokazalo da su sljedeći incidenti imali najteže financijske posljedice za srednja i mala poduzeća:

  • Incidenti koji utječu na infrastrukturu koja se nalazi na opremi treće strane (17,2 milijuna RUB)
  • Incidenti koji utječu na usluge oblaka trećih strana koje koristi tvrtka (3,6 milijuna rubalja)
  • Nepravilna komunikacija putem Mobilni uredaji(2,5 milijuna rubalja)
  • Fizički gubitak mobilnih uređaja, izlaganje organizacije rizicima (2,1 milijuna rubalja)
  • Incidenti povezani s ne-računalnim uređajima povezanim s internetom (na primjer, industrijski kontrolni sustavi, internet stvari) (1,7 milijuna rubalja)

Situacija s velikim poduzećima je nešto drugačija:

  • Ciljani napadi (75 milijuna rubalja)
  • Incidenti koji utječu na usluge oblaka dobavljača trećih strana (19 milijuna rubalja)
  • Virusi i malware(9 milijuna rubalja)
  • Neodgovarajuća razmjena podataka putem mobilnih uređaja (7,3 milijuna rubalja)
  • Incidenti koji utječu na dobavljače s kojima tvrtke razmjenjuju podatke (4,4 milijuna rubalja)

Ovi podaci pokazuju da vrlo često napadi uzrokovani sigurnosnim problemima kod poslovnih partnera gotovo najviše koštaju tvrtke bilo koje veličine. Ovo se odnosi na obje organizacije koje iznajmljuju dobavljači treće strane oblak ili drugu infrastrukturu, kao i tvrtke koje dijele svoje podatke s partnerima.

Nakon što drugoj tvrtki date pristup svojim podacima ili infrastrukturi, njihove slabosti postaju vaš problem. Međutim, u prošlosti smo vidjeli da većina organizacija tome ne pridaje dovoljnu važnost. Stoga ne čudi što upravo ovakvi incidenti uzrokuju najveće troškove: svaki će vam boksač reći da obično neočekivani udarac šalje nokaut.

Također odmah treba spomenuti još jedan vektor koji je neočekivano ušao u prvih 5 prijetnji za srednje tvrtke: napadi povezani s povezanim uređajima koji nisu računala. Danas promet Interneta stvari (IoT) raste mnogo brže od prometa koji generira bilo koja druga tehnologija. Ovo je još jedan primjer kako novi razvoji povećavaju broj potencijalnih ranjivosti u poslovnoj infrastrukturi. Konkretno, raširena upotreba tvornički zadanih lozinki i slaba sigurnost na IoT uređajima učinili su ih idealnim ulovom za botnete tipa Mirai, zlonamjerni softver koji može povezati velik broj ranjivih uređaja u jedinstvena mreža za provođenje velikih DDoS napada na odabrane mete.

Iznos gubitaka od ciljanih napada u segmentu velikog poslovanja je značajan - ovoj se prijetnji iznimno teško suprotstaviti. Tijekom proteklih nekoliko godina postao je poznat niz visokoprofiliranih ciljanih napada na banke, što također pojačava ovu razočaravajuću statistiku.

Ulaganje u smanjenje rizika

Kao što je pokazalo naše istraživanje, prijetnje informacijskoj sigurnosti postaju sve ozbiljnije. U takvim uvjetima stanje samih proračuna za informacijsku sigurnost ne može a da ne bude zabrinjavajuće. Analizirajući njihove promjene, možemo odlučiti gledaju li organizacije na svoju sigurnost kao na izvor troškova ili se ravnoteža postupno mijenja i počinju je doživljavati kao priliku za ulaganje koja pruža stvarnu konkurentsku prednost.

Veličina proračuna pokazuje odnos tvrtke prema IT sigurnosti, važnost uloge sigurnosnog sustava sa stajališta menadžmenta te spremnost organizacije na preuzimanje rizika.

Proračun informacijske sigurnosti: udio raste, "kolač" se smanjuje

Ove godine vidimo da su uštede i outsourcing doveli do smanjenja IT proračuna. Unatoč tome (a možda i zbog toga), udio informacijske sigurnosti u tim IT proračunima je porastao. U Rusiji se pozitivan trend može vidjeti u tvrtkama svih veličina. Čak i među mikropoduzećima s nedostatkom resursa, udio IT proračuna posvećenih informacijskoj sigurnosti je porastao, iako za djelić postotka.

To znači da tvrtke konačno počinju shvaćati važnost informacijske sigurnosti. Možda to pokazuje da su mnogi informacijsku sigurnost počeli smatrati potencijalno vrijednom investicijom, a ne skupom.

Primjećujemo da su IT proračuni u svijetu znatno smanjeni. Dok informacijska sigurnost dobiva sve veći dio kolača, sam kolač se smanjuje. Trend je zabrinjavajući, pogotovo ako se uzme u obzir koliki su ulozi u ovom području i koliko je svaki napad skup.

U Rusiji je prosječni proračun za informacijsku sigurnost za velika poduzeća u 2017. dosegao 400 milijuna rubalja, a za mala i srednja poduzeća – 4,6 milijuna rubalja.

Uzorak: 694 ispitanika u Rusiji sposobnih procijeniti proračun

Nije iznenađujuće da organizacije javnih službi (uključujući obrambeni sektor) i financijske institucije diljem svijeta prijavljuju najveću potrošnju na kibernetičku sigurnost ove godine. Poduzeća u oba ova sektora potrošila su u prosjeku više od 5 milijuna dolara na sigurnost. Vrijedno je napomenuti da su IT i telekomunikacijski sektor, kao i energetske kompanije, također potrošili više od prosjeka na informacijsku sigurnost, iako se pokazalo da su njihovi proračuni bliži 3 milijuna dolara, a ne 5.

Međutim, ako ukupne troškove podijelimo s brojem zaposlenih, onda državne organizacije dolaze na dno liste. U prosjeku IT i telekomunikacijski sektor troše 1258 dolara na informacijsku sigurnost po glavi stanovnika, dok energetski sektor troši 1344 dolara, a financijske tvrtke 1436 dolara. Za usporedbu, vladine agencije izdvajaju samo 959 dolara po osobi za informacijsku sigurnost.

I u IT-u, iu telekomunikacijama te u energetskoj industriji, visoki troškovi po zaposleniku najvjerojatnije su uzrokovani potrebom zaštite intelektualno vlasništvo. U slučaju organizacija za opskrbu električnom energijom, visoki troškovi zaštite mogu biti uzrokovani i činjenicom da su te tvrtke sve ranjivije na ciljane napade koje organiziraju zlonamjerne skupine.

U ovoj industriji ulaganje u informacijsku sigurnost postaje ključ opstanka jer osigurava kontinuitet poslovanja – iznimno važan faktor za opskrbu energijom. Posljedice uspješnog kibernetičkog napada u ovoj su industriji posebno teške, stoga ulaganje u informacijsku sigurnost ima vrlo opipljive koristi.

U Rusiji se IT i telekomunikacije, kao i industrijska poduzeća, prvenstveno ulažu u informacijsku sigurnost - prosječni troškovi za prve dosežu 300 milijuna rubalja, za druge - 80 milijuna rubalja. Industrijske i proizvodne tvrtke imaju tendenciju da se oslanjaju na automatizirani sustavi upravljanje (ICS) kako bi se osigurao kontinuitet proizvodnih procesa. U isto vrijeme, napadi na ICS su u porastu: u proteklih 12 mjeseci njihov broj je porastao za 5%.

Razlozi ulaganja u informacijsku sigurnost

Raspršenost ulaganja u informacijsku sigurnost između sektora vrlo je velika. Stoga je posebno važno otkriti razloge zbog kojih tvrtke troše ograničena sredstva na informacijsku sigurnost. Bez poznavanja motiva nemoguće je razumjeti smatra li tvrtka novac potrošen na sigurnost IT infrastrukture bačenim ili ga smatra isplativom investicijom.

U 2017. znatno je više tvrtki diljem svijeta priznalo da će ulagati u kibernetičku sigurnost bez obzira na očekivani povrat ulaganja: 63% u usporedbi s 56% u 2016. To pokazuje da sve više tvrtki shvaća važnost informacijske sigurnosti.

Glavni razlozi povećanja proračuna za informacijsku sigurnost, Rusija

Ne očekuju sve tvrtke brzi povrat ulaganja, no mnoge globalne tvrtke navele su pritisak ključnih dionika, uključujući top menadžment (32%), kao razlog za povećanje proračuna za informacijsku sigurnost. To pokazuje da tvrtke počinju uviđati stratešku prednost u rastu troškova informacijske sigurnosti: sigurnosne mjere omogućuju ne samo da se zaštite u slučaju napada, već i da pokažu klijentima da su njihovi podaci u dobrim rukama, a također osigurati kontinuitet poslovanja, za što je zainteresirana uprava poduzeća.

Najpopularnijim razlogom poskupljenja informacijske sigurnosti većina domaćih tvrtki navela je potrebu zaštite sve složenije informatičke infrastrukture (46%), a potrebu za poboljšanjem vještina stručnjaka za informacijsku sigurnost navelo je njih 30%. Ove brojke ukazuju na potrebu povećanja razine stručnosti kojom tvrtka raspolaže razvojem vještina vlastitih zaposlenika. Doista, i mala i srednja poduzeća i velika poduzeća sve više ulažu u podršku svojoj internoj radnoj snazi ​​u borbi protiv kibernetičkih prijetnji.

Istovremeno se smanjila potreba za povećanjem troškova informacijske sigurnosti zbog novih poslovnih operacija ili širenja tvrtke među ruskim tvrtkama: s 36% prošle godine na 30% u 2017. Možda to odražava makroekonomske čimbenike s kojima su se naše tvrtke nedavno morale suočiti.

Zaključak

Masovni napadi kao što su WannaCry, exPetr i BadRabbit prouzročili su golemu štetu u 2017. Velika je i šteta od ciljanih napada, posebice na ruske banke. Sve ovo pokazuje da se krajolik cyber prijetnji brzo i neizbježno mijenja. Tvrtke moraju prilagoditi svoju obranu ili ostati bez posla.

Sve značajniji čimbenik u donošenju poslovnih odluka je razlika između troškova pripreme za odbijanje kibernetičkih napada i troškova koje snosi žrtva.

Izvješće pokazuje da čak i relativno male povrede podataka koje ne zanimaju širu javnost mogu biti vrlo skupe za tvrtku i ozbiljno utjecati na njezin rad. Drugi razlog povećanja troškova u slučaju sigurnosnih incidenata su promjene u zakonodavstvu diljem svijeta. Tvrtke se moraju ili prilagoditi ili riskirati nepoštivanje i moguće hakiranje.

U tim okolnostima postaje posebno važno razmotriti sve posljedice i troškove. Možda zato sve više tvrtki iz različitih zemalja povećava udio informacijske sigurnosti u svojim IT proračunima. U 2017. znatno je više tvrtki diljem svijeta priznalo da će ulagati u kibernetičku sigurnost, bez obzira na očekivani povrat ulaganja: 63% u usporedbi s 56% u 2016.

Najvjerojatnije će zbog porasta troškova kibersigurnosnih incidenata upravo one organizacije koje IT troškove smatraju ulaganjem u sigurnost i spremne su na njih potrošiti znatna sredstva biti bolje pripremljene za moguće nevolje. Kakva je situacija u vašoj tvrtki?

Napomena: Predavanje govori o zadaćama i metodama ekonomske analize izvedivosti provedbe mjera za osiguranje informacijske sigurnosti u određenim uvjetima.

Metodološke osnove ekonomije informacijske sigurnosti

Upravljanje informacijskom sigurnošću, kao i upravljanje u mnogim drugim područjima djelovanja, uključuje periodično donošenje različitih upravljačkih odluka, koje se u pravilu sastoje u izboru određenih alternativa (odabiru jedne od mogućih organizacijskih shema ili jednog od dostupnih tehničkih rješenja) ili određivanju određene parametre pojedinih organizacijskih i/ili tehnički sustavi i podsustava. Jedan od mogućih pristupa izboru alternativa u situaciji prihvaćanja odluka uprave je tzv. „voljni“ pristup, kada se odluka iz ovog ili onog razloga donosi intuitivno, a formalno potkrijepljena uzročno-posljedična veza između određenih početnih premisa i konkretne odluke nije moguće uspostaviti. Očito je da je alternativa "voljnom" pristupu donošenje odluka temeljeno na određenim formalnim procedurama i sekvencijalna analiza.

Temelj ove analize i naknadnih odlučivanje je ekonomska analiza, koja uključuje proučavanje svih (ili barem glavnih) čimbenika pod čijim se utjecajem odvija razvoj analiziranih sustava, obrazaca njihova ponašanja, dinamiku promjena, kao i korištenje univerzalnog novčana vrijednost. Upravo na temelju adekvatno izgrađenih ekonomskih modela i pomoću njih provedenih ekonomskih analiza treba donositi odluke kako o općoj strategiji razvoja tako i o pojedinačnim organizacijsko-tehničkim mjerama, kako na razini država, regija i grana, tako i na razini pojedinih poduzeća, odjela i informacijskih sustava.

Istodobno, kao što ekonomija svake industrije ima svoje karakteristike, tako se i ekonomija informacijske sigurnosti, promatrana kao relativno neovisna disciplina, s jedne strane temelji na nekim općim ekonomskim zakonima i metodama analize, a na s druge strane, potrebno je individualno razumijevanje, razvoj specifičnih pristupa analizi, prikupljanje statističkih podataka specifičnih za ovo područje, formiranje stabilnih predodžbi o faktorima pod čijim utjecajem Informacijski sustavi i alati za informacijsku sigurnost.

Složenost zadataka ekonomske analize u gotovo svim područjima djelovanja u pravilu je uzrokovana činjenicom da se mnogi ključni parametri ekonomskih modela ne mogu pouzdano procijeniti, a oni su probabilističke prirode (kao što je npr. pokazatelji potražnje potrošača). Analiza je također komplicirana činjenicom da čak i male fluktuacije (ispravak procjena) takvih parametara mogu ozbiljno utjecati na vrijednosti funkcije cilja i, sukladno tome, odluke donesene na temelju rezultata analize. Dakle, kako bi se osigurala najveća moguća pouzdanost izračuna u procesu provođenja ekonomske analize i odlučivanje potrebno je organizirati niz radova na prikupljanju inicijalnih informacija, izračunavanju prediktivnih vrijednosti, intervjuiranju stručnjaka različitih područja i obradi svih podataka. Istodobno, u procesu provođenja takve analize potrebno je obratiti pozornost na Posebna pažnja srednje odluke koje se tiču ​​procjena određenih parametara uključenih u opći model. Također je potrebno uzeti u obzir činjenicu da se sama takva analiza može pokazati kao prilično resursno intenzivan postupak i zahtijevati uključivanje dodatnih stručnjaka i konzultanata trećih strana, kao i napore različitih stručnjaka (stručnjaka) rad u samom poduzeću - svi ti troškovi u konačnici moraju biti opravdani.

Posebna složenost ekonomske analize u takvom području kao što je Sigurnost informacija, određuju takvi specifični čimbenici kao što su:

  • ubrzan razvoj informacijskih tehnologija i metoda koje se koriste u ovom području (kako sredstava i metoda zaštite, tako i sredstava i metoda napada);
  • nemogućnost pouzdanog predviđanja svih mogućih scenarija napada na informacijske sustave i obrasce ponašanja napadača;
  • nemogućnost davanja pouzdane, dovoljno točne procjene troškova informacijskih resursa, kao i procjene posljedica različitih kršenja u novčanom smislu.

To zahtijeva dodatne napore u organizaciji procesa ekonomske analize, a također često dovodi do činjenice da se mnoge donesene odluke vezane uz osiguranje informacijske sigurnosti mogu pokazati neadekvatnima. Primjeri situacija u kojima nerazvijenost metodologije ekonomske analize negativno utječe na stanje informacijske sigurnosti mogu biti slučajevi kada:

  • menadžment poduzeća može donijeti neadekvatne odluke u vezi s ulaganjima u alate za informacijsku sigurnost, što zauzvrat može dovesti do gubitaka koji su se mogli izbjeći;
  • Uprava poduzeća može donositi određene odluke u vezi s organizacijom poslovnih procesa i procesa obrade informacija u poduzeću, temeljene na želji za smanjenjem tekućih troškova i smanjenjem opterećenja osoblja, ne uzimajući u obzir ekonomske posljedice nedovoljne sigurnosti informacijski resursi;
  • osiguranik i osiguravatelj ne smiju sklopiti ugovor o osiguranju informacijskog rizika ili postaviti neadekvatne parametre za takav ugovor iz razloga što ne postoje modeli i metode za ocjenu ekonomskih parametara transakcije.

Analiza ulaganja u alate za informacijsku sigurnost

Poduzeća se u svom tekućem poslovanju stalno suočavaju s određenim promjenama: usavršavaju se poslovni procesi, mijenjaju se tržišni uvjeti i tržišta potrošenih materijalnih resursa i usluga, pojavljuju se nove tehnologije, konkurenti i druge strane mijenjaju svoje ponašanje, mijenja se zakonodavstvo i državna politika itd. d. U takvim uvjetima menadžeri (uključujući i one odgovorne za osiguranje informacijske sigurnosti) moraju stalno analizirati tekuće promjene i prilagođavati svoj rad situaciji koja se stalno mijenja. Specifični oblici u kojima se očituje reakcija lidera mogu biti različiti. To može biti promjena marketinške politike, reorganizacija poslovnih procesa, promjena tehnologije, promjena proizvoda, spajanje s konkurencijom ili njihovo pripajanje itd. Međutim, uza svu raznolikost mogućih modela ponašanja u promjenjivom okruženju, gotovo sve njih objedinjuje jedan važan metodološki element koji im je zajednički: u većini slučajeva, reakcija poslovanja na nove prijetnje i nove prilike uključuje implementaciju novih , manje ili više dugoročna i resursno intenzivna ulaganja (investicije) u određene organizacijske i/ili tehničke mjere koje, s jedne strane, uključuju utrošak resursa (novca), a s druge strane, pružaju mogućnost dobivanja nove koristi, izražene povećanjem prihoda ili smanjenjem nekih tekućih troškova.

Dakle, u situaciji kada je potrebno provesti neke nove organizacijske ili tehničke mjere (implementirati projekt), glavni zadatak odgovornih za učinkovitu organizaciju informacijske sigurnosti je jasno korelirati troškove koji će morati nastati u povezanosti s provedbom ovog događaja (i jednokratne i stalne tekuće), te dodatni (novi) novčani tokovi koji će biti primljeni. U ovom slučaju, novčani tok može se shvatiti kao ušteda troškova, sprječavanje gubitka, kao i dodatni prihod za poduzeće.

Kao glavni pokazatelj koji odražava ovaj omjer, u gospodarskoj praksi uobičajeno je koristiti funkciju povrata ulaganja - Return on Investment, .

(14.1)

Funkcija diskontiranja koristi se u analizi investicijskih ulaganja kako bi se uzeo u obzir utjecaj faktora vremena i sveli viševremenski troškovi na jedan trenutak (obično trenutak početka projekta). Diskontna stopa u ovom slučaju omogućuje vam da uzmete u obzir promjenu vrijednosti novca tijekom vremena.

Model povrata ulaganja (14.1) jasno pokazuje dva glavna zadatka koja je potrebno riješiti pri analizi bilo kojeg investicijskog projekta, a posebno projekta informacijske sigurnosti: izračun troškova povezanih s projektom i izračun dodatnog novčanog toka. Ako je metodologija za izračun ukupnog troška () tijekom proteklih 10-15 godina u cjelini sasvim u potpunosti formirana (u obliku koncepta "Ukupnog troška vlasništva", TCO - Total Cost of Ownership, TCO) i se aktivno koristi u praksi u odnosu na različite vrste informacijskih sustava i elemenata informacijske infrastrukture, zatim izračun dodatnog novčanog toka () koji proizlazi iz ulaganja u alati za informacijsku sigurnost obično uzrokuje ozbiljne probleme. Jedan od najperspektivnijih pristupa izračunavanju ovog pokazatelja je tehnika koja se temelji na kvantitativnoj (monetarnoj) procjeni rizika od oštećenja informacijskih resursa i procjeni smanjenja tih rizika povezanih s provedbom dodatnih mjera zaštite informacija.

Dakle, općenito, sastav metodologije za analizu izvedivosti ulaganja u projekte usmjerene na osiguranje informacijske sigurnosti shematski je prikazan na sl. 14.1.

Analiza troškova vezanih uz provedbu projekta, iako relativno jednostavniji zadatak, ipak može izazvati određene poteškoće. Kao i za mnoge druge projekte iz područja informacijske tehnologije, preporučljivo je provesti analizu troškova za implementaciju projekata iz područja informacijske sigurnosti, temeljenu na poznatoj temeljnoj metodologiji "Total Cost of Ownership" - TCO. (Total Cost of Ownership - TCO), uvela je konzultantska tvrtka "Gartner Group" 1987. godine primijenjeno na osobnih računala. Općenito, ova je metodologija usmjerena na osiguranje cjelovitosti analize troškova (izravnih i neizravnih) povezanih s informacijska tehnologija i informacijskih sustava, u situacijama kada je potrebno procijeniti ekonomske posljedice uvođenja i korištenja takvih sustava: pri ocjeni učinkovitosti ulaganja, usporedbi alternativnih tehnologija, izradi kapitalnih i tekućih proračuna i sl.

Općenito, ukupna vrijednost CER-a uključuje:

  • troškovi dizajna informacijski sistem;
  • trošak nabave hardvera i softverski alati: Računalni inženjering, mrežni hardver, softver (uzimajući u obzir korištene metode licenciranja), kao i plaćanja najma;
  • troškovi razvoja softver i njegovu dokumentaciju, kao i ispraviti greške u njoj i doraditi je tijekom razdoblja rada;
  • troškovi tekuće administracije informacijskih sustava (uključujući plaćanje usluga organizacija trećih strana kojima su te funkcije povjerene);
  • troškovi tehničke podrške i servisa;
  • trošak potrošnog materijala;
  • izdaci za telekomunikacijske usluge (pristup internetu, namjenski i dial-up komunikacijski kanali i dr.);
  • trošak obuke korisnika, te djelatnika informatičkih odjela i odjela informacijske sigurnosti;
  • neizravni troškovi - troškovi poduzeća povezani s gubitkom vremena korisnika u slučaju kvarova u radu informacijskih sustava.

Također, u izračun troškova povećanja razine informacijske sigurnosti potrebno je uključiti troškove reorganizacije poslovnih procesa i informacijski rad s osobljem: plaćanje usluga konzultanata za poslovnu i informacijsku sigurnost, troškovi izrade organizacijske dokumentacije, troškovi provođenja revizije informacijske sigurnosti i sl. Osim toga, pri analizi troškova također je potrebno uzeti u obzir činjenicu da u većini slučajeva uvođenje alata za informacijsku sigurnost podrazumijeva pojavu dodatnih odgovornosti za osoblje poduzeća i potrebu za provođenjem dodatnih operacija pri radu s informacijski sustavi. To uzrokuje određeni pad produktivnosti zaposlenika poduzeća i, sukladno tome, može uzrokovati dodatne troškove.

Kako opravdati troškove informacijske sigurnosti?

Ponovno tiskano uz ljubazno dopuštenje OJSC InfoTeKS Internet Trust
Izvorni tekst je ovdje.

Razine zrelosti poduzeća

Gartner Group identificira 4 razine zrelosti tvrtke u smislu informacijske sigurnosti (IS):

  • 0 razina:
    • U poduzeću se nitko ne bavi informacijskom sigurnošću, uprava poduzeća ne shvaća važnost problema informacijske sigurnosti;
    • Nema financiranja;
    • IS se provodi redovnim putem operativni sustavi, DBMS i aplikacije (zaštita lozinkom, kontrola pristupa resursima i uslugama).
  • 1 razina:
    • Informacijsku sigurnost menadžment promatra kao čisto "tehnički" problem, ne postoji jedinstveni program (koncept, politika) razvoja sustava informacijske sigurnosti (ISIS) poduzeća;
    • Financiranje se provodi u okviru općeg IT proračuna;
    • IS se provodi pomoću nulte razine + sredstva Rezervni primjerak, antivirusni alati, vatrozidi, VPN organizacijski alati (tradicionalni sigurnosni alati).
  • 2 razina:
    • Uprava smatra IS skupom organizacijskih i tehničkih mjera, postoji razumijevanje važnosti IS-a za proizvodne procese, postoji program za razvoj Sustava održavanja IS-a poduzeća koji je odobrila uprava;
    • IS implementiraju alati prve razine + jaki alati za autentifikaciju, alati za analizu e-pošte i web sadržaja, IDS (sustavi za otkrivanje upada), alati za sigurnosnu analizu, SSO (alati za jednu autentifikaciju), PKI (infrastruktura javnih ključeva) i organizacijske mjere (interne i vanjska revizija, analiza rizika, politika informacijske sigurnosti, propisi, procedure, propisi i smjernice).
  • 3 razina:
    • IS je dio korporativne kulture, CISA (senior IS officer) je imenovan;
    • Financiranje se provodi u okviru posebnog proračuna;
    • IS se implementira pomoću sustava upravljanja drugom razinom + IS-om, CSIRT (IS breach incident response team), SLA (service level agreement).

Prema Gartner grupi (podaci za 2001.) postotak poduzeća u odnosu na opisane 4 razine je sljedeći:
0 razina - 30%,
Razina 1 - 55%,
Razina 2 - 10%,
Razina 3 - 5%.

Prognoza Gartner grupe za 2005. je sljedeća:
Razina 0 - 20%,
Razina 1 - 35%,
Razina 2 - 30%,
Razina 3 - 15%.

Statistike pokazuju da je većina tvrtki (55%) sada implementiralo minimalno potreban skup tradicionalnih alata za tehničku zaštitu (razina 1).

Prilikom uvođenja raznih tehnologija i sredstava zaštite često se javljaju pitanja. Što prvo implementirati, sustav za detekciju upada ili PKI infrastrukturu? Što će biti učinkovitije? Steven Ross, direktor Deloitte&Touche, nudi sljedeći pristup za ocjenu učinkovitosti pojedinih mjera i sredstava za osiguranje informacijske sigurnosti.

Na temelju gornjeg grafikona vidljivo je da su najskuplji i najmanje učinkoviti specijalizirani alati (vlastiti ili prilagođeni razvoj).

Najskuplji, ali ujedno i najučinkovitiji su zaštitni alati kategorije 4 (razina 2 i 3 prema Gartner Group). Za realizaciju sredstava ove kategorije potrebno je koristiti postupak analize rizika. Analiza rizika u ovom će slučaju omogućiti jamčenje primjerenosti troškova implementacije postojećim prijetnjama kršenja IS-a.

Najjeftinije, ali s visokom razinom učinkovitosti su organizacijske mjere (interna i eksterna revizija, analiza rizika, politika informacijske sigurnosti, plan kontinuiteta poslovanja, propisi, procedure, propisi i smjernice).

Uvođenje dodatnih sredstava zaštite (prijelaz na 2. i 3. stupanj) zahtijeva značajna financijska ulaganja, a time i opravdanost. Nepostojanje jedinstvenog programa razvoja sustava održavanja IS-a koji je odobrio i potpisao menadžment pogoršava problem opravdanosti ulaganja u sigurnost.

Analiza rizika

Kao takvo opravdanje mogu poslužiti rezultati analize rizika i prikupljene statistike o incidentima.Mehanizmi provedbe analize rizika i prikupljanja statistike trebaju biti propisani politikom informacijske sigurnosti poduzeća.

Proces analize rizika sastoji se od 6 uzastopnih koraka:

1. Identifikacija i klasifikacija objekata zaštite (sredstva poduzeća koja se štite);

3. Izgradnja modela napadača;

4. Identifikacija, klasifikacija i analiza prijetnji i ranjivosti;

5. Procjena rizika;

6. Izbor organizacijskih mjera i tehničkih sredstava zaštite.

Na pozornici identifikaciju i klasifikaciju objekata zaštite Potrebno je provesti inventuru resursa poduzeća u sljedećim područjima:

  • Informacijski izvori (povjerljive i kritične informacije tvrtke);
  • Softverski resursi (OS, DBMS, kritične aplikacije, kao što je ERP);
  • Fizički resursi (poslužitelji, radne stanice, mrežna i telekomunikacijska oprema);
  • Resursi usluge ( E-mail, www itd.).

kategorizacija je odrediti razinu povjerljivosti i kritičnosti izvora. Povjerljivost se odnosi na razinu tajnosti informacija koje se pohranjuju, obrađuju i prenose pomoću izvora. Pod kritičnošću se podrazumijeva stupanj utjecaja resursa na učinkovitost proizvodnih procesa poduzeća (na primjer, u slučaju zastoja telekomunikacijskih resursa, tvrtka pružatelj može bankrotirati). Dodjeljivanjem određenih kvalitativnih vrijednosti parametrima povjerljivosti i kritičnosti moguće je odrediti razinu značaja svakog resursa u smislu njegovog sudjelovanja u proizvodnim procesima tvrtke.

Kako biste odredili značaj resursa tvrtke u smislu informacijske sigurnosti, možete dobiti sljedeću tablicu:

Na primjer, datoteke s podacima o visini plaća zaposlenika tvrtke imaju vrijednost "strogo povjerljivo" (parametar povjerljivosti) i vrijednost "beznačajno" (parametar kritičnosti). Zamjenom ovih vrijednosti u tablici, možete dobiti integralni pokazatelj značaja ovog resursa. Različite opcije za metode kategorizacije dane su u međunarodnoj normi ISO TR 13335.

Izgradnja modela napadača je proces klasifikacije potencijalnih počinitelja prema sljedećim parametrima:

  • Vrsta napadača (konkurent, klijent, programer, zaposlenik tvrtke itd.);
  • Položaj napadača u odnosu na objekte zaštite (unutarnji, vanjski);
  • Razina znanja o objektima zaštite i okoliša (visoka, srednja, niska);
  • Razina mogućnosti pristupa zaštićenim objektima (maksimalna, prosječna, minimalna);
  • Vrijeme djelovanja (konstantno, u određenim vremenskim intervalima);
  • Mjesto radnje (namjeravano mjesto napadača u trenutku napada).

Dodjeljivanjem kvalitativnih vrijednosti navedenim parametrima modela napadača moguće je odrediti potencijal napadača (integralna karakteristika sposobnosti napadača da realizira prijetnje).

Identifikacija, klasifikacija i analiza prijetnji i ranjivosti omogućuju vam da odredite načine provedbe napada na zaštićene objekte. Ranjivosti su svojstva resursa ili njegovog okruženja koje koristi napadač za implementaciju prijetnji. Popis ranjivosti softverskih resursa može se pronaći na Internetu.

Prijetnje su klasificirane prema sljedećim kriterijima:

  • naziv prijetnje;
  • vrsta napadača;
  • sredstva provedbe;
  • korištene ranjivosti;
  • poduzete radnje;
  • učestalost implementacije.

Glavni parametar je učestalost implementacije prijetnje. Ovisi o vrijednostima parametara "potencijal napadača" i "sigurnost resursa". Vrijednost parametra "sigurnost resursa" utvrđuje se stručnim procjenama. Pri određivanju vrijednosti parametra uzimaju se u obzir subjektivni parametri napadača: motivacija za provedbu prijetnje i statistika pokušaja provedbe prijetnji. ove vrste(ako je dostupno). Rezultat faze analize prijetnji i ranjivosti je procjena parametra "učestalost implementacije" za svaku od prijetnji.

Na pozornici procjena rizika utvrđuje se potencijalna šteta od prijetnji informacijskoj sigurnosti za svaki resurs ili skupinu resursa.

Kvalitativni pokazatelj oštećenja ovisi o dva parametra:

  • Značaj resursa;
  • Učestalost prijetnje ovom resursu.

Na temelju dobivenih procjena šteta razumno se odabiru odgovarajuće organizacijske mjere i tehnička sredstva zaštite.

Akumulacija statistike incidenata

Jedina slaba točka u predloženoj metodologiji procjene rizika i sukladno tome obrazloženja potrebe uvođenja novih ili promjene postojećih tehnologija zaštite je definiranje parametra „učestalosti realizacije prijetnji“. Jedini način za dobivanje objektivnih vrijednosti ovog parametra je prikupljanje statistike o incidentima. Akumulirana statistika, na primjer, za godinu dana omogućit će određivanje broja implementacija prijetnji (određene vrste) po resursu (određene vrste). Svrsishodno je raditi na prikupljanju statistike u sklopu postupka rješavanja incidenta.

Oni ulažu u različite računalne sigurnosne tehnologije, od platformi za isplatu nagrada za otkrivanje ranjivosti softvera do dijagnostike i automatiziranog testiranja softvera. No, najviše ih privlače tehnologije autentifikacije i upravljanja podacima o identitetu - oko 900 milijuna dolara uloženo je u startupe koji se bave tim tehnologijama krajem 2019.

Ulaganje u startupe za obrazovanje o kibersigurnosti dosegnulo je 418 milijuna USD u 2019., uz pomoć KnowBe4, koji je prikupio 300 milijuna USD. Startup nudi platformu za simulaciju phishing napada i niz programa obuke.

Oko 412 milijuna dolara u 2019. godini primile su tvrtke uključene u sigurnost interneta stvari. U ovoj kategoriji po ulaganjima prednjači SentinelOne, koji je 2019. dobio 120 milijuna dolara za razvoj tehnologija zaštite krajnjih točaka.

Istodobno, analitičari Metacurityja daju i druge podatke koji karakteriziraju stanje na tržištu financiranja rizičnog kapitala u sektoru informacijske sigurnosti. U 2019. obujam ulaganja dosegao je 6,57 milijardi dolara, u odnosu na 3,88 milijardi dolara u 2018. Porastao je i broj transakcija – sa 133 na 219. Pritom je prosječni obujam ulaganja po jednoj transakciji ostao praktički nepromijenjen te je na kraju 2019. godine iznosio 29,2 milijuna, izračunali su u Metacurityju.

2018

Rast od 9% na 37 milijardi dolara - Canalys

U 2018. godini prodaja opreme, softvera i usluga namijenjenih informacijskoj sigurnosti (IS) dosegla je 37 milijardi dolara, što je povećanje od 9% u odnosu na pokazatelj godišnjeg roka (34 milijarde dolara). Takve su podatke analitičari Canalysa objavili 28. ožujka 2019.

Dok mnoge tvrtke kao prioritet daju zaštitu svoje imovine, podataka, krajnjih točaka, mreža, zaposlenika i kupaca, kibernetička sigurnost iznosila je samo 2% ukupne IT potrošnje u 2018., rekli su. No, pojavljuje se sve više novih prijetnji, sve su složenije i učestalije, što proizvođačima rješenja za informacijsku sigurnost pruža nove prilike za rast. Očekuje se da će ukupna potrošnja na kibernetičku sigurnost premašiti 42 milijarde dolara u 2020. godini.

Analitičar Canalysa Matthew Ball smatra da će se prijelaz na nove modele implementacije informacijske sigurnosti ubrzati. Korisnici mijenjaju prirodu svojih IT proračuna s javnim uslugama u oblaku i fleksibilnim uslugama temeljenim na pretplati.

Oko 82% projekata implementacije informacijske sigurnosti u 2018. uključivalo je korištenje tradicionalnog hardvera i softvera. U preostalih 18% slučajeva korišteni su virtualizacija, javni oblaci i usluge informacijske sigurnosti.

Do 2020. godine udio tradicionalnih modela implementacije sustava informacijske sigurnosti smanjit će se na 70%, budući da nova rješenja postaju sve popularnija na tržištu.

Dobavljači će morati stvoriti širok raspon poslovnih modela koji će podržati ovaj prijelaz budući da su različiti proizvodi prilagođeni različitim vrstama postavljanja. Glavni izazov za mnoge danas je učiniti nove modele više usredotočenim na pridruženi kanal i integrirati ih s postojećima. affiliate programi, posebno kod transakcija klijenata putem platformi u oblaku. Neka tržišta u oblaku već su odgovorila na to, dopuštajući partnerima ponudu pojedinačne ponude i određivanje cijena izravno kupcima praćenjem registracija ponuda i popusta,” rekao je Matthew Ball u objavi 29. ožujka 2019.

Prema analitičaru Canalysa Ketakiju Boradeu, vodeći dobavljači tehnologije kibernetičke sigurnosti uveli su nove modele distribucije proizvoda koji uključuju prelazak tvrtki na shemu pretplate i povećanje operacija u infrastrukturi oblaka.


Tržište kibernetičke sigurnosti ostalo je vrlo dinamično, s rekordnom aktivnošću i obujmom poslova kao odgovor na sve veće regulatorne i tehničke zahtjeve, kao i kontinuirani sveprisutni rizik od povrede podataka, rekao je suosnivač i izvršni partner Momentum Cyber ​​Eric McAlpine. “Vjerujemo da će ovaj zamah nastaviti gurati sektor na novi teritorij dok se nastoji suprotstaviti nadolazećim prijetnjama i konsolidirati se u uvjetima zamora dobavljača i sve većeg nedostatka vještina.

2017

Troškovi kibernetičke sigurnosti premašili su 100 milijardi dolara

U 2017. globalni troškovi informacijske sigurnosti (IS) - proizvoda i usluga - dosegnuli su 101,5 milijardi dolara, objavila je istraživačka tvrtka Gartner sredinom kolovoza 2018. Krajem 2017. stručnjaci su ovo tržište procijenili na 89,13 milijardi dolara, a razlog značajnog povećanja procjene nije naveden.

CIO-ovi su predani pomaganju svojim organizacijama da sigurno koriste tehnološke platforme kako bi postale konkurentnije i potaknule rast poslovanja, rekao je Siddharth Deshpande, direktor istraživanja u Gartneru. - Stalni nedostatak vještina i regulatorne promjene kao što je Opća uredba o zaštiti podataka (GDPR) u Europi potiču daljnji rast tržišta usluga kibernetičke sigurnosti.

Stručnjaci smatraju da je jedan od ključnih čimbenika koji pridonose povećanju troškova zaštite informacija uvođenje novih metoda otkrivanja prijetnji i odgovora na njih – postale su glavni prioritet sigurnost organizacija u 2018.

Prema procjenama Gartnera, 2017. godine organizacije koje su globalno potrošile na usluge kibernetičke obrane premašile su 52,3 milijarde dolara, au 2018. ti će troškovi porasti na 58,9 milijardi dolara.

U 2017. godini tvrtke su potrošile 2,4 milijarde dolara na zaštitu aplikacija, 2,6 milijardi dolara na zaštitu podataka i 185 milijuna dolara na zaštitu usluga u oblaku.

Godišnja prodaja rješenja za upravljanje identifikacijom i pristupom (Identity And Access Management) bila je jednaka 8,8 milijardi dolara Implementacija sredstava zaštite IT infrastrukture porasla je na 12,6 milijardi dolara.

Također, u istraživanju se govori o troškovima u iznosu od 10,9 milijardi dolara za opremu koja se koristi za osiguranje mrežne sigurnosti. Njihovi proizvođači zaradili su 3,9 milijardi dolara od sustava upravljanja rizicima informacijske sigurnosti.

Analitičari procjenjuju da će izdaci za informacijsku sigurnost potrošača za 2017. iznositi 5,9 milijardi dolara, prema studiji Gartnera.

Gartner je procijenio obujam tržišta na 89,13 milijardi dolara

U prosincu 2017. postalo je poznato da će svjetski troškovi kompanija za osiguravanje informacijske sigurnosti (IS) u 2017. iznositi 89,13 milijardi dolara.Prema procjeni Gartnera, korporativni troškovi za kibernetičku sigurnost za gotovo 7 milijardi dolara premašit će iznos iz 2016. u iznosu od 82,2 milijarde dolara. .

Stručnjaci najveću stavku izdataka smatraju uslugama informacijske sigurnosti: u 2017. godine tvrtke će u te svrhe izdvojiti više od 53 milijarde dolara prema 48,8 milijardi dolara u 2016. godini. Drugi najveći segment tržišta informacijske sigurnosti su rješenja za zaštitu infrastrukture, čiji će troškovi u 2017. godini iznositi 16,2 milijarde dolara umjesto 15,2 milijarde dolara prije godinu dana. Oprema za mrežnu sigurnost - na trećem mjestu (10,93 milijarde dolara).

U strukturu troškova informacijske sigurnosti uključen je i potrošački softver za informacijsku sigurnost te sustave za identifikaciju i upravljanje pristupom (Identity and Access Management, IAM). U 2017. godini Gartner procjenjuje troškove u tim područjima na 4,64 milijarde dolara, odnosno 4,3 milijarde dolara, dok su 2016. brojke bile na razini od 4,57 milijardi dolara, odnosno 3,9 milijardi dolara.

Analitičari očekuju daljnji uspon na tržištu informacijske sigurnosti: u 2018. organizacije će povećati izdatke za kibernetičku obranu za dodatnih 8% i u te svrhe izdvojiti ukupno 96,3 milijarde dolara te okrenuti tvrtke prema digitalnoj poslovnoj strategiji.

Općenito, potrošnja na kibernetičku sigurnost uvelike je posljedica reakcije tvrtki na kibernetičke incidente, jer broj rezonantnih kibernetičkih napada i curenja informacija od kojih organizacije trpe u cijelom svijetu raste, - komentira Ruggero Contu, direktor istraživanja u Gartneru, prognozu .

Riječi analitičara potvrđuju i podaci do kojih je Gartner došao 2016. tijekom ankete u kojoj je sudjelovalo 512 organizacija iz osam zemalja: Australije, Kanade, Francuske, Njemačke, Indije, Singapura i Sjedinjenih Država.

53% ispitanika navelo je kibersigurnosni rizik kao glavni pokretač sve veće potrošnje za kibernetičku sigurnost. Od tog broja, najveći postotak ispitanih rekao je da prijetnja kibernetičkih napada ima najveći utjecaj na odluke o potrošnji za informacijsku sigurnost.

Gartnerova prognoza za 2018. predviđa povećanje potrošnje u svim glavnim područjima. Tako će oko 57,7 milijardi dolara (+4,65 milijardi dolara) biti potrošeno na usluge kibernetičke obrane, oko 17,5 milijardi dolara (+1,25 milijardi dolara) na sigurnost infrastrukture i 11,67 milijardi dolara (+1,25 milijardi dolara) na opremu za zaštitu mreža 735 milijuna dolara), na potrošački softver - 4,74 milijarde dolara (+109 milijuna dolara) i na IAM sustavima - 4,69 milijarde dolara (+416 milijuna dolara).

Analitičari također vjeruju da će do 2020. godine više od 60% organizacija u svijetu istovremeno ulagati u nekoliko alata za zaštitu podataka, uključujući sprječavanje gubitka informacija, enkripciju i reviziju. Na kraju 2017. udio tvrtki koje kupuju takva rješenja procijenjen je na 35%.

Još jedna značajna stavka korporativnih troškova za informacijsku sigurnost bit će uključivanje stručnjaka trećih strana. Očekuje se da će u pozadini nedostatka osoblja u području kibernetičke sigurnosti, rastuće tehničke složenosti kibernetičkih sustava i povećanja kibernetičkih prijetnji troškovi tvrtki za outsourcing kibernetičke sigurnosti u 2018. godini porasti za 11% i iznosit će 18,5 milijardi dolara.

Gartner procjenjuje da će do 2019. korporativna potrošnja na stručnjake za kibernetičku sigurnost trećih strana iznositi 75% ukupne potrošnje softvera i hardvera za kibernetičku sigurnost, u odnosu na 63% u 2016. godini.

IDC predviđa veličinu tržišta od 82 milijarde dolara

Dvije trećine troškova pasti će na tvrtke povezane s velikim i vrlo velikim poduzećima. Do 2019., prema analitičarima IDC-a, potrošnja korporacija s više od 1000 zaposlenika premašit će 50 milijardi dolara.

2016.: Opseg tržišta 73,7 milijardi USD, rast je 2 puta veći od IT tržišta

U listopadu 2016. analitička tvrtka IDC predstavila je kratke rezultate istraživanja globalnog tržišta informacijske sigurnosti. Očekuje se da će njegov rast biti udovica veći od rasta IT tržišta.

IDC je izračunao da će globalna prodaja opreme, softvera i usluga za kibernetičku zaštitu dosegnuti oko 73,7 milijardi dolara u 2016. godini, au 2020. godini taj će pokazatelj premašiti 100 milijardi dolara, odnosno iznositi 101,6 milijardi dolara.U razdoblju od 2016. do 2020. godine tržište kibernetičke sigurnosti - tehnologije će rasti prosječno 8,3% godišnje, što je dvostruko više od očekivane stope rasta IT industrije.


Najveći izdaci za kibernetičku sigurnost (8,6 milijardi dolara) na kraju 2016. očekuju se u bankama. Na drugom, trećem i četvrtom mjestu po veličini takvih ulaganja nalazit će se diskretna proizvodna poduzeća, državna tijela odnosno kontinuirana proizvodna poduzeća, na koja će otpadati oko 37% troškova.

Vodstvo u dinamici povećanja ulaganja u kibernetičku sigurnost analitičari daju zdravstvu (očekuje se prosječan godišnji rast od 10,3% u razdoblju 2016.-2020.). Troškovi kibernetičke obrane u telekomunikacijama, stanovanju, državnim agencijama te na tržištu ulaganja i vrijednosnih papira rasti će za približno 9% godišnje.

Najveće tržište kibernetičke sigurnosti istraživači nazivaju američkim, čiji će obujam u 2016. dosegnuti 31,5 milijardi dolara, a prva tri će također uključivati ​​zapadnu Europu i azijsko-pacifičku regiju (bez Japana). U skraćenoj verziji IDC-ove studije nema podataka o ruskom tržištu.

Dmitrij Gvozdev, generalni direktor ruske tvrtke Security Monitor, predviđa povećanje udjela usluga u ukupnoj ruskoj potrošnji na sigurnost s 30-35% na 40-45%, a također predviđa i razvoj strukture tržišta klijenata - od ukupne prevlast državnog, financijskog i energetskog sektora prema srednjim poduzećima iz šireg spektra industrija.

Jedan od trendova trebao bi biti razvoj udjela domaćih softverskih proizvoda u vezi s pitanjima supstitucije uvoza i vanjskopolitičke situacije. Međutim, kako će se to odraziti na financijske rezultate uvelike će ovisiti o tečaju rublje i cjenovnoj politici stranih dobavljača, koji još uvijek zauzimaju najmanje polovicu domaćeg tržišta softverskih rješenja i do dvije trećine u segmentu opreme. Također, konačni godišnji financijski rezultat cijelog ruskog tržišta rješenja za kibernetičku sigurnost može se povezati s vanjskim ekonomskim čimbenicima, - izvijestio je Gvozdev u razgovoru za TAdviser.

2015

VELIČINA TRŽIŠTA

FEDERALNA POTROŠNJA

KIBER KRIMINAL

CIJENA PO KRŠENJU

FINANCIJSKE USLUGE

Međunarodni

SIGURNOSNA ANALITIKA

2013: Tržište EMEA naraslo je na 2,5 milijardi dolara.

Obujam sigurnosnog tržišta EMEA regije (Europa, Bliski istok i Afrika) porastao je za 2,4% u odnosu na 2012. godinu i iznosio je 2,5 milijarde dolara.mreže – UTM rješenja (Unificirano upravljanje prijetnjama). U isto vrijeme IDC je predvidio da će tržište tehničkih sredstava informacijske sigurnosti do 2018. doseći vrijednosno 4,2 milijarde dolara uz prosječni godišnji rast od 5,4%.

Krajem 2013. godine vodeću poziciju među dobavljačima po prihodima od prodaje tehničkih sredstava informacijske sigurnosti u EMEA regiji preuzeo je Check Point. Prema podacima IDC-a, prihod dobavljača u ovom segmentu za 2013. porastao je za 3,8% i iznosio je 374,64 milijuna dolara, što odgovara tržišnom udjelu od 19,3%.

2012.: Prognoza PAC-a: Tržište kibernetičke sigurnosti rasti će za 8% godišnje

Globalno tržište informacijske sigurnosti godišnje će rasti 8% do 2016., kada bi moglo dosegnuti 36 milijardi eura, navodi se u studiji.

Kao što je već navedeno, sigurnost poduzeća osigurava se nizom mjera u svim fazama njegovog životnog ciklusa, informacijskog sustava i, općenito, sastoji se od troškova:

  • - projektantski rad;
  • - nabavu i podešavanje programskih i hardverskih sredstava zaštite;
  • - troškovi fizičkog osiguranja;
  • - Obučavanje zaposlenika;
  • - upravljanje i podrška sustavu;
  • - revizija informacijske sigurnosti;
  • - periodična modernizacija sustava informacijske sigurnosti i dr.

Troškovni pokazatelj ekonomske učinkovitosti integriranog sustava informacijske sigurnosti bit će zbroj izravnih i neizravnih troškova organizacije, rada i održavanja sustava informacijske sigurnosti tijekom godine.

Može se smatrati ključnim kvantitativnim pokazateljem učinkovitosti organiziranja informacijske sigurnosti u tvrtki, jer će omogućiti ne samo procjenu ukupnih troškova zaštite, već i upravljanje tim troškovima kako bi se postigla potrebna razina sigurnosti poduzeća. Međutim, izravni troškovi uključuju i komponente kapitalnih troškova i troškove rada, koji se obračunavaju pod poslovanjem i administracijom. Ovo također uključuje troškove usluge. udaljeni korisnici i drugi koji se odnose na podršku aktivnostima organizacije.

Zauzvrat, neizravni troškovi odražavaju utjecaj integriranog sigurnosnog sustava i podsustava zaštite informacija na zaposlenike kroz takve mjerljive pokazatelje kao što su zastoji i "zamrzavanja" korporativnog sustava informacijske sigurnosti i integriranog sigurnosnog sustava u cjelini, troškovi poslovanja i podrška.

Vrlo često neizravni troškovi igraju značajnu ulogu, budući da se obično inicijalno ne odražavaju u proračunu integriranog sigurnosnog sustava, već se eksplicitno identificiraju u analizi troškova kasnije, što u konačnici dovodi do povećanja "skrivenih" troškova tvrtka. Razmotrite kako možete odrediti izravne i neizravne troškove integriranog sigurnosnog sustava. Pretpostavimo da menadžment poduzeća radi na implementaciji integriranog sustava informacijske sigurnosti u poduzeću. Već su utvrđeni predmeti i ciljevi zaštite, prijetnje informacijskoj sigurnosti i mjere za njihovo suzbijanje, nabavljena su i instalirana potrebna sredstva zaštite informacija.

Obično troškovi informacijske sigurnosti spadaju u sljedeće kategorije:

  • - troškovi formiranja i održavanja poveznice upravljanja sustavom informacijske sigurnosti;
  • - trošak kontrole, odnosno utvrđivanja i potvrde postignute razine zaštite resursa poduzeća;
  • - interni troškovi otklanjanja posljedica narušavanja informacijske sigurnosti - troškovi koje je organizacija imala zbog činjenice da nije postignuta potrebna razina sigurnosti;
  • -eksterni troškovi otklanjanja posljedica kršenja informacijske sigurnosti - naknada gubitaka u slučaju kršenja sigurnosne politike u slučajevima vezanim uz curenje informacija, gubitak imidža tvrtke, gubitak povjerenja partnera i potrošača itd.;
  • -troškovi za Održavanje informacijski sigurnosni sustavi i mjere za sprječavanje kršenja sigurnosne politike poduzeća.

U ovom slučaju obično se razlikuju jednokratni i sustavni troškovi.

Jednokratni troškovi za formiranje sigurnosti poduzeća: organizacijski troškovi i troškovi nabave i ugradnje zaštitne opreme.

Sustavni, operativni i troškovi održavanja. Klasifikacija troškova je uvjetna, budući da je prikupljanje, klasifikacija i analiza troškova informacijske sigurnosti interna aktivnost poduzeća, a detaljna izrada popisa ovisi o karakteristikama pojedine organizacije.

Glavna stvar u određivanju cijene sigurnosnog sustava je međusobno razumijevanje i dogovor o stavkama troškova unutar poduzeća.

Nadalje, kategorije troškova trebaju biti dosljedne i ne smiju se preklapati. Troškove sigurnosti nije moguće potpuno eliminirati, ali ih je moguće dovesti na prihvatljivu razinu.

Neke vrste sigurnosnih troškova su apsolutno neophodne, a neke je moguće značajno smanjiti ili eliminirati. Potonji su oni koji mogu nestati ako nema kršenja sigurnosti ili se mogu smanjiti ako se smanji broj i destruktivni učinak povreda.

Ako se poštuje sigurnost i spriječe kršenja, sljedeći se troškovi mogu eliminirati ili značajno smanjiti:

  • - vratiti sigurnosni sustav na usklađenost sa sigurnosnim zahtjevima;
  • - obnoviti resurse informacijsko okruženje poduzeća;
  • - za izmjene unutar sigurnosnog sustava;
  • - o sudskim sporovima i isplati naknada;
  • - identificirati uzroke narušavanja sigurnosti.

Nužni troškovi su oni koji su nužni čak i ako je razina sigurnosnih prijetnji dovoljno niska. To su troškovi održavanja dostignute razine sigurnosti informacijskog okruženja poduzeća.

Neizbježni troškovi mogu uključivati:

  • a) održavanje tehničkih sredstava zaštite;
  • b) povjerljivi uredski poslovi;
  • c) rad i revizija sigurnosnog sustava;
  • d) minimalni stupanj inspekcije i kontrole uz sudjelovanje specijaliziranih organizacija;
  • e) obuka osoblja o metodama informacijske sigurnosti.

Međutim, postoje i drugi troškovi koje je teško utvrditi. Među njima:

  • a) trošak dodatnog istraživanja i razvoja nove tržišne strategije;
  • b) gubici od smanjenja prioriteta u znanstvenom istraživanju i nemogućnosti patentiranja i prodaje licenci za znanstvena i tehnološka dostignuća;
  • c) troškove povezane s uklanjanjem "uskih grla" u nabavi, proizvodnji i marketingu proizvoda;
  • d) gubici od ugrožavanja proizvoda koje proizvodi poduzeće i smanjenja cijena za njih;
  • e) pojava poteškoća u nabavi opreme ili tehnologije, uključujući povećanje cijena za njih, ograničavanje količine opskrbe.

Navedeni troškovi mogu biti uzrokovani radnjama osoblja različitih odjela, na primjer, odjela za dizajn, tehnologiju, planiranje i ekonomiju, pravnog, ekonomskog, marketinškog odjela, tarifne politike i cijena.

Budući da svi ovi odjeli vjerojatno neće biti puno radno vrijeme zauzeti rješavanjem vanjskih gubitaka, trošak se mora temeljiti na stvarno utrošenom vremenu. Jedan od elemenata vanjskih gubitaka ne može se točno izračunati - to su gubici povezani s potkopavanjem imidža poduzeća, smanjenjem povjerenja potrošača u proizvode i usluge poduzeća. Upravo iz tog razloga mnoge korporacije skrivaju da je njihova usluga nesigurna. Korporacije se čak više boje objavljivanja takvih informacija nego napada u ovom ili onom obliku.

Međutim, mnoge tvrtke ignoriraju te troškove s obrazloženjem da se ne mogu utvrditi s bilo kojim stupnjem točnosti - oni su samo spekulativni. Troškovi prevencije. Te je troškove vjerojatno najteže procijeniti, budući da se preventivne radnje provode na različitim odjelima i zahvaćaju mnoge službe. Ovi se troškovi mogu pojaviti u svim fazama životnog ciklusa resursa informacijskog okruženja poduzeća:

  • - planiranje i organizacija;
  • - nabava i puštanje u rad;
  • - dostava i podrška;
  • - praćenje procesa koji čine informacijsku tehnologiju.

Osim toga, najveći dio troškova u ovoj kategoriji povezan je s radom zaštitarskog osoblja. Troškovi prevencije uglavnom uključuju plaće i režijske troškove. Međutim, točnost njihovog određivanja u većoj mjeri ovisi o točnosti utvrđivanja utrošenog vremena svakog zaposlenika pojedinačno. Neke preventivne troškove lako je izravno identificirati. Oni, posebice, mogu uključivati ​​plaćanje za razne radove trećih strana, na primjer:

  • - održavanje i konfiguracija softverskih i hardverskih zaštitnih alata, operativnih sustava i korištene mrežne opreme;
  • - izvođenje inženjerskih i tehničkih radova na uspostavi alarmnog sustava, opremanju skladišta povjerljivih dokumenata, zaštiti telefonskih linija, računalne opreme i dr.;
  • - dostava povjerljivih podataka;
  • - konzultacije;
  • - tečajeve obuke.

Izvori informacija o razmatranim troškovima. Pri određivanju troškova pružanja informacijske sigurnosti potrebno je imati na umu da:

  • - troškovi nabave i puštanja u rad softvera i hardvera mogu se dobiti analizom faktura, evidencije skladišne ​​dokumentacije i sl.;
  • - plaćanja osoblja mogu se uzeti iz izjava;
  • - obujam isplata plaća treba uzeti uzimajući u obzir stvarno vrijeme provedeno na poslovima informacijske sigurnosti, ako samo dio vremena zaposlenika troši na poslove informacijske sigurnosti, tada je svrsishodnost procjene svake od komponenti troška njegovog vremena ne treba dovoditi u pitanje;
  • - klasifikacija sigurnosnih troškova i njihova raspodjela po elementima trebaju postati dio svakodnevnog rada unutar poduzeća.


POVEZANI ČLANCI