Studimi i Riskut Global siguria e informacionit për biznesin (Kaspersky Lab Global Corporate IT Security Risks Survey) është një analizë vjetore e tendencave në sigurinë e informacionit të korporatave në mbarë botën. Ne shikojmë në aspekte të tilla të rëndësishme të sigurisë kibernetike si madhësia e kostove të sigurisë së informacionit, llojet aktuale të kërcënimeve për lloje të ndryshme kompanish dhe pasojat financiare të përballjes me këto kërcënime. Përveç kësaj, duke mësuar nga drejtuesit rreth parimeve të buxhetimit të sigurisë së informacionit, ne mund të shohim se si kompanitë në rajone të ndryshme të botës po reagojnë ndaj ndryshimeve në peizazhin e kërcënimit.

Në vitin 2017, ne kërkuam të kuptonim nëse kompanitë po e shohin sigurinë e informacionit si një faktor kostoje (një e keqe e nevojshme për të cilën detyrohen të ndajnë para) apo po fillojnë ta shohin atë si një investim strategjik (d.m.th., një mjet për të siguruar vazhdimësinë e biznesit që ofron përfitime të rëndësishme në një epokë të kërcënimeve kibernetike me zhvillim të shpejtë).

Kjo është një pyetje shumë e rëndësishme, veçanërisht pasi buxhetet e TI-së kanë ardhur në rënie në shumicën e rajoneve të botës.

Në Rusi, megjithatë, në vitin 2017 pati një rritje të lehtë të buxhetit mesatar të alokuar për sigurinë - 2%. Buxheti mesatar i sigurisë së informacionit në Rusi ishte rreth 15.4 milion rubla.

Ky raport hedh një vështrim më të afërt në llojet e kërcënimeve me të cilat përballen kompanitë e të gjitha madhësive, si dhe modelet tipike të shpenzimeve të IT.

Informacion i përgjithshëm dhe metodologjia e kërkimit

Studimi global i Kaspersky Lab për rreziqet e sigurisë së informacionit për biznesin (Kaspersky Lab Corporate IT Security Risks Survey) është një studim i drejtuesve që menaxhojnë shërbimet e IT të organizatave të tyre, i cili është kryer çdo vit që nga viti 2011.

Të dhënat më të fundit janë mbledhur në mars dhe prill 2017. Janë anketuar gjithsej 5,274 të anketuar nga më shumë se 30 vende, duke mbuluar kompani të të gjitha madhësive.

Raporti ndonjëherë përdor përcaktimet e mëposhtme: biznesi i vogël - më pak se 50 punonjës, SMB (biznes i mesëm dhe i vogël - nga 50 në 250 punonjës) dhe biznes i madh (kompani me më shumë se 250 punonjës). Raporti aktual paraqet një analizë të parametrave më zbulues nga anketa.

Përfundimet kryesore:

Është duke u bërë më e vështirë për kompanitë e të gjitha madhësive të luftojnë kërcënimet kibernetike dhe kostot e mbrojtjes po rriten gjithashtu. Në Rusi, në segmentin e bizneseve të mesme dhe të vogla, kostoja mesatare e eliminimit të pasojave të vetëm një incidenti kibernetik është 1.6 milion rubla, dhe për segmentin e biznesit të madh kostot janë 16.1 milion rubla.

Pjesa e buxhetit të IT-së e ndarë për sigurinë e informacionit po rritet. Kjo është tipike për kompanitë e çdo madhësie. Buxheti i përgjithshëm mbetet i ulët, dhe në Rusi rritja ishte vetëm 2%, kështu që specialistët janë të detyruar të kryejnë detyrat e tyre me pak burime.

Dëmi nga një incident i vetëm po rritet dhe kompanitë që nuk i japin përparësi kostove të sigurisë së informacionit mund të gjenden së shpejti në telashe serioze. Studimi tregoi se në segmentin SMB, kompanitë shpenzojnë rreth 300 mijë rubla për çdo incident sigurie për pagesa shtesë për stafin, dhe korporatat e mëdha mund të shpenzojnë 2.7 milion rubla për të zvogëluar dëmtimin e markës.

Dëme nga incidentet e sigurisë

Dëmi nga incidentet e sigurisë kibernetike është vazhdimisht në rritje: kompanitë duhet të përballen me një sërë pasojash, nga punë shtesë me publikun përpara se të punësojë punonjës të rinj. Në vitin 2017, ka pasur një rritje të mëtejshme të humbjeve financiare në rast të shkeljeve të integritetit të të dhënave. Kjo duhet të ndryshojë mënyrën se si kompanitë i qasen kësaj çështjeje: kompanitë nuk do t'i shohin kostot e sigurisë kibernetike si një të keqe të domosdoshme dhe do të fillojnë t'i shohin ato si investime që do t'i lejojnë ata të shmangin humbje të konsiderueshme financiare në rast të një sulmi.

Shkeljet serioze të të dhënave janë gjithnjë e më të kushtueshme

Shqetësimi më i madh për CTO-të janë sulmet masive që rezultojnë në zbulimin e miliona të dhënave. Të tilla ishin sulmet ndaj Shërbimit Shëndetësor Kombëtar (NHS) të Britanisë së Madhe, Sony, apo hakimi i kanalit televiziv HBO me nxjerrjen e të dhënave konfidenciale në lidhje me serialin "Game of Thrones". Megjithatë, në realitet, incidente të tilla të mëdha janë përjashtim dhe jo rregull. Deri vitin e kaluar, shumica e sulmeve kibernetike nuk ishin kryefjala e lajmeve dhe mbetën krahina e raporteve speciale për specialistët. Sigurisht, epidemitë e ransomware kanë ndryshuar pak situatën, por ende segmenti i korporatave të biznesit nuk e kupton tërë pamjen.

Numri relativisht i vogël i sulmeve kibernetike të njohura në shkallë të gjerë nuk do të thotë se dëmi nga shumica e sulmeve është i parëndësishëm. Pra, sa shpenzojnë kompanitë mesatarisht për të zgjidhur një shkelje "tipike" të të dhënave? Ne i kërkuam pjesëmarrësve të studimit të vlerësonin se sa shpenzoi/humbi kompania e tyre si rezultat i ndonjë incidenti sigurie që ndodhi vitin e kaluar.

Të gjitha kompanitë me 50 ose më shumë punonjës iu kërkua të vlerësonin kostot e bëra në secilën nga kategoritë e mëposhtme:

Për secilën nga kategoritë, ne kemi llogaritur kostot mesatare të shkaktuara nga kompanitë e përballura me incidente të sigurisë së informacionit dhe shuma e të gjitha kategorive na lejoi të vlerësonim sasinë e dëmit total të shkaktuar nga një incident i sigurisë së informacionit.

Më poshtë po paraqesim veçmas rezultatet për segmentet e bizneseve të vogla dhe të mesme, pasi statistikat për to ndryshojnë në shumë mënyra. Për shembull, dëmi mesatar për kompanitë ruse SMB është pothuajse 1.6 milion rubla, dhe për bizneset e mëdha është pothuajse dhjetë herë më i lartë - 16.1 milion rubla. Kjo tregon se sulmet kibernetike janë të kushtueshme për kompanitë e të gjitha madhësive.

Fakti që bizneset e mëdha, mesatarisht, pësojnë më shumë humbje kur cenohet integriteti i të dhënave, nuk është befasues, por është interesant të analizohet shpërndarja e dëmeve sipas kategorive.

Vitin e kaluar, përfitimet shtesë të punonjësve ishin zëri më i rëndësishëm i shpenzimeve si për SMB-të ashtu edhe për bizneset e mëdha. Megjithatë, këtë vit tabloja ka ndryshuar, dhe kompanitë e madhësive të ndryshme kanë zëra të ndryshëm shpenzimesh kryesore. Bizneset e vogla dhe të mesme vazhdojnë të humbasin më shumë nga përfitimet e punonjësve. Por bizneset e mëdha filluan të investojnë në PR shtesë për të zvogëluar dëmtimin e reputacionit të markës. Gjithashtu, një zë i rëndësishëm kostoje për bizneset e mëdha ishte kostoja e përmirësimit të pajisjeve teknike dhe blerjes së softuerit shtesë.

Për të gjitha kompanitë, kostot e trajnimit të punonjësve janë rritur. Incidentet e sigurisë shpesh i bëjnë kompanitë të kuptojnë rëndësinë e rritjes së edukimit kibernetik dhe përmirësimit të inteligjencës së kërcënimeve.

Burimet e brendshme më të gjera të kompanive të mëdha dhe veçoritë e rregullimit të aktiviteteve të tyre përcaktojnë një ekuilibër të ndryshëm midis kostove të eliminimit të vetë kërcënimit dhe kostove të kompensimit të dëmit. Një zë serioz i shpenzimeve ishte rritja e primeve të sigurimit, përkeqësimi i vlerësimeve të kredisë dhe erozioni i besimit në kompani: mesatarisht, pas çdo incidenti, kompanitë e mëdha humbasin rreth 2.3 milion rubla nga kjo.

Hulumtimi ynë tregoi se pjesa më e madhe e rritjes së kostove të kompanisë u nxit nga nevoja për të parandaluar - ose të paktën reduktuar - humbjet e reputacionit në formën e vlerësimeve të kreditit, imazhit të markës dhe kompensimit.

Ndërsa rregulloret e reja bëhen më të përhapura, kostoja mesatare ka të ngjarë të vazhdojë të rritet, duke kërkuar që kompanitë të raportojnë publikisht të gjitha incidentet dhe të rrisin transparencën e sigurisë së të dhënave.

Tendenca të tilla janë tipike, për shembull, në Japoni, ku kostoja mesatare e eliminimit të pasojave të një shkeljeje të sigurisë është më shumë se dyfishuar: nga 580 mijë dollarë në 2016 në 1.3 milion dollarë në 2017. Qeveria japoneze ka lëvizur për të shtrënguar rregulloret në përgjigje të rritjes së kërcënimeve të sigurisë kibernetike. Në vitin 2017 hynë në fuqi ligjet e reja, të cilat shkaktuan një rritje të papritur të kostove.

Megjithatë, zhvillimi dhe zbatimi i ligjeve kërkon kohë. Me zhvillimin e shpejtë të peizazhit të IT të korporatave dhe evolucionin e kërcënimeve kibernetike, vonesa në masat rregullatore po bëhet një problem serioz. Për shembull, standardet e reja japoneze u ranë dakord në vitin 2015, por hyrja e tyre në fuqi duhej të shtyhej për dy vjet të tërë. Për shumë, kjo vonesë ishte shumë e kushtueshme: gjatë këtyre dy viteve, një numër i kompanive të mëdha japoneze u bënë viktima të sulmeve të kushtueshme. Një shembull është kompania e udhëtimeve JTB Corp., e cila pësoi një rrjedhje të madhe në 2016. U vodhën të dhënat e 8 milionë klientëve, përfshirë emrat, adresat dhe numrat e pasaportave.

Kjo është një nga simptomat e një problemi global: kërcënimet po zhvillohen me shpejtësi dhe inercia e qeverive dhe kompanive është shumë e lartë. Një shembull tjetër i shtrëngimit të vidhave janë Standardet e Përgjithshme Evropiane të Mbrojtjes së të Dhënave (GDPR), të cilat hyjnë në fuqi në maj 2018 dhe kufizojnë ndjeshëm mënyrat e pranueshme në të cilat mund të përpunohen dhe ruhen të dhënat e qytetarëve të BE-së.

Ligjet po ndryshojnë në mbarë botën, por ato nuk mund të mbajnë hapin me kërcënimet kibernetike – tre valë ransomware në Rusi na e kujtuan këtë në 2017. Prandaj, bizneset duhet të jenë të vetëdijshme për papërsosmëritë e ligjit dhe të forcojnë mbrojtjen në përputhje me rrethanat aktuale - ose të pranojnë dëmtimin e reputacionit dhe klientëve paraprakisht. Vlen të përgatitet për kërkesat e reja rregullatore pa pritur afate. Duke ndryshuar politikat pasi të jenë nxjerrë ligjet përkatëse, kompanitë rrezikojnë jo vetëm gjobat, por edhe sigurinë e të dhënave të tyre dhe të klientëve.

Nuk ka gjëra të tilla si dobësitë e dikujt tjetër: boshllëqet në mbrojtjen e partnerit janë të kushtueshme

Për t'u mbrojtur nga rrjedhjet e të dhënave, është shumë e rëndësishme të kuptojmë se çfarë vektorësh sulmi përdorin sulmuesit. Nga ana tjetër, ky informacion do t'ju ndihmojë të kuptoni se cilat lloje të sulmeve janë më të kushtueshme.

Anketa tregoi se incidentet e mëposhtme patën pasojat më të rënda financiare për bizneset e mesme dhe të vogla:

• Incidentet që prekin infrastrukturën e vendosur në pajisje të palëve të treta (17.2 milion RUB)
• Incidentet që prekin shërbimet cloud të palëve të treta të përdorura nga kompania (3.6 milion RUB)
• Komunikimi i papërshtatshëm nëpërmjet pajisje celulare(2.5 milionë rubla)
• Humbja fizike e pajisjeve celulare, duke e ekspozuar organizatën ndaj rreziqeve (2.1 milion RUB)
• Incidentet që lidhen me pajisjet jo-kompjuterike të lidhura me internetin (për shembull, sistemet e kontrollit industrial, Interneti i Gjërave) (1.7 milion rubla)

Situata me bizneset e mëdha është disi e ndryshme:

• Sulmet e synuara (75 milionë rubla)
• Incidentet që prekin shërbimet cloud të shitësve të palëve të treta (19 milion RUB)
• Viruset dhe malware(9 milion rubla)
• Shkëmbim i papërshtatshëm i të dhënave përmes pajisjeve celulare (7.3 milionë rubla)
• Incidentet që prekin furnitorët me të cilët kompanitë shkëmbejnë të dhëna (4.4 milionë rubla)

Këto të dhëna tregojnë se shumë shpesh, sulmet e shkaktuara nga problemet e sigurisë me partnerët e biznesit janë pothuajse më të kushtueshmet për kompanitë e çdo madhësie. Kjo vlen për të dyja organizatat që marrin me qira nga furnizuesit e palëve të treta cloud ose infrastrukturë tjetër, si dhe kompani që shkëmbejnë të dhënat e tyre me partnerët.

Pasi t'i jepni një kompanie tjetër akses në të dhënat ose infrastrukturën tuaj, dobësitë e tyre bëhen problemi juaj. Megjithatë, ne kemi vërejtur më parë se shumica e organizatave nuk i kushtojnë rëndësi të mjaftueshme kësaj. Prandaj nuk është për t'u habitur që incidentet e këtij lloji shkaktojnë kostot më të mëdha: çdo boksier do t'ju thotë se zakonisht është një goditje e papritur që shkakton nokaut.

Gjithashtu, menjëherë bie në sy një vektor tjetër që papritur e futi në 5 kërcënimet kryesore për bizneset e mesme: sulmet që lidhen me pajisjet e lidhura që nuk janë kompjuterë. Sot, trafiku në Internetin e Gjërave (IoT) po rritet shumë më shpejt se trafiku i gjeneruar nga çdo teknologji tjetër. Ky është një shembull tjetër se si zhvillimet e reja po rrisin numrin e dobësive të mundshme në infrastrukturën e biznesit. Në veçanti, përdorimi i gjerë i fjalëkalimeve të paracaktuara të fabrikës dhe veçorive të dobëta të sigurisë në pajisjet IoT i ka bërë ato një objektiv ideal për botnet si Mirai, malware i aftë për të kombinuar një numër të madh pajisjesh të cenueshme në rrjet i vetëm për të kryer sulme DDoS në shkallë të gjerë në objektiva të zgjedhur.

Vlen të përmendet sasia e humbjeve nga sulmet e synuara në segmentin e biznesit të madh - ky kërcënim është jashtëzakonisht i vështirë për t'u kundërshtuar. Gjatë dy viteve të fundit, janë bërë të njohura një sërë sulmesh të profilit të lartë ndaj bankave, gjë që gjithashtu përforcon këto statistika zhgënjyese.

Investimi në Reduktimin e Riskut

Siç ka treguar hulumtimi ynë, kërcënimet ndaj sigurisë së informacionit po bëhen më serioze. Në këto kushte, nuk mund të mos shqetësohet për gjendjen e vetë buxheteve të sigurisë së informacionit. Duke analizuar ndryshimet e tyre, ne mund të vendosim nëse organizatat e shohin sigurinë e tyre si një shtytës të kostos, ose nëse balanca po zhvendoset gradualisht për t'u parë si një zonë për investime që ofron një avantazh të vërtetë konkurrues.

Madhësia e buxhetit tregon qëndrimin e kompanisë ndaj sigurisë së TI-së, rëndësinë e rolit të sistemit mbrojtës nga këndvështrimi i menaxhmentit dhe gatishmërinë e organizatës për të marrë rreziqe.

Buxheti i sigurisë së informacionit: pjesa po rritet, "byrek" po tkurret

Këtë vit ne kemi parë që kursimet dhe kontraktimet e jashtme kanë çuar në reduktime në buxhetet e IT. Pavarësisht kësaj (ose ndoshta si rezultat i kësaj), pjesa e sigurisë së informacionit në këto buxhete të TI-së është rritur. Në Rusi, një prirje pozitive mund të shihet në kompanitë e të gjitha madhësive. Edhe në mesin e mikro-bizneseve që operojnë në kushte të burimeve të pamjaftueshme, pjesa e buxheteve të TI-së e alokuar për sigurinë e informacionit është rritur, megjithëse me një fraksion të përqindjes.

Kjo do të thotë që kompanitë më në fund kanë filluar të kuptojnë rëndësinë e sigurisë së informacionit. Ndoshta kjo tregon se siguria e informacionit ka filluar të perceptohet nga shumë njerëz si një investim potencialisht i dobishëm, dhe jo si një burim kostoje.

Ne shohim se buxhetet e IT në mbarë botën po reduktohen ndjeshëm. Ndërsa siguria e informacionit po merr një pjesë më të madhe të byrekut, vetë byreku po bëhet më i vogël. Tendenca është alarmante, veçanërisht duke pasur parasysh se sa të larta janë aksionet në këtë fushë dhe sa i kushtueshëm është çdo sulm.

Në Rusi, buxheti mesatar për sigurinë e informacionit për bizneset e mëdha në 2017 arriti në 400 milion rubla, dhe për bizneset e vogla dhe të mesme - 4.6 milion rubla.

Shembull: 694 të anketuar në Rusi të aftë për të vlerësuar buxhetin

Nuk është çudi që organizatat e shërbimit qeveritar (duke përfshirë sektorin e mbrojtjes) dhe institucionet financiare në mbarë botën po raportojnë kostot më të larta të sigurisë së informacionit këtë vit. Bizneset në të dy këta sektorë shpenzuan mesatarisht më shumë se 5 milionë dollarë për sigurinë. Vlen gjithashtu të theksohet se sektori i IT dhe telekomunikacionit, si dhe kompanitë në industrinë e energjisë, gjithashtu shpenzuan më shumë se mesatarja për sigurinë e informacionit, megjithëse buxhetet e tyre ishin më afër 3 milionë dollarë sesa 5 dollarë.

Megjithatë, nëse i ndani kostot totale me numrin e punonjësve, organizatat qeveritare lëvizin drejt fundit të listës. Mesatarisht, sektori i IT dhe telekomunikacionit shpenzon 1,258 dollarë për frymë për sigurinë e informacionit, ndërsa sektori i energjisë shpenzon 1,344 dollarë dhe kompanitë e shërbimeve financiare shpenzojnë 1,436 dollarë. Për krahasim, agjencitë qeveritare ndajnë vetëm 959 dollarë për person për sigurinë e informacionit.

Si në segmentin e IT-së dhe telekomunikacionit, ashtu edhe në industrinë e furnizimit me energji, kostot e larta për punonjës ka shumë të ngjarë të lidhen me nevojën për mbrojtje, veçanërisht të rëndësishme në këta sektorë të ekonomisë. pronë intelektuale. Në rastin e organizatave të furnizimit me energji, kostot e larta të sigurisë mund të jenë gjithashtu për shkak të faktit se këto kompani janë gjithnjë e më të prekshme ndaj sulmeve të synuara të organizuara nga grupe sulmuesish.

Në këtë industri, investimi në sigurinë e informacionit bëhet kritik për mbijetesën sepse siguron vazhdimësinë e biznesit, një faktor kritik për furnizimin me energji. Pasojat e një sulmi të suksesshëm kibernetik në këtë industri janë veçanërisht të rënda, ndaj investimi në sigurinë e informacionit ka përfitime shumë të prekshme.

Në Rusi, IT dhe telekomunikacioni, si dhe ndërmarrjet industriale, investohen kryesisht në sigurinë e informacionit - kostot mesatare për të parën arrijnë në 300 milion rubla, për të dytën - 80 milion rubla. Kompanitë industriale dhe prodhuese zakonisht mbështeten në sisteme të automatizuara menaxhimit (ICS) për të siguruar vazhdimësinë e proceseve të prodhimit. Në të njëjtën kohë, sulmet ndaj ICS po rriten në numër: gjatë 12 muajve të fundit numri i tyre është rritur me 5%.

Arsyet për të investuar në sigurinë e informacionit

Dispersioni i shumave të investimeve në sigurinë e informacionit ndërmjet sektorëve është shumë i madh. Prandaj, është veçanërisht e rëndësishme të kuptohen arsyet që i motivojnë kompanitë të shpenzojnë burime të kufizuara për sigurinë e informacionit. Pa i ditur motivet, është e pamundur të kuptosh nëse një kompani i konsideron të hedhura paratë e shpenzuara për sigurinë e infrastrukturës së saj IT apo i sheh ato si një investim fitimprurës.

Në vitin 2017, shumë më shumë kompani në mbarë botën pranuan se do të investonin në sigurinë kibernetike pavarësisht nga kthimi i pritshëm i investimit: 63% krahasuar me 56% në 2016. Kjo tregon se gjithnjë e më shumë kompani e kuptojnë rëndësinë e sigurisë së informacionit.

Arsyet kryesore për rritjen e buxhetit të sigurisë së informacionit, Rusi

Jo të gjitha kompanitë presin një kthim të shpejtë nga investimi, por shumë kompani globale përmendën presionin nga palët kryesore të interesit, duke përfshirë menaxhmentin e lartë të kompanisë, si një arsye për rritjen e buxheteve të sigurisë së informacionit (32%). Kjo tregon se kompanitë kanë filluar të shohin avantazhin e tyre strategjik në rritjen e shpenzimeve për sigurinë e informacionit: masat e sigurisë lejojnë jo vetëm të mbrohen në rast sulmi, por gjithashtu t'u tregojnë klientëve se të dhënat e tyre janë në duar të mira. si sigurimin e vazhdimësisë së biznesit, në të cilën menaxhmenti i kompanisë është i interesuar.

Arsyeja më e njohur për rritjen e shpenzimeve për sigurinë e informacionit u përmend nga shumica e kompanive vendase si nevoja për të mbrojtur një infrastrukturë gjithnjë e më komplekse të IT (46%), dhe nevoja për të përmirësuar aftësitë e ekspertëve të sigurisë së informacionit u vu re me 30%. Këto shifra theksojnë nevojën për të rritur nivelin e ekspertizës në dispozicion të një kompanie duke zhvilluar aftësitë e punonjësve të saj. Në të vërtetë, NVM-të dhe ndërmarrjet e mëdha po investojnë gjithnjë e më shumë në mbështetjen e fuqisë punëtore të tyre të brendshme në luftën kundër kërcënimeve kibernetike.

Në të njëjtën kohë, nevoja për të rritur shpenzimet për sigurinë e informacionit për shkak të operacioneve të reja të biznesit ose zgjerimit të kompanisë midis bizneseve ruse është ulur: nga 36% vitin e kaluar në 30% në 2017. Ndoshta reflekton faktorët makroekonomikë me të cilët kompanitë tona janë përballur kohët e fundit.

konkluzioni

Dëme të mëdha u shkaktuan në 2017 nga sulme masive si WannaCry, exPetr dhe BadRabbit. Dëmi nga sulmet e synuara, veçanërisht në bankat ruse, është gjithashtu i madh. E gjithë kjo tregon se peizazhi i kërcënimit kibernetik po ndryshon me shpejtësi dhe në mënyrë të pashmangshme. Kompanitë janë të detyruara të përshtatin mbrojtjen e tyre ose të mbeten jashtë biznesit.

Një faktor gjithnjë e më i rëndësishëm në vendimet e biznesit është ndryshimi midis kostos së përgatitjes për t'u marrë me sulmet kibernetike dhe kostove të bëra nga viktima.

Raporti tregon se edhe shkeljet relativisht të vogla të të dhënave që janë me pak interes për publikun e gjerë mund të jenë shumë të kushtueshme për një kompani dhe të ndikojnë seriozisht në operacionet e saj. Një arsye tjetër për rritjen e kostove të incidenteve të sigurisë janë ndryshimet në rregulloret në mbarë botën. Kompanitë duhet ose të përshtaten ose të rrezikojnë mospërputhjen dhe hakerimin e mundshëm.

Në këto rrethana, është veçanërisht e rëndësishme të merren parasysh të gjitha pasojat dhe kostot. Ndoshta kjo është arsyeja pse gjithnjë e më shumë kompani nga vende të ndryshme po rrisin pjesën e sigurisë së informacionit në buxhetet e tyre të IT-së. Në vitin 2017, shumë më shumë kompani në mbarë botën pranuan se do të investonin në sigurinë kibernetike pavarësisht nga kthimi i pritshëm i investimit: 63% krahasuar me 56% në 2016.

Me shumë mundësi, me rritjen e dëmeve nga incidentet e sigurisë kibernetike, ato organizata që i konsiderojnë kostot e TI-së si investime në siguri dhe janë të gatshme të shpenzojnë shuma të konsiderueshme parash për to, do të jenë më të përgatitura për problemet e mundshme. Cila është situata në kompaninë tuaj?

Shënim: Leksioni diskuton detyrat dhe metodat e analizës ekonomike të fizibilitetit të zbatimit të masave për të garantuar sigurinë e informacionit në kushte të caktuara.

Bazat metodologjike të ekonomisë së sigurisë së informacionit

Menaxhimi i Sigurisë së Informacionit, si dhe menaxhimi në shumë fusha të tjera të veprimtarisë, përfshin miratimin periodik të vendimeve të ndryshme të menaxhimit, të cilat, si rregull, konsistojnë në zgjedhjen e alternativave të caktuara (përzgjedhja e një prej skemave të mundshme organizative ose një prej zgjidhjeve teknike të disponueshme ) ose përcaktimin e parametrave të caktuar të organizimit individual dhe/ose ose sistemet teknike dhe nënsistemet. Një nga qasjet e mundshme për zgjedhjen e alternativave në një situatë birësimi vendimi i menaxhmentitështë i ashtuquajturi Qasja "vullnetare", kur një vendim për një arsye ose një tjetër merret në mënyrë intuitive dhe nuk mund të vendoset një marrëdhënie shkak-pasojë e justifikuar zyrtarisht midis disa premisave fillestare dhe një vendimi specifik të marrë. Është e qartë se një alternativë ndaj qasjes “me vullnet të fortë” është vendimmarrja e bazuar në disa procedura formale dhe analiza sekuenciale.

Baza për një analizë të tillë dhe më pas vendimmarrjeështë një analizë ekonomike, e cila përfshin studimin e të gjithë (ose të paktën të faktorëve kryesorë) nën ndikimin e të cilëve ndodh zhvillimi i sistemeve të analizuara, modelet e sjelljes së tyre, dinamika e ndryshimit, si dhe përdorimi i universaleve. vlerësimi monetar. Mbi bazën e modeleve ekonomike të ndërtuara në mënyrë adekuate dhe analizave ekonomike të kryera me ndihmën e tyre, vendimet duhet të merren si për strategjinë e përgjithshme të zhvillimit ashtu edhe për masat individuale organizative dhe teknike, si në nivel shtetesh, rajonesh dhe industrish, ashtu edhe në niveli i ndërmarrjeve individuale, divizioneve dhe sistemeve të informacionit.

Në të njëjtën kohë, ashtu si ekonomia e çdo dege të veprimtarisë ka karakteristikat e veta, ekonomia e sigurisë së informacionit, e konsideruar si një disiplinë relativisht e pavarur, nga njëra anë, bazohet në disa ligje të përgjithshme ekonomike dhe metoda analize, dhe nga ana tjetër, kërkon mirëkuptim individual dhe zhvillim të qasjeve specifike të analizës, akumulimin e të dhënave statistikore specifike për këtë fushë, formimin e ideve të qëndrueshme për faktorët nën ndikimin e të cilëve funksionon Sistemet e Informacionit Dhe mjetet e sigurisë së informacionit.

Kompleksiteti i problemeve të analizës ekonomike në pothuajse të gjitha fushat e veprimtarisë, si rregull, është për shkak të faktit se shumë parametra kryesorë të modeleve ekonomike nuk mund të vlerësohen me besueshmëri, dhe ato janë të natyrës probabiliste (të tilla si, për shembull, treguesit e kërkesa e konsumatorit). Analiza është gjithashtu e ndërlikuar nga fakti se edhe luhatjet e vogla (rregullimi i vlerësimeve) të parametrave të tillë mund të ndikojnë seriozisht në vlerat e funksionit objektiv dhe, në përputhje me rrethanat, në vendimet e marra bazuar në rezultatet e analizës. Kështu, për të siguruar besueshmërinë më të madhe të mundshme të llogaritjeve në procesin e kryerjes së analizave ekonomike dhe vendimmarrjeështë e nevojshme të organizohet një kompleks punimesh për mbledhjen e informacionit fillestar, llogaritjen e vlerave të parashikimit, intervistimin e ekspertëve në fusha të ndryshme dhe përpunimin e të gjitha të dhënave. Në të njëjtën kohë, në procesin e kryerjes së një analize të tillë është e nevojshme t'i kushtohet vëmendje Vëmendje e veçantë vendimet e ndërmjetme në lidhje me vlerësimet e disa parametrave të përfshirë në modelin e përgjithshëm. Është gjithashtu e nevojshme të merret parasysh fakti që një analizë e tillë në vetvete mund të rezultojë të jetë një procedurë mjaft intensive me burime dhe të kërkojë përfshirjen e specialistëve shtesë dhe konsulentëve të palëve të treta, si dhe përpjekjet e specialistëve (ekspertëve) të ndryshëm. duke punuar në vetë ndërmarrjen - të gjitha këto kosto në fund të fundit duhet të justifikohen.

Kompleksiteti i veçantë i analizës ekonomike në një fushë të tillë si Siguria e Informacionit, përcaktohet nga faktorë të tillë specifikë si:

• zhvillimi i shpejtë i teknologjive dhe teknikave të informacionit të përdorura në këtë fushë (si mjetet dhe metodat e mbrojtjes dhe mjetet dhe metodat e sulmit);
• pamundësia për të parashikuar me besueshmëri të gjithë skenarët e mundshëm të sulmit në sistemet e informacionit dhe modelet e sjelljes së sulmuesit;
• pamundësia për të dhënë një vlerësim të besueshëm, mjaftueshëm të saktë të kostos së burimeve të informacionit, si dhe vlerësimin e pasojave të shkeljeve të ndryshme në terma monetarë.

Kjo kërkon përpjekje shtesë për të organizuar procesin e analizës ekonomike, dhe gjithashtu shpesh çon në faktin se shumë vendime të marra në lidhje me sigurinë e informacionit mund të rezultojnë të papërshtatshme. Shembuj të situatave në të cilat zhvillimi i pamjaftueshëm i metodologjisë së analizës ekonomike ndikon negativisht në gjendjen e sigurisë së informacionit janë rastet kur:

• menaxhmenti i ndërmarrjes mund të marrë vendime joadekuate në lidhje me investimet në mjetet e sigurisë së informacionit, të cilat, nga ana tjetër, mund të çojnë në humbje që mund të ishin shmangur;
• menaxhmenti i ndërmarrjes mund të marrë vendime të caktuara në lidhje me organizimin e proceseve të biznesit dhe proceseve të përpunimit të informacionit në ndërmarrje, bazuar në dëshirën për të zvogëluar kostot aktuale dhe për të zvogëluar barrën e personelit, pa marrë parasysh pasojat ekonomike të sigurisë së pamjaftueshme të burimeve të informacionit;
• mbajtësi i policës dhe siguruesi nuk mund të lidhin një marrëveshje për sigurimin e rreziqeve të informacionit ose të vendosin parametra të pamjaftueshëm për një marrëveshje të tillë për faktin se nuk ka modele dhe metoda për vlerësimin e parametrave ekonomikë të transaksionit.

Analiza e investimeve në mjetet e sigurisë së informacionit

Në rrjedhën e aktiviteteve të tyre aktuale, ndërmarrjet vazhdimisht duhet të përballen me ndryshime të caktuara: proceset e biznesit po qartësohen, kushtet e tregjeve të shitjeve dhe tregjeve për burimet dhe shërbimet materiale të konsumuara po ndryshojnë, teknologjitë e reja po shfaqen, konkurrentët dhe palët po ndryshojnë. sjellja, legjislacioni dhe politika e qeverisë po ndryshojnë, etj. d. Në këto kushte, menaxherët (përfshirë ata përgjegjës për sigurimin e sigurisë së informacionit) duhet të analizojnë vazhdimisht ndryshimet që ndodhin dhe të përshtatin punën e tyre me situatën që ndryshon vazhdimisht. Format specifike në të cilat manifestohen reagimet e menaxherëve mund të ndryshojnë. Ky mund të jetë një ndryshim në politikën e marketingut, riorganizim i proceseve të biznesit, ndryshim në teknologji, ndryshim në produktin që prodhohet, bashkim me konkurrentët ose blerja e tyre, etj. Megjithatë, me gjithë shumëllojshmërinë e modeleve të mundshme të sjelljes në një mjedis në ndryshim, pothuajse të gjitha ato janë të bashkuara nga një element i rëndësishëm metodologjik i përbashkët: në shumicën e rasteve, reagimi i biznesit ndaj kërcënimeve të reja dhe mundësive të reja përfshin krijimin e të rejave, pak a shumë të gjata. - investimet (investimet) afatgjata dhe me burime intensive në masa të caktuara organizative dhe/ose teknike, të cilat, nga njëra anë, përfshijnë shpenzimin e burimeve (parave), dhe nga ana tjetër, ofrojnë mundësinë për të përfituar përfitime të reja, të shprehura në një rritje të të ardhurave ose një ulje në disa shpenzime korrente.

Kështu, në një situatë kur është e nevojshme të kryhen disa aktivitete të reja organizative ose teknike (zbatimi i një projekti), detyra kryesore e atyre që janë përgjegjës për organizimin efektiv të sigurisë së informacionit është të identifikojnë qartë kostot që do të duhet të shkaktohen në lidhje me zbatimin e këtij aktiviteti (të njëhershme dhe konstante) dhe flukse monetare shtesë (të reja) që do të merren. Në këtë rast, fluksi i parasë mund të kuptohet si kursim i kostos, parandalimi i humbjeve, si dhe të ardhura shtesë për ndërmarrjen.

Në praktikën ekonomike, është zakon të përdoret funksioni i kthimit nga investimi si treguesi kryesor që pasqyron këtë raport.

(14.1)

Funksioni i zbritjes përdoret kur analizohen investimet për të marrë parasysh ndikimin e faktorit kohë dhe për të sjellë kostot në kohë të ndryshme në një pikë (zakonisht në momentin kur projekti fillon zbatimin). Norma e skontimit në këtë rast merr parasysh ndryshimet në vlerën e parasë me kalimin e kohës.

Modeli i kthimit të investimit (14.1) tregon qartë se cilat dy detyra kryesore duhet të zgjidhen kur analizohet çdo projekt investimi dhe, në veçanti, një projekt për zbatimin e masave në fushën e sigurisë së informacionit: llogaritja e kostove që lidhen me projektin dhe llogaritja e parave shtesë. rrjedhin. Nëse metodologjia për llogaritjen e kostove totale () gjatë 10-15 viteve të fundit në përgjithësi është formuar plotësisht (në formën e konceptit të "Kostos totale të pronësisë", TCO - Kostoja totale e pronësisë, TCO) dhe përdoret në mënyrë aktive në praktikë në lidhje me lloje të ndryshme të sistemeve të informacionit dhe elementeve të infrastrukturës së informacionit, atëherë llogaritja e fluksit të parave shtesë () të marra si rezultat i investimeve në mjetet e sigurisë së informacionit, si rregull, shkakton vështirësi serioze. Një nga qasjet më premtuese për llogaritjen e këtij treguesi është një metodologji që bazohet në një vlerësim sasior (monetar) të rreziqeve të dëmtimit të burimeve të informacionit dhe një vlerësim të reduktimit të këtyre rreziqeve që lidhen me zbatimin e masave shtesë për mbrojtjen e informacionit. .

Kështu, në përgjithësi, përbërja e metodologjisë për analizimin e fizibilitetit të investimit në projekte që synojnë sigurimin e sigurisë së informacionit është paraqitur skematikisht në Fig. 14.1.

Analizimi i kostove që lidhen me zbatimin e një projekti, edhe pse një detyrë relativisht më e thjeshtë, mund të shkaktojë ende disa vështirësi. Ashtu si me shumë projekte të tjera në fushën e teknologjisë së informacionit, këshillohet të analizohen kostot e zbatimit të projekteve në fushën e sigurisë së informacionit bazuar në metodologjinë e njohur bazë "Total Cost of Ownership" - TCO (Total Cost of Ownership - TCO), i prezantuar nga kompania konsulente "Gartner Group" në 1987 në lidhje me kompjuterët personalë. Në përgjithësi, kjo metodologji synon të sigurojë plotësinë e analizës së kostove (të drejtpërdrejta dhe të tërthorta) që lidhen me teknologjia e informacionit dhe sistemet e informacionit, në situatat kur është e nevojshme të vlerësohen pasojat ekonomike të zbatimit dhe përdorimit të sistemeve të tilla: kur vlerësoni efektivitetin e investimeve, krahasoni teknologjitë alternative, hartoni buxhetet kapitale dhe operative, etj.

Në përgjithësi, vlera totale e TCO përfshin:

• kostot e projektimit sistemi i informacionit;
• kostot për blerjen e harduerit dhe softuerit: teknologji kompjuterike, hardueri i rrjetit, software (duke marrë parasysh metodat e licencimit të përdorura), si dhe pagesat e lizingut;
• kostot e zhvillimit software dhe dokumentacionin e tij, si dhe për korrigjimin e gabimeve në të dhe përmirësimin e tij gjatë periudhës së funksionimit;
• kostot për administrimin e vazhdueshëm të sistemeve të informacionit (duke përfshirë pagesën për shërbimet e organizatave të palëve të treta, të cilave këto funksione u jepen);
• kostot e mbështetjes teknike dhe të shërbimit;
• kostot e materialeve harxhuese;
• kostot e shërbimeve të telekomunikacionit (qasja në internet, kanale komunikimi të dedikuara dhe të ndërruara, etj.);
• kostot për përdoruesit e trajnimit, si dhe punonjësit e departamenteve të IT dhe departamentit të sigurisë së informacionit;
• kostot indirekte janë kostot e një ndërmarrje që lidhen me humbjen e kohës nga përdoruesit në rast të dështimeve në funksionimin e sistemeve të informacionit.

Gjithashtu, gjatë llogaritjes së kostove të rritjes së nivelit të sigurisë së informacionit, është e nevojshme të përfshihen kostot e riorganizimit të proceseve të biznesit dhe punë informative me personel: pagesa për shërbimet e konsulentëve dhe konsulentëve të biznesit për çështje të sigurisë së informacionit, kosto për zhvillimin e dokumentacionit organizativ, kosto për kryerjen e auditimeve të sigurisë së informacionit, etj. Për më tepër, kur analizohen kostot, është gjithashtu e nevojshme të merret parasysh fakti se në shumicën e rasteve, futja e mjeteve të sigurisë së informacionit nënkupton shfaqjen e përgjegjësive shtesë për personelin e ndërmarrjes dhe nevojën për të kryer operacione shtesë kur punoni me sistemet e informacionit. . Kjo shkakton një ulje të lehtë të produktivitetit të punonjësve të kompanisë dhe, në përputhje me rrethanat, mund të shkaktojë kosto shtesë.

Si të justifikohen kostot e sigurisë së informacionit?

Ribotuar me leje të mirë OJSC InfoTex Internet Trust
Teksti burimor gjendet Këtu.

Nivelet e maturimit të kompanisë

Gartner Group identifikon 4 nivele të pjekurisë së kompanisë për sa i përket sigurisë së informacionit (IS):

• Niveli 0:
• Askush nuk është i përfshirë në sigurinë e informacionit në kompani; menaxhmenti i kompanisë nuk e kupton rëndësinë e problemeve të sigurisë së informacionit;
• Nuk ka financim;
• Siguria e informacionit zbatohet duke përdorur mjete standarde sistemet operative, DBMS dhe aplikacionet (mbrojtja me fjalëkalim, kontrolli i aksesit në burime dhe shërbime).
• Niveli 1:
• Siguria e informacionit konsiderohet nga menaxhmenti si një problem thjesht "teknik"; nuk ka një program (koncept, politikë) të unifikuar për zhvillimin e sistemit të sigurisë së informacionit të kompanisë (ISMS);
• Financimi sigurohet brenda buxhetit të përgjithshëm të TI-së;
• Siguria e informacionit zbatohet me anë të nivelit zero + mjete Rezervo kopje, mjetet antivirus, muret e zjarrit, mjetet e organizimit të VPN (mjetet tradicionale të sigurisë).
• Niveli 2:
• Siguria e informacionit konsiderohet nga menaxhmenti si një kompleks masash organizative dhe teknike, ekziston një kuptim i rëndësisë së sigurisë së informacionit për proceset e prodhimit, ekziston një program për zhvillimin e ISMS të kompanisë të miratuar nga menaxhmenti;
• Siguria e informacionit zbatohet nga mjete të nivelit të parë + mjete të zgjeruara të vërtetimit, mjete për analizimin e mesazheve të postës elektronike dhe përmbajtjes së uebit, IDS (sistemet e zbulimit të ndërhyrjeve), mjetet e analizës së sigurisë, SSO (veglat e vërtetimit një herë), PKI (infrastruktura e çelësit publik) dhe masat organizative (auditimi i brendshëm dhe i jashtëm, analiza e rrezikut, politika e sigurisë së informacionit, rregulloret, procedurat, rregulloret dhe udhëzimet).
• Niveli 3:
• Siguria e informacionit është pjesë e kulturës së korporatës, është emëruar një CISA (oficer i lartë i sigurisë së informacionit);
• Financimi sigurohet brenda një buxheti të veçantë;
• Siguria e informacionit zbatohet me anë të sistemit të menaxhimit të nivelit të dytë + të sigurisë së informacionit, CSIRT (ekip i reagimit ndaj incidentit të sigurisë së informacionit), SLA (marrëveshje për nivelin e shërbimit).

Sipas Gartner Group (të dhënat e siguruara për vitin 2001), përqindja e kompanive në lidhje me 4 nivelet e përshkruara është si më poshtë:
Niveli 0 - 30%,
Niveli 1 - 55%,
Niveli 2 - 10%,
Niveli 3 - 5%.

Parashikimi i Gartner Group për vitin 2005 është si më poshtë:
Niveli 0 - 20%,
Niveli 1 - 35%,
Niveli 2 - 30%,
Niveli 3 - 15%.

Statistikat tregojnë se shumica e kompanive (55%) kanë zbatuar aktualisht grupin minimal të kërkuar të tradicionales mjete teknike mbrojtje (1 nivel).

Kur zbatohen teknologji të ndryshme dhe masa sigurie, shpesh lindin pyetje. Çfarë duhet të zbatohet së pari, një sistem zbulimi i ndërhyrjeve apo një infrastrukturë PKI? Cili do të jetë më efektiv? Stephen Ross, drejtor i Deloitte&Touche, propozon qasjen e mëposhtme për vlerësimin e efektivitetit të masave dhe mjeteve individuale të sigurisë së informacionit.

Bazuar në grafikun e mësipërm, mund të shihet se mjetet më të shtrenjta dhe më pak efektive janë mjetet e specializuara (të brendshme ose të bëra me porosi).

Më të shtrenjtat, por në të njëjtën kohë më efektive, janë produktet mbrojtëse të kategorisë 4 (nivelet 2 dhe 3 sipas Gartner Group). Për të zbatuar mjete në këtë kategori, është e nevojshme të përdoret një procedurë e analizës së rrezikut. Analiza e rrezikut në këtë rast do të sigurojë që kostot e zbatimit janë të përshtatshme për kërcënimet ekzistuese të shkeljeve të sigurisë së informacionit.

Më të lirat, por me një nivel të lartë efektiviteti, përfshijnë masat organizative (auditimi i brendshëm dhe i jashtëm, analiza e rrezikut, politika e sigurisë së informacionit, plani i vazhdimësisë së biznesit, rregulloret, procedurat, rregulloret dhe manualet).

Futja e mjeteve shtesë të mbrojtjes (kalimi në nivelet 2 dhe 3) kërkon investime të konsiderueshme financiare dhe, në përputhje me rrethanat, justifikim. Mungesa e një programi të unifikuar të zhvillimit të ISMS të miratuar dhe nënshkruar nga menaxhmenti e përkeqëson problemin e justifikimit të investimeve në siguri.

Analiza e Riskut

Një justifikim i tillë mund të jenë rezultatet e analizës së rrezikut dhe statistikave të grumbulluara mbi incidentet.Mekanizmat për zbatimin e analizës së rrezikut dhe mbledhjen e statistikave duhet të specifikohen në politikën e sigurisë së informacionit të kompanisë.

Procesi i analizës së rrezikut përbëhet nga 6 faza vijuese:

1. Identifikimi dhe klasifikimi i objekteve të mbrojtura (burimet e kompanisë që do të mbrohen);

3. Ndërtimi i një modeli të një sulmuesi;

4. Identifikimi, klasifikimi dhe analiza e kërcënimeve dhe dobësive;

5. Vlerësimi i rrezikut;

6. Përzgjedhja e masave organizative dhe mjeteve teknike të mbrojtjes.

Në skenë identifikimin dhe klasifikimin e objekteve të mbrojtjesËshtë e nevojshme të bëhet një inventar i burimeve të kompanisë në fushat e mëposhtme:

• Burimet e informacionit (informacionet konfidenciale dhe kritike të kompanisë);
• Burimet e softuerit (OS, DBMS, aplikacione kritike, si ERP);
• Burimet fizike (serverët, stacionet e punës, rrjeti dhe pajisjet e telekomunikacionit);
• Burimet e shërbimit ( Email, www, etj.).

Kategorizimiështë përcaktimi i nivelit të konfidencialitetit dhe kritikitetit të burimit. Konfidencialiteti i referohet nivelit të fshehtësisë së informacionit që ruhet, përpunohet dhe transmetohet nga një burim. Kriticiteti kuptohet si shkalla e ndikimit të një burimi në efikasitetin e proceseve të prodhimit të kompanisë (për shembull, në rast të ndërprerjes së burimeve të telekomunikacionit, kompania ofruese mund të falimentojë). Duke caktuar vlera të caktuara cilësore për parametrat e konfidencialitetit dhe kritikës, ju mund të përcaktoni nivelin e rëndësisë së secilit burim për sa i përket pjesëmarrjes së tij në proceset e prodhimit të kompanisë.

Për të përcaktuar rëndësinë e burimeve të kompanisë nga pikëpamja e sigurisë së informacionit, mund të merrni tabelën e mëposhtme:

Për shembull, dosjet me informacione për nivelin e pagave të punonjësve të kompanisë kanë një vlerë "rreptësisht konfidenciale" (parametri i konfidencialitetit) dhe një vlerë "të parëndësishme" (parametri i kriticitetit). Duke zëvendësuar këto vlera në tabelë, mund të merrni një tregues integral të rëndësisë së këtij burimi. Opsione të ndryshme për metodat e kategorizimit janë dhënë në standardin ndërkombëtar ISO TR 13335.

Ndërtimi i një modeli sulmuesiështë procesi i klasifikimit të dhunuesve të mundshëm sipas parametrave të mëposhtëm:

• Lloji i sulmuesit (konkurrent, klient, zhvillues, punonjës i kompanisë, etj.);
• Pozicioni i sulmuesit në lidhje me objektet e mbrojtjes (të brendshme, të jashtme);
• Niveli i njohurive për objektet e mbrojtura dhe mjedisin (i lartë, i mesëm, i ulët);
• Niveli i aftësisë për të hyrë në objektet e mbrojtura (maksimumi, mesatar, minimal);
• Kohëzgjatja e veprimit (vazhdimisht, në intervale të caktuara kohore);
• Vendndodhja e veprimit (vendndodhja e pritur e sulmuesit gjatë sulmit).

Duke caktuar vlera cilësore për parametrat e listuar të modelit të sulmuesit, mund të përcaktohet potenciali i sulmuesit (një karakteristikë integrale e aftësive të sulmuesit për të zbatuar kërcënimet).

Identifikimi, klasifikimi dhe analiza e kërcënimeve dhe dobësive ju lejon të përcaktoni mënyrat për të zbatuar sulme ndaj objekteve të mbrojtura. Dobësitë janë vetitë e një burimi ose mjedisi të tij që përdoren nga një sulmues për të zbatuar kërcënimet. Një listë e dobësive të burimeve të softuerit mund të gjendet në internet.

Kërcënimet klasifikohen sipas kritereve të mëposhtme:

• emri i kërcënimit;
• lloji i sulmuesit;
• mjetet e zbatimit;
• dobësitë e shfrytëzuara;
• veprimet e ndërmarra;
• frekuenca e zbatimit.

Parametri kryesor është frekuenca e zbatimit të kërcënimit. Varet nga vlerat e parametrave të "potencialit të sulmuesit" dhe "sigurisë së burimeve". Vlera e parametrit "siguria e burimeve" përcaktohet përmes vlerësimeve të ekspertëve. Gjatë përcaktimit të vlerës së parametrit, merren parasysh parametrat subjektive të sulmuesit: motivimi për zbatimin e kërcënimit dhe statistikat nga përpjekjet për të zbatuar kërcënimet. të këtij lloji(nëse në dispozicion). Rezultati i fazës së analizës së kërcënimit dhe cenueshmërisë është një vlerësim i parametrit të "frekuencës së zbatimit" për çdo kërcënim.

Në skenë vlerësimet e rrezikut dëmi i mundshëm nga kërcënimet e shkeljeve të sigurisë së informacionit përcaktohet për çdo burim ose grup burimesh.

Treguesi cilësor i dëmtimit varet nga dy parametra:

• Rëndësia e burimit;
• Frekuenca e zbatimit të kërcënimit në këtë burim.

Në bazë të vlerësimit të dëmeve të marra, masat organizative adekuate dhe mjetet teknike të mbrojtjes janë zgjedhur në mënyrë të arsyeshme.

Akumulimi i statistikave për incidentet

E vetmja pikë e dobët në metodologjinë e propozuar për vlerësimin e rrezikut dhe, në përputhje me rrethanat, justifikimin e nevojës për të futur ose ndryshuar teknologjitë ekzistuese të mbrojtjes është përcaktimi i parametrit "frekuenca e shfaqjes së kërcënimit". Mënyra e vetme për të marrë vlera objektive të këtij parametri është grumbullimi i statistikave për incidentet. Statistikat e akumuluara, për shembull, gjatë një viti do t'ju lejojnë të përcaktoni numrin e zbatimeve të kërcënimeve (të një lloji të caktuar) për burim (të një lloji të caktuar). Këshillohet që të kryhet puna për mbledhjen e statistikave si pjesë e procedurës së përpunimit të incidentit.

Ata investojnë në teknologji të ndryshme të sigurisë kompjuterike - nga platformat për pagesën e shpërblimeve për zbulimin e dobësive në programe deri te diagnostikimi dhe testimi i automatizuar i programeve. Por mbi të gjitha ata tërhiqen nga teknologjitë e vërtetimit dhe menaxhimit të informacionit të identitetit - rreth 900 milionë dollarë u investuan në startup-et që merren me këto teknologji në fund të vitit 2019.

Investimet në startup-et e trajnimit të sigurisë kibernetike arritën në 418 milionë dollarë në vitin 2019, të udhëhequra nga KnowBe4, e cila mblodhi 300 milionë dollarë. Fillimi ofron një platformë simulimi të sulmeve të phishing dhe një sërë programesh trajnimi.

Në vitin 2019, kompanitë e përfshira në sigurinë e Internetit të Gjërave morën rreth 412 milionë dollarë. Lider në këtë kategori për sa i përket vëllimit të investimeve është SentinelOne, e cila në vitin 2019 ka marrë 120 milionë dollarë për zhvillimin e teknologjive të mbrojtjes së pikës së fundit.

Në të njëjtën kohë, analistët e Metacurity japin të dhëna të tjera që karakterizojnë situatën në tregun e financimit të sipërmarrjeve në sektorin e sigurisë së informacionit. Në vitin 2019, vëllimi i investimeve këtu arriti në 6.57 miliardë dollarë, duke u rritur nga 3.88 miliardë dollarë në 2018. U rrit edhe numri i transaksioneve - nga 133 në 219. Në të njëjtën kohë, vëllimi mesatar i investimeve për transaksion mbeti praktikisht i pandryshuar dhe arriti në 29.2 milionë në fund të vitit 2019, siç llogaritet nga Metacurity.

2018

Rritja me 9% në 37 miliardë dollarë - Canalys

Në vitin 2018, shitjet e pajisjeve, softuerëve dhe shërbimeve të destinuara për sigurinë e informacionit (IS) arritën në 37 miliardë dollarë, një rritje prej 9% krahasuar me një vit më parë (34 miliardë dollarë). Të dhëna të tilla u publikuan nga analistët e Canalys më 28 mars 2019.

Pavarësisht se shumë kompani kanë prioritet mbrojtjen e aseteve, të dhënave, pikave përfundimtare, rrjeteve, punonjësve dhe klientëve të tyre, siguria kibernetike përbën vetëm 2% të shpenzimeve totale të IT në 2018, thanë ata. Megjithatë, gjithnjë e më shumë kërcënime të reja po shfaqen, ato po bëhen më komplekse dhe më të shpeshta, gjë që u ofron prodhuesve të zgjidhjeve të sigurisë së informacionit mundësi të reja për rritje. Shpenzimet totale për sigurinë kibernetike pritet të kalojnë 42 miliardë dollarë në vitin 2020.

Analisti i Canalys Matthew Ball beson se kalimi në modele të reja të zbatimit të sigurisë së informacionit do të përshpejtohet. Konsumatorët po ndryshojnë natyrën e buxheteve të tyre të TI-së duke përdorur shërbime publike cloud dhe shërbime fleksibël të bazuara në pajtim.

Rreth 82% e vendosjeve të sigurisë së informacionit në 2018 përfshinin përdorimin e harduerit dhe softuerit tradicional. Në 18% të rasteve të mbetura janë përdorur virtualizimi, retë publike dhe shërbimet e sigurisë së informacionit.

Deri në vitin 2020, pjesa e modeleve tradicionale për vendosjen e sistemeve të sigurisë së informacionit do të bjerë në 70%, pasi zgjidhjet e reja në treg po fitojnë popullaritet.

Shitësit do të duhet të krijojnë një gamë të gjerë modelesh biznesi për të mbështetur këtë tranzicion, pasi produkte të ndryshme përshtaten me lloje të ndryshme vendosjesh. Sfida kryesore për shumë njerëz sot është të bëjnë modelet e reja më të fokusuara në kanalet e filialeve dhe t'i integrojnë ato me ato ekzistuese programet e filialeve, veçanërisht me transaksionet e klientëve nëpërmjet platformave cloud. Disa tregje cloud tashmë i janë përgjigjur kësaj duke lejuar partnerët të ofrojnë oferta individuale dhe çmimet direkt te klientët duke ndjekur regjistrimet dhe zbritjet e marrëveshjeve, tha Matthew Ball në një postim të 29 marsit 2019.

Sipas analistit të Canalys, Ketaki Borade, shitësit kryesorë të teknologjisë së sigurisë kibernetike kanë prezantuar modele të reja të shpërndarjes së produkteve që përfshijnë kompanitë që lëvizin drejt një modeli abonimi dhe rrisin operacionet në infrastrukturën cloud.

Tregu i sigurisë kibernetike mbeti shumë dinamik dhe pa aktivitet dhe vëllim rekord të marrëveshjeve në përgjigje të kërkesave rregullatore dhe teknike në rritje, si dhe rrezikut të vazhdueshëm të përhapur të shkeljeve të të dhënave, tha Eric McAlpine, bashkëthemelues dhe partner menaxhues i Momentum Cyber. “Ne besojmë se ky moment do të vazhdojë ta shtyjë sektorin në një territor të ri, ndërsa ai kërkon të adresojë kërcënimet në zhvillim dhe konsolidohet përballë lodhjes së furnizuesve dhe mungesave në rritje të aftësive.”

2017

Shpenzimet e sigurisë kibernetike kaluan 100 miliardë dollarë

Në vitin 2017, shpenzimet globale për sigurinë e informacionit (IS) - produkte dhe shërbime - arritën në 101.5 miliardë dollarë, tha kompania kërkimore Gartner në mesin e gushtit 2018. Në fund të vitit 2017, ekspertët e vlerësuan këtë treg në 89.13 miliardë dollarë.Nuk raportohet se çfarë e shkaktoi rritjen e ndjeshme të vlerësimit.

CISO-të po kërkojnë të ndihmojnë organizatat e tyre të përdorin në mënyrë të sigurt platformat teknologjike për t'u bërë më konkurruese dhe për të nxitur rritjen e biznesit, thotë Siddharth Deshpande, drejtor kërkimi në Gartner. - Mungesa e vazhdueshme e aftësive dhe ndryshimet rregullatore si Rregullorja e Përgjithshme e Mbrojtjes së të Dhënave (GDPR) në Evropë po nxisin rritjen e mëtejshme në tregun e shërbimeve të sigurisë kibernetike.

Ekspertët besojnë se një nga faktorët kryesorë që kontribuon në rritjen e kostove për sigurinë e informacionit është futja e metodave të reja për zbulimin e kërcënimeve dhe reagimin ndaj tyre - ato janë bërë prioriteti kryesor siguria e organizatave në vitin 2018.

Sipas vlerësimeve të Gartner, në vitin 2017, organizatat e shpenzuara për shërbimet e mbrojtjes kibernetike globalisht i kaluan 52.3 miliardë dollarë. Në vitin 2018, këto kosto do të rriten në 58.9 miliardë dollarë.

Në vitin 2017, kompanitë shpenzuan 2.4 miliardë dollarë për mbrojtjen e aplikacioneve, 2.6 miliardë dollarë për mbrojtjen e të dhënave, shërbimet cloud- 185 milionë dollarë

Shitjet vjetore të zgjidhjeve për menaxhimin e identitetit dhe aksesit (Identity And Access Management) rezultuan të jenë të barabarta me 8.8 miliardë. Shitjet e mjeteve të mbrojtjes së infrastrukturës IT u rritën në 12.6 miliardë dollarë.

Studimi gjithashtu tregon për 10.9 miliardë dollarë shpenzime për pajisjet e përdorura për të siguruar sigurinë e rrjetit. Prodhuesit e tyre fituan 3.9 miliardë dollarë nga sistemet e menaxhimit të rrezikut të sigurisë së informacionit.

Shpenzimet e konsumatorëve për sigurinë kibernetike për vitin 2017 vlerësohen nga analistët në 5.9 miliardë dollarë, sipas një studimi të Gartner.

Gartner vlerësoi madhësinë e tregut në 89.13 miliardë dollarë

Në dhjetor 2017, u bë e ditur se shpenzimet globale të kompanive për sigurinë e informacionit (IS) në 2017 do të arrinin në 89.13 miliardë dollarë. Sipas Gartner, shpenzimet e korporatave për sigurinë kibernetike do të tejkalojnë shumën e vitit 2016 prej 82.2 miliardë dollarësh me gati 7 miliardë dollarë.

Ekspertët konsiderojnë se shërbimet e sigurisë së informacionit janë zëri më i madh i shpenzimeve: në vitin 2017, kompanitë do të ndajnë mbi 53 miliardë dollarë për këto qëllime krahasuar me 48.8 miliardë dollarë në 2016. Segmenti i dytë më i madh i tregut të sigurisë së informacionit janë zgjidhjet e mbrojtjes së infrastrukturës, kostot e të cilave në vitin 2017 do të arrijnë në 16.2 miliardë dollarë në vend të 15.2 miliardë dollarëve një vit më parë. Pajisjet e sigurisë së rrjetit janë në vendin e tretë (10.93 miliardë dollarë).

Struktura e shpenzimeve të sigurisë së informacionit përfshin gjithashtu softuerin e konsumatorit për sigurinë e informacionit dhe sistemet e identifikimit dhe menaxhimit të aksesit (Identity and Access Management, IAM). Gartner vlerëson kostot në këto zona në vitin 2017 në 4.64 miliardë dhe 4.3 miliardë dollarë, ndërsa në vitin 2016 shifrat ishin përkatësisht 4.57 miliardë dhe 3.9 miliardë dollarë.

Analistët presin rritje të mëtejshme në tregun e sigurisë së informacionit: në vitin 2018, organizatat do të rrisin shpenzimet për mbrojtjen kibernetike me 8% të tjera dhe do të ndajnë një total prej 96.3 miliardë dollarësh për këto qëllime. Ndër faktorët e rritjes, ekspertët renditën ndryshimin e rregulloreve në sektorin e sigurisë së informacionit dhe ndërgjegjësimi për kërcënimet e reja dhe strumbullari i kompanive drejt një strategjie biznesi dixhitale.

Në përgjithësi, shpenzimet për sigurinë kibernetike drejtohen kryesisht nga reagimi i kompanive ndaj incidenteve të sigurisë së informacionit, pasi numri i sulmeve kibernetike të profilit të lartë dhe rrjedhjeve të informacionit që prekin organizatat në mbarë botën po rritet, thotë Ruggero Contu, drejtor kërkimi në Gartner, duke komentuar parashikimin. .

Fjalët e analistit konfirmohen nga të dhënat e marra nga Gartner në vitin 2016 gjatë një sondazhi që përfshin 512 organizata nga tetë vende: Australia, Kanadaja, Franca, Gjermania, India, Singapori dhe SHBA.

53% e të anketuarve emëruan rreziqet e sigurisë kibernetike si forcën kryesore lëvizëse pas rritjes së shpenzimeve për sigurinë kibernetike. Nga ky numër, përqindja më e lartë e të anketuarve thanë se kërcënimi i sulmeve kibernetike ndikon më së shumti në vendimet e shpenzimeve për sigurinë e informacionit.

Parashikimi i Gartner për vitin 2018 kërkon rritje të shpenzimeve në të gjitha fushat kryesore. Kështu, rreth 57,7 miliardë dollarë (+ 4,65 miliardë dollarë) do të shpenzohen për shërbimet e mbrojtjes kibernetike, rreth 17,5 miliardë dollarë (+ 1,25 miliardë dollarë) do të shpenzohen për sigurimin e infrastrukturës dhe 11,67 miliardë dollarë (+ 735 milion dollarë), për softuerin e konsumatorit - 4,74 miliardë dollarë ( +109 milion dollarë) dhe për sistemet IAM - 4.69 miliardë dollarë (+416 milion dollarë).

Analistët besojnë gjithashtu se deri në vitin 2020, më shumë se 60% e organizatave në botë do të investojnë njëkohësisht në disa mjete për mbrojtjen e të dhënave, duke përfshirë parandalimin e humbjes së informacionit, enkriptimin dhe mjetet e auditimit. Në fund të vitit 2017, pjesa e kompanive që blejnë zgjidhje të tilla vlerësohej në 35%.

Një tjetër zë i rëndësishëm i shpenzimeve të korporatave për sigurinë e informacionit do të jetë përfshirja e specialistëve të palëve të treta. Pritet që, në sfondin e mungesës së personelit në fushën e sigurisë kibernetike, kompleksitetit teknik në rritje të sistemeve të sigurisë së informacionit dhe rritjes së kërcënimeve kibernetike, kostot e kompanisë për kontraktimin e sigurisë së informacionit në 2018 do të rriten me 11% dhe do të arrijnë në 18.5 miliardë dollarë. .

Gartner vlerëson se deri në vitin 2019, shpenzimet e korporatave për ekspertët e palëve të treta të sigurisë kibernetike do të përbëjnë 75% të totalit të shpenzimeve të softuerit dhe harduerit të sigurisë kibernetike, nga 63% në 2016.

IDC parashikon që madhësia e tregut të jetë 82 miliardë dollarë

Dy të tretat e kostove do të vijnë nga kompanitë e klasifikuara si biznese të mëdha dhe shumë të mëdha. Deri në vitin 2019, sipas analistëve të IDC, kostot e korporatave me më shumë se 1000 punonjës do të kalojnë shifrën 50 miliardë dollarë.

2016: Vëllimi i tregut 73.7 miliardë dollarë, rritje 2 herë më shumë se tregu i IT

Në tetor 2016, kompania analitike IDC prezantoi rezultate të shkurtra të një studimi të tregut global të sigurisë së informacionit. Rritja e saj pritet të jetë dyfishi i asaj të tregut të IT.

IDC llogarit se shitjet globale të pajisjeve, softuerëve dhe shërbimeve për mbrojtjen kibernetike do të arrijnë rreth 73.7 miliardë dollarë në vitin 2016, dhe në vitin 2020 kjo shifër do të kalojë 100 miliardë dollarë, duke arritur në 101.6 miliardë dollarë. Në periudhën nga 2016 deri në 2020, tregu i sigurisë së informacionit - teknologjia do të rritet me një normë mesatare prej 8.3% në vit, që është dyfishi i ritmit të rritjes së pritur të industrisë së IT.

Shpenzimet më të mëdha të sigurisë së informacionit (8.6 miliardë dollarë) në fund të vitit 2016 priten në banka. Në vendin e dytë, të tretë dhe të katërt për nga madhësia e këtyre investimeve do të jenë përkatësisht ndërmarrjet e prodhimit diskrete, agjencitë qeveritare dhe ndërmarrjet e prodhimit të vazhdueshëm, të cilat do të përbëjnë rreth 37% të shpenzimeve.

Analistët japin drejtimin në dinamikën e rritjes së investimeve të sigurisë së informacionit në kujdesin shëndetësor (një rritje mesatare vjetore prej 10.3% pritet në 2016-2020). Kostot e mbrojtjes kibernetike në sektorin e telekomit, strehimit, agjencive qeveritare dhe në tregun e investimeve dhe letrave me vlerë do të rriten me rreth 9% në vit.

Studiuesit e quajnë tregun amerikan tregun më të madh të sigurisë së informacionit, vëllimi i të cilit do të arrijë në 31.5 miliardë dollarë në vitin 2016. Tre të parët do të përfshijnë gjithashtu Evropën Perëndimore dhe rajonin Azi-Paqësor (me përjashtim të Japonisë). Nuk ka asnjë informacion për tregun rus në versionin e shkurtër të studimit IDC.

Drejtori i Përgjithshëm i kompanisë ruse Security Monitor Dmitry Gvozdev parashikon një rritje të pjesës së shërbimeve në shpenzimet totale të sigurisë ruse nga 30-35% në 40-45%, dhe gjithashtu parashikon zhvillimin e strukturës së klientit të tregut - nga totali mbizotërimi i sektorit qeveritar, financiar dhe energjetik ndaj ndërmarrjeve të mesme nga një gamë më e gjerë industrish.

Një nga tendencat duhet të jetë zhvillimi i pjesës së produkteve softuerike vendase në lidhje me çështjet e zëvendësimit të importeve dhe situatën e politikës së jashtme. Megjithatë, shkalla në të cilën kjo do të reflektohet në treguesit financiarë do të varet kryesisht nga kursi i këmbimit të rublës dhe politika e çmimeve të shitësve të huaj, të cilët ende zënë të paktën gjysmën e tregut vendas për zgjidhjet softuerike dhe deri në dy të tretat në segmenti i pajisjeve. Rezultati përfundimtar financiar vjetor i të gjithë tregut rus të zgjidhjeve të sigurisë së informacionit mund të lidhet gjithashtu me faktorë të jashtëm ekonomikë, tha Gvozdev në një bisedë me TAdviser.

2015

MADHËSIA E TREGUT

SHPENZIMET FEDERALE

KRIMI KIBER

KOSTOT PËR SHKELJE

SHËRBIMET FINANCIARE

Ndërkombëtare

ANALITIKA E SIGURISË

2013: Tregu EMEA u rrit në 2.5 miliardë dollarë.

Vëllimi i tregut të pajisjeve të sigurisë në rajonin EMEA (Evropë, Lindja e Mesme dhe Afrikë) u rrit me 2.4% krahasuar me vitin 2012 dhe arriti në 2.5 miliardë dollarë. Analistët i quajtën softuerët dhe sistemet harduerike shumëfunksionale për mbrojtje, segmentin më të madh dhe me rritje më të shpejtë të tregut në shqyrtim. rrjetet kompjuterike– Zgjidhjet UTM (Menaxhimi i unifikuar i kërcënimeve). Në të njëjtën kohë, IDC parashikoi që tregu i pajisjeve të sigurisë së informacionit deri në vitin 2018 do të arrijë në 4.2 miliardë dollarë në vlerë me një rritje mesatare vjetore prej 5.4%.

Në fund të vitit 2013, pozicioni kryesor midis furnizuesve për sa i përket të ardhurave nga shitja e pajisjeve të sigurisë së informacionit në rajonin EMEA u mor nga Check Point. Sipas IDC, të ardhurat e shitësit në këtë segment për vitin 2013 u rritën me 3.8% dhe arritën në 374.64 milionë dollarë, që korrespondon me një pjesë tregu prej 19.3%.

2012: Parashikimi i PAC: Tregu i sigurisë së informacionit do të rritet me 8% në vit

Tregu global i sigurisë së informacionit do të rritet me 8% çdo vit deri në vitin 2016, kur mund të arrijë në 36 miliardë euro, raportoi studimi.

Siç është vërejtur tashmë, siguria e një ndërmarrje sigurohet nga një sërë masash në të gjitha fazat e ciklit të saj jetësor, sistemi i saj i informacionit dhe, në përgjithësi, përbëhet nga kostoja:

• - punë projektimi;
• - prokurimi dhe konfigurimi i mjeteve të mbrojtjes së softuerit dhe harduerit;
• - kostot e sigurimit të sigurisë fizike;
• - trajnimi i personelit;
• - menaxhimi dhe mbështetja e sistemit;
• - auditimi i sigurisë së informacionit;
• - modernizimi periodik i sistemit të sigurisë së informacionit etj.

Treguesi i kostos së efikasitetit ekonomik të një sistemi të integruar të sigurisë së informacionit do të jetë shuma e kostove direkte dhe indirekte për organizimin, funksionimin dhe mirëmbajtjen e sistemit të sigurisë së informacionit gjatë gjithë vitit.

Mund të konsiderohet si një tregues sasior kryesor i efektivitetit të organizimit të sigurisë së informacionit në një kompani, pasi do të lejojë jo vetëm të vlerësojë kostot totale të mbrojtjes, por të menaxhojë këto kosto për të arritur nivelin e kërkuar të sigurisë së ndërmarrjes. Megjithatë, kostot direkte përfshijnë si komponentët e kostos kapitale ashtu edhe kostot e punës, të cilat përfshihen në kategoritë e operacioneve dhe menaxhimit administrativ. Kjo përfshin gjithashtu koston e shërbimeve përdoruesit e largët dhe të tjera që lidhen me mbështetjen e aktiviteteve të organizatës.

Kostot indirekte, nga ana tjetër, pasqyrojnë ndikimin e sistemit të integruar të sigurisë dhe nënsistemit të sigurisë së informacionit tek punonjësit përmes treguesve të tillë të matshëm si koha e ndërprerjes dhe ngrirja e sistemit të sigurisë së informacionit të korporatës dhe sistemit të integruar të sigurisë në tërësi, operacioneve dhe kostove mbështetëse.

Shumë shpesh, kostot indirekte luajnë një rol të rëndësishëm, pasi ato zakonisht nuk pasqyrohen fillimisht në buxhet për një sistem sigurie gjithëpërfshirëse, por zbulohen në mënyrë eksplicite gjatë analizës së kostos më vonë, gjë që përfundimisht çon në një rritje të kostove "të fshehura" të kompanisë. Le të shqyrtojmë se si mund të përcaktoni kostot direkte dhe indirekte të një sistemi sigurie gjithëpërfshirëse. Le të supozojmë se menaxhmenti i një ndërmarrje po punon për të zbatuar një sistem gjithëpërfshirës të sigurisë së informacionit në ndërmarrje. Tashmë janë identifikuar objektet dhe qëllimet e mbrojtjes, kërcënimet ndaj sigurisë së informacionit dhe masat për t'iu kundërvënë atyre, janë blerë dhe instaluar mjetet e nevojshme për mbrojtjen e informacionit.

Në mënyrë tipike, kostot e sigurisë së informacionit ndahen në kategoritë e mëposhtme:

• - kostot për formimin dhe mirëmbajtjen e lidhjes së menaxhimit të sistemit të sigurisë së informacionit;
• - kostot e kontrollit, pra të përcaktimit dhe konfirmimit të nivelit të arritur të sigurisë së burimeve të ndërmarrjes;
• - kostot e brendshme për eliminimin e pasojave të shkeljes së sigurisë së informacionit - kostot e bëra nga organizata si rezultat i faktit se nuk u arrit niveli i kërkuar i sigurisë;
• - kostot e jashtme për eliminimin e pasojave të shkeljes së sigurisë së informacionit - kompensimi i humbjeve për shkak të shkeljeve të politikës së sigurisë në rastet që lidhen me rrjedhjen e informacionit, humbjen e imazhit të kompanisë, humbjen e besimit të partnerëve dhe konsumatorëve, etj.;
• - shpenzimet për Mirëmbajtja sistemet e sigurisë së informacionit dhe masat për të parandaluar shkeljet e politikës së sigurisë së ndërmarrjes.

Në këtë rast, zakonisht dallohen kostot e njëhershme dhe sistematike.

Kostot e njëhershme për krijimin e sigurisë së ndërmarrjes: kostot organizative dhe kostot për blerjen dhe instalimin e pajisjeve mbrojtëse.

Kostot sistematike, operative dhe të mirëmbajtjes. Klasifikimi i kostove është i kushtëzuar, pasi mbledhja, klasifikimi dhe analiza e kostove për sigurinë e informacionit janë aktivitetet e brendshme të ndërmarrjeve, dhe zhvillimi i detajuar i listës varet nga karakteristikat e një organizate të caktuar.

Gjëja kryesore gjatë përcaktimit të kostove të një sistemi sigurie është mirëkuptimi dhe marrëveshja e ndërsjellë për artikujt e kostos brenda ndërmarrjes.

Përveç kësaj, kategoritë e kostove duhet të jenë të qëndrueshme dhe nuk duhet të dublikojnë njëra-tjetrën. Është e pamundur të eliminohen plotësisht kostot e sigurisë, por ato mund të reduktohen në një nivel të pranueshëm.

Disa kosto sigurie janë absolutisht të nevojshme, dhe disa mund të reduktohen ose eliminohen ndjeshëm. Këto të fundit janë ato që mund të zhduken në mungesë të shkeljeve të sigurisë ose do të bien nëse numri dhe ndikimi shkatërrues i shkeljeve ulet.

Duke ruajtur sigurinë dhe duke parandaluar shkeljet, kostot e mëposhtme mund të eliminohen ose reduktohen ndjeshëm:

• - të rivendosë sistemin e sigurisë për të përmbushur kërkesat e sigurisë;
• - për të rivendosur burimet mjedis informacioni ndërmarrjet;
• - për ndryshime brenda sistemit të sigurisë;
• - për kontestet juridike dhe pagesat e kompensimit;
• - të identifikojë shkaqet e shkeljeve të sigurisë.

Kostot e nevojshme janë ato që janë të nevojshme edhe nëse niveli i kërcënimeve të sigurisë është mjaft i ulët. Këto janë kostot e ruajtjes së nivelit të arritur të sigurisë së mjedisit të informacionit të ndërmarrjes.

Kostot e pashmangshme mund të përfshijnë:

• a) mirëmbajtjen e pajisjeve teknike mbrojtëse;
• b) menaxhimi i të dhënave konfidenciale;
• c) funksionimin dhe auditimin e sistemit të sigurisë;
• d) niveli minimal i inspektimeve dhe kontrollit me përfshirjen e organizatave të specializuara;
• e) trajnimin e personelit në metodat e sigurisë së informacionit.

Megjithatë, ka kosto të tjera që janë mjaft të vështira për t'u përcaktuar. Midis tyre:

• a) kostot e kryerjes së kërkimeve shtesë dhe zhvillimit të një strategjie të re tregu;
• b) humbjet nga ulja e përparësisë në kërkimin shkencor dhe pamundësia për të patentuar dhe shitur licenca për arritje shkencore dhe teknike;
• c) kostot që lidhen me eliminimin e pengesave në furnizimin, prodhimin dhe tregtimin e produkteve;
• d) humbjet nga kompromisi i produkteve të prodhuara nga ndërmarrja dhe ulja e çmimeve për to;
• e) shfaqja e vështirësive në blerjen e pajisjeve ose teknologjive, duke përfshirë rritjen e çmimeve për to, duke kufizuar vëllimin e furnizimeve.

Kostot e listuara mund të shkaktohen nga veprimet e personelit të departamenteve të ndryshme, për shembull, dizajni, planifikimi teknologjik, ekonomik, ligjor, ekonomik, marketingu, politika tarifore dhe çmimi.

Meqenëse punonjësit e të gjitha këtyre departamenteve nuk ka gjasa të jenë të zënë me kohë të plotë me çështjet e humbjeve të jashtme, përcaktimi i shumës së kostove duhet të kryhet duke marrë parasysh kohën aktuale të shpenzuar. Një nga elementët e humbjeve të jashtme nuk mund të llogaritet me saktësi - këto janë humbje që lidhen me dëmtimin e imazhit të ndërmarrjes, duke ulur besimin e konsumatorëve në produktet dhe shërbimet e ndërmarrjes. Është për këtë arsye që shumë korporata fshehin faktin se shërbimi i tyre është i pasigurt. Korporatat i frikësohen publikimit të një informacioni të tillë edhe më shumë sesa i frikësohen sulmeve në një formë ose në një tjetër.

Megjithatë, shumë biznese i injorojnë këto kosto mbi bazën se ato nuk mund të përcaktohen me asnjë shkallë saktësie - ato janë vetëm të supozuara. Kostot e masave parandaluese. Këto kosto janë ndoshta më të vështirat për t'u vlerësuar sepse aktivitetet parandaluese kryhen nëpër departamente të ndryshme dhe prekin shumë shërbime. Këto kosto mund të shfaqen në të gjitha fazat e ciklit jetësor të burimeve të mjedisit të informacionit të ndërmarrjes:

• - planifikimi dhe organizimi;
• - blerja dhe vënia në punë;
• - dorëzim dhe mbështetje;
• - monitorimi i proceseve që përbëjnë teknologjinë e informacionit.

Përveç kësaj, shumica e kostove në këtë kategori lidhen me personelin e sigurisë. Kostot e parandalimit përfshijnë kryesisht pagat dhe shpenzimet e përgjithshme. Sidoqoftë, saktësia e përcaktimit të tyre varet kryesisht nga saktësia e përcaktimit të kohës së kaluar nga secili punonjës individualisht. Disa kosto paraprake janë të lehta për t'u identifikuar drejtpërdrejt. Ato, në veçanti, mund të përfshijnë pagesën për punë të ndryshme të palëve të treta, për shembull:

• - mirëmbajtjen dhe konfigurimin e mjeteve mbrojtëse të softuerit dhe harduerit, sistemeve operative dhe pajisjeve të rrjetit të përdorura;
• - kryerja e punëve inxhinierike dhe teknike për instalimin e sistemeve të alarmit, pajisjen e ambienteve të ruajtjes së dokumenteve konfidenciale, mbrojtjen e linjave të komunikimit telefonik, pajisjeve kompjuterike, etj.;
• - dërgimi i informacionit konfidencial;
• - konsultime;
• - kurse trajnimi.

Burimet e informacionit në lidhje me kostot e konsideruara. Gjatë përcaktimit të kostove të sigurimit të sigurisë së informacionit, është e nevojshme të mbani mend se:

• - shpenzimet për blerjen dhe vënien në punë të softuerit dhe harduerit mund të merren nga analiza e faturave, regjistrimeve në dokumentacionin e magazinës etj.;
• - pagesat për personelin mund të merren nga deklaratat;
• - vëllimi i pagesave të pagave duhet të merret parasysh duke marrë parasysh kohën aktuale të shpenzuar për kryerjen e punës për të garantuar sigurinë e informacionit; nëse vetëm një pjesë e kohës së punonjësit shpenzohet në aktivitete për të siguruar sigurinë e informacionit, atëherë fizibiliteti i vlerësimit të secilit prej komponentëve shpenzimet e kohës së tij nuk duhet të vihen në dyshim;
• - klasifikimi i kostove të sigurisë dhe shpërndarja e tyre ndërmjet elementeve duhet të bëhet pjesë e punës së përditshme brenda ndërmarrjes.