Журнал "Information Security/ Информационная безопасность" #5, 2019

По моему опыту, при оптимизации расходов ответственный за информа- ционную безопасность ока- зывается "в тисках": с одной стороны, ему нужно обес- печивать должный уровень безопасности и выполнять Compliance, а с другой – вписаться в обозначенный руководством бюджет. Рано или поздно менеджер ИБ сталкива- ется с ограничениями бюджета по ряду разных при- чин: финансовые трудности у компании, руководство желает оптимизировать расходы и т.д. По моему опыту, при оптими- зации расходов ответственный за информационную безопас- ность оказывается "в тисках": с одной стороны, ему нужно обеспечивать должный уровень безопасности и выполнять Compliance, а с другой – впи- саться в обозначенный руко- водством бюджет. На практике можно выделить следующие направления воз- можной оптимизации затрат: 1. Лицензии и техподдержка на СЗИ. 2. Человеческие ресурсы. 3. Аутсорсинг процессов. 4. Реализация взаимовыгод- ных проектов. Лицензии и техподдержка на СЗИ Самое первое, что приходит в голову, – это экономия на закупке СЗИ путем замены ранее выбранных средств защи- ты более дешевыми альтерна- тивными или переговоры с интеграторами о снижении цены. Можно рассмотреть вари- ант постепенной покупки нуж- ного количества СЗИ, частями в течение нескольких лет. Плюс этого подхода в воз- можности сэкономить и/или уменьшить финансовую нагруз- ку в текущий момент времени. К минусам относится то, что: l альтернативный продукт может оказаться не настолько эффективным, как изначально выбранный, и возрастет веро- ятность реализации закрывае- мых угроз; l есть риск, что в последующие годы руководство повторно попросит сократить расходы. Использование SaaS Еще один из способов – отка- заться от приобретения СЗИ и воспользоваться Software-as- a-Service (SaaS). Тогда можно в короткие сроки получить пол- ноценный сервис и существенно сэкономить при единовремен- ной закупке (иногда до 70%). При этом освобождаются чело- веческие ресурсы, так как про- падает потребность осуществ- лять техническую поддержку СЗИ (СЗИ обслуживаются вла- дельцем сервиса), а также наблюдается снижение CAPEX и увеличение OPEX, если финансовая модель предприя- тия приветствует снижение собственных активов (снижение налогооблагаемой базы). Среди минусов: l стандартная подписка обычно ограничена по функционально- сти; l отсутствует возможность самостоятельной настройки сервиса; l настройка и добавление спе- цифичных функций потребует дополнительных затрат; l снижение CAPEX – увеличе- ние OPEX, если финансовая модель предприятия привет- ствует увеличение собственных активов (увеличение стоимости организации). Совет: во время принятия решения об использовании SaaS или приобретении СЗИ необходимо оценивать общие затраты на владение в период минимум 3–5 лет. Часто бывает, что при длительном владении собственными СЗИ общие затраты оказываются меньше, чем подписка на SaaS. Смена продукта Можно внедрить практику, получившую широкое распро- странение в Европе, – смену про- дукта для получения первона- чальной скидки. Ставка делается на желание вендора "переманить" клиента у конкурента. В таких случаях новому клиенту предла- гается хорошая скидка на перво- начальную лицензию СЗИ при условии перехода от конкурента, что дает возможность существен- но сэкономить (иногда до 30%). Однако при злоупотреблении можно получить плохую репу- тацию среди вендоров, а вместо скидок – повышение цены. Кроме того, каждый переход на новый продукт потребует внутренних трудозатрат на внедрение, а если ресурсы не из вашего подразделения, то это может вызвать негативную реакцию их владельца. 18 • УПРАВЛЕНИЕ Четыре проверенных способа оптимизировать расходы на ИБ азвивать информационную безопасность непросто, особенно когда руководство не позволяет увеличивать расходы или еще хуже – требует их оптимизации. Тем не менее, если не опускать руки, а включить мозги, то поддерживать информационную безопасность на приемлемом уровне и развивать возможно даже при жесткой экономии. Более 13 лет я проработал руководителем ИБ в различного рода организациях – министерствах, кредитных учреждениях, энергетических компаниях. Я накопил немалый практический опыт управления ИБ, которым хотелось бы поделиться в этой статье. Р Андрей Степанов, эксперт по информационной безопасности