Оптимизация бюджета, расходуемого на безопасность

Согласно традиции, хорошая новость сообщается первой: расходы на безопасность увеличиваются в глобальном масштабе. Плохая - растет и количество успешно проведенных кибератак. И, возможно, именно поэтому расходы на охранную сферу в этом году, согласно результатам исследования компании PricewaterhouseCoopers, составили 4,3 миллиона долларов (на 51% больше, чем в прошлом году, и почти вдвое больше сравнительно с 2,2 миллионами в 2010-м).

«Большинство организаций спешит приобрести последние устройства разработчиков технологической продукции, не учитывая, как это может повлиять на безопасность», - считает Джей Лик, директор отдела по защите информации The Blackstone Group.

В ходе уже 11-го по счету ежегодного исследования Global Information Security Survey, в котором участвовали 9 600 представителей различных организаций, удалось выяснить, что потери ряда компаний от определенных информационных утечек превышали 10 миллионов долларов. Это на 75% больше аналогичного показателя двухлетней давности. Общая стоимость ущерба от кибератак также увеличивается - с 2012 по 2013 годы она выросла на 9%.

Ясно одно: организации предпочитают не тратить на технологии, которые позволяют бороться с активностью в киберпространстве. Согласно исследованию, анализ по части вредоносного ПО проводит 51% компаний, участвовавших в исследовании, инспектирование сетевого трафика - 41%, проверку девайсов осуществляют 34%, углубленную проверку пакетов данных - 27%, моделирование угроз - 21%.

Персонал

Оценка уровня укомплектованности персонала является не такой уж простой задачей, как считает Джон Пескаторе, директор отдела по изучению новых угроз в SANS Institute. Один из способов оценки укомплектованности персонала, по мнению сотрудника SANS Institute, - сравнить численность специалистов, занимающимися вопросами безопасности, с общим количеством персонала. Также можно сравнить с количеством сотрудников службы безопасности, работающих в других компаниях.

Что касается расходов, то, как минимум, на протяжении следующих нескольких лет будет целесообразным вложение средства в подбор специалистов. Согласно результатам недавнего исследования, в прошлом году по всему миру работало около 2,25 миллиона профессионалов в сфере информационной безопасности. За два года эта цифра, согласно прогнозам, может увеличиться до 4,25 миллиона человек. Эксперты предполагают, что численность квалифицированных специалистов сократится на 47%.  

Программное обеспечение

Еще один способ оптимизировать расходуемый на безопасность бюджет  - убедиться, что он в действительности соответствует текущим требованиям. «Очень часто приобретается "стограммное" обеспечение (совершенно ненужное ПО), - говорит Джаввад Малик, аналитик The 451 Group. - Во время нашего опроса ни один респондент не сказал, что в его компании существует практика списания старой IT-продукции».

В некоторых компаниях описанная ситуация повторяется из года в год: организации покупают новые приложения и программы, но тем не менее не отказываются от старых, даже несмотря на то, что старые разработки недостаточно эффективны. «Они боятся, что это может на что-то повлиять, опасаются, что работа старого ПО слишком тесно связана с общей системой, даже несмотря на то, что от приложения нет никакой пользы», - объясняет аналитик.    

Обучение сотрудников

Энди Эллис из Akamai Technologies говорит, что это весьма распространенное явление, когда покупается охранное оборудование, обращаться с которыми никто из сотрудников должным образом не умеет, либо же когда на обучение персонала не выделяется достаточно средств. Прежде, чем покупать продукты класса SIEM, файерволц или же программное обеспечение для анализа вирусных угроз, Эллис советует задуматься над некоторыми вопросами.

• Есть ли сотрудники, знающие, как использовать определенную систему?
• Смогут ли они установить, пользоваться и устранять неполадки системы?
• Насколько эффективна система?

Негативные ответы на означенные вопросы могут свидетельствовать о том, что покупка была необдуманной, но и утвердительные ответы не всегда указывают на целесообразно составленный бюджет. Однако, по крайней мере, это доказывает, что деньги не были выброшены на ветер, полагает аналитик, по наблюдениям которого многие компании покупают аппаратуру, не приносящую вообще никакой пользы лишь потому, что операторы не умеют ее толком настроить.