Окупаемость ПО для безопасности – вопрос, постоянно обсуждаемый на специализированных форумах соответствующими специалистами. Достаточно распространенной в среде ИБ-профессионалов является точка зрения, что ПО для обеспечения безопасности не должно окупаться, поскольку основная его задача – защищать компанию от потери средств в результате реализации информационных рисков, а не помогать ей зарабатывать деньги. Тем не менее, если принять ущерб от ИБ-инцидентов как некий доход отрицательной величины, становится понятной и вторая точка зрения, которая говорит, что ИБ-системы могут окупаться, предотвращая утечки данных, заражения вредоносными программами, внешние атаки на корпоративную сеть и прочие подобные инциденты.
ПО для безопасности может быть самым разным, ведь сюда входят и антивирусы, и межсетевые экраны, и утилиты, проверяющие наличие уязвимостей в системе… Аналитические системы собирают данные и позволяют их анализировать. Самый яркий и самый распространенный представитель этой категории ПО для безопасности – DLP-системы. Эта аббревиатура происходит от английского Data Leak Prevention – предотвращение утечек данных.
DLP-системы осуществляют мониторинг всего проходящего через корпоративную сеть трафика, играя роль контура информационной безопасности компании. При этом при обнаружении отправки конфиденциальных данных система уведомит об этом специалиста по информационной безопасности, и при необходимости блокирует дальнейшую передачу таких данных.
Прежде всего, стоит выяснить, какие затраты входят в стоимость самой DLP-системы. Все их можно разделить на две большие группы: единовременные и постоянные затраты. К первым относятся расходы на внедрение: стоимость услуг компании-интегратора, стоимость лицензий на ПО, разработка корпоративных политик информационной безопасности, и прочие сопутствующие затраты (например, покупка серверов и дополнительного ПО). К постоянным затратам относится зарплата работающего с DLP-системой персонала, расходы на оплату технической поддержки со стороны производителя системы, а также техническая поддержка сопутствующего ПО (если такое есть и если такая поддержка необходима).
Для разных DLP-систем, как и для разных организаций, суммы в каждом из пунктов могут отличаться в разы, поэтому приводить их здесь вряд ли имеет смысл. Правда, можно отталкиваться от статистики независимых исследовательских организаций, которая говорит, что средняя стоимость внедрения DLP-системы в России составляет около 400 тысяч рублей, при средней стоимости лицензии на одно рабочее место в 4,5 тысяч рублей. Впрочем, необходимо ещё раз напомнить, что это «средняя температура по больнице», которая может в случае вашей компании не иметь ничего общего с реальным положением дел.
Что ж, с «расходной частью» всё более менее-понятно. Теперь стоит разобраться с тем, каким именно образом возникает ущерб от ИБ-инцидентов на примере утечек информации, с которыми борется DLP-система. Основные каналы ущерба таковы:
• Недополученная прибыль в результате утраты конкурентных преимуществ;
• Судебные издержки на урегулирование споров с пострадавшими от утечек;
• Штрафы со стороны регуляторов;
• Ущерб для кадрового резерва компании;
• Ущерб для репутации с точки зрения потенциальных и действующих клиентов.
Необходимо отметить, что пункты в этом списке расположены вовсе не по порядку значимости ущерба: к примеру, именно имиджевый ущерб, в конечном итоге, оказывается, как правило, самым значительным слагаемым, в то время как штрафы регуляторов (по крайней мере, на постсоветском пространстве) нельзя назвать чрезвычайно высокими для юридических лиц.
Можно воспользоваться следующей грубой статистикой: по данным Ponemone Institute, средняя стоимость одной утечки данных в мире составляет около $5.5 млн. С учетом российских реалий эту цифру можно уменьшить где-то на 40%. Также нужно знать, что по данным компании SearchInform, сегодня более 65% российских компаний сталкиваются с утечками конфиденциальной информации хотя бы раз в течение календарного года, и из них более 60% не реже, чем раз в квартал. То есть, вероятность получить значительный финансовый ущерб в результате только утечки информации, не считая других инцидентов, связанных с ИБ, более чем высока.