Впрочем, если ходить к консультантам нет денег или времени, то можно быстро самому «набросать» основные риски, придерживаясь нескольких сравнительно простых правил:
• Нужно классифицировать все имеющиеся в организации информационные ресурсы с точки зрения критичности для бизнеса и их стоимости (согласитесь, что база данных клиентов и, скажем, каталог промо-материалов имеют разную ценность);
• Нужно выявить наиболее вероятные для каждого из информационных ресурсов угрозы и затем провести анализ вероятности их реализации. К примеру, для той же базы клиентов высока вероятность утечки со стороны ведущих её менеджеров. При этом стоит пользоваться уже накопленным в компании опытом и статистикой из общедоступных источников.
• Нужно вычислить стоимость одного инцидента, исходя из вероятности его реализации и стоимости информационного ресурса.
Соответственно, зная риски утечки тех или иных данных, можно и посчитать, как быстро окупится DLP-система. Между прочим, благодаря тому, что сегодня большинство ведущих DLP-систем имеет модульную архитектуру, заранее вычисленные риски позволят также заметно сэкономить на приобретении лицензий на DLP-систему, потому что компания может купить только действительно необходимые ей модули, защищающие самые важные информационные активы.
Нужно сказать, что в отдельных случаях самостоятельный расчет рисков (как, впрочем, и расчет со стороны консалтинговых компаний) может привести к тому, что окупаемость аналитического ПО для безопасности окажется близкой к нулю, а утечки и другие инциденты, тем не менее, продолжают исправно происходить. В такой ситуации будет лучшим из возможных решений не обращать внимания на показатели окупаемости, поскольку экономика ИБ-инцидентов существенно отличается от экономики регулярного бизнеса, где работают статистические законы больших чисел и все данные хорошо просчитываются на их основании.
