Несмотря на продолжающийся рост рынка инструментов IT-безопасности, на нем сохраняется существенное расслоение – компании по-разному оценивают необходимость защиты, применяя как недостаточно эффективные решения, так и неоправданно дорогие инструменты. Это создает на рынке острую потребность в корректной и понятной методике оценки достаточных и необходимых затрат на защиту информации.
Безопасность в IT является одной из самых популярных тем для дискуссий, а также регулярно растущей статьей любого IT-бюджета. По оценкам IDC, к 2015 году только компании малого и среднего бизнеса потратят на системы защиты более $5,6 млрд., и темпы роста этих расходов опережают общий рост затрат на IT вдвое. Хотя в «фортификации» компьютерных систем компаний можно выделить ряд тенденций, например, растущий интерес к управлению мобильными устройствами (MDM), общих закономерностей роста найти не удастся – в большинстве компаний (особенно в малом и среднем бизнесе) системного подхода к стратегии защиты нет.
Многие руководители воспринимают расходы на безопасность примерно так же, как автострахование, указывает Вольфганг Мэй из Barracuda Networks. Если безопасность щедро оплачена и никаких инцидентов не случилось – клиент считает, что потратил деньги зря. И только инцидент с очевидными финансовыми последствиями для компании дает понять, какова альтернативная стоимость систем защиты.
При этом сомнения совета директоров могут быть вполне обоснованы – множество защитных решений, которые можно внедрить на предприятии, способно полностью поглотить IT-бюджет любого размера, добавляет глава представительства IDC в России и СНГ Роберт Фариш. Поэтому ориентиры разумных затрат крайне нужны при планировании систем безопасности, считает он.
Для многих видов бизнеса «оценка снизу» продиктована требованиями закона, например, Закона о персональных данных: без внедрения регламентируемых защитных мер нельзя продолжать деятельность компании. Но вот определение верхней границы повести крайне сложно. В крупномасштабном бизнесе обычно проводится анализ и оценка рисков, выделяются бизнес-процессы, наиболее уязвимые к перебоям, оценивается стоимость их простоя или нарушения, и для самых дорогих и/или самых уязвимых приобретается максимально эффективная защита. Разумеется, подобный метод сложно воплотить в небольшой компании силами своих сотрудников, поэтому в обозримом будущем разработка стратегии безопасности должна стать одним из самых востребованных продуктов IT-аутсорсинга.