Выгода от безопасности: компании меняют подход к оценке эффективности ИБ-инвестиций

Безопасность как инвестиция

О росте интереса компаний к ROI-ориентированному подходу (Return on Investment — показатель, который отражает эффективность инвестиций в системы защиты информации), говорят результаты исследования компании Piccard, проведенного по заказу компании «АйТи Бастион» — разработчика систем контроля действий привилегированных пользователей (СКДПУ НТ). Чтобы выявить финансовый эффект от внедрения продукта, авторы анализа провели интервью с представителями пяти организаций из разных сфер и сделали расчет средних показателей для условной «составной организации».

За счет СКДПУ НТ такая «составная компания» получила доход 128,6 млн рублей, сообщают в Piccard. В том числе экономия за счет создания защищенного удаленного доступа подрядчикам составила 59,4 млн, выгода от точного учета трудозатрат подрядчиков — 44,5 млн. Также удалось сэкономить благодаря более быстрому входу администраторов в инфраструктуру (14,8 млн), удаленному формату работы части этих сотрудников (9,7 млн) и более коротким срокам инсталляции решения (0,15 млн). При этом общие затраты, включая стоимость лицензии, техподдержки и найма дополнительного персонала, составили 42,7 млн руб.

Таким образом, возврат от инвестиций (ROI) составил в среднем 201%, чистая приведенная стоимость (NPV) – 86 млн руб., срок окупаемости вложений – менее 10 месяцев.

В исследовании Piccard приводит сравнение риск-ориентированного и ROI-ориентированного подходов. При первом покупка программного обеспечения обосновывается через количественную оценку рисков и снижения потерь, во втором случае – как классическая инвестиция с ожидаемым прямым или косвенным финансовым результатом.

Один из приведенных в отчете аргументов в пользу инвестиционного подхода — покупка софта не гарантирует защиту. Для снижения риска важно, как именно применяется система, уточняют авторы исследования. «Применение инвестиционного подхода помогает лучше понять, в каких именно процессах будет задействован приобретаемый продукт», — говорится в презентации Piccard.

Кроме того, PAM-система (Privileged Access Management – к этой категории относятся СКДПУ НТ) — это не просто «страховка», подчеркивают аналитики. Ее работа напрямую влияет на скорость и стоимость бизнес-процессов. «Рассматривая покупку PAM как инвестицию, мы оцениваем влияние продукта и его конкурентных преимуществ на бизнес в целом», — пояснили в Piccard.

Наконец, замалчивание инцидентов все еще остается популярной практикой, продолжают авторы исследования. За редкими исключениями организации в РФ скрывают как сами атаки, так и их масштаб и ущерб. «Это снижает статистическую базу для оценки рисков и оценочную стоимость потенциального ущерба», — говорится в отчете.

Какая безопасность нужна бизнесу

Изучение цифр финансовых потерь бизнеса, казалось бы, подталкивает именно к классическому, риск-ориентированному подходу «пропустишь атаку – потеряешь много денег», отмечает заместитель директора по развитию бизнеса «АйТи Бастион» Константин Родин. Однако, если взглянуть на инвестиции в ИБ-решения с точки зрения бизнеса, выходит иначе — в этом случае виден вклад безопасности в общую стоимость компании и эффективность ее работы через уменьшение ручного анализа инцидентов, снижение затрат на логистику сотрудников до объектов и сокращение найма внешних сотрудников, говорит он.

О полном отказе от риск-ориентированного подхода речь не идет, уточнил Родин. Он подчеркнул, что бизнес – это цельный организм, поэтому акцент делается на инвестирование в ИБ, повышение эффективности и стоимости бизнеса за счет внедрения средств безопасности, минимизирующих риск возникновения киберинцидентов.

«С моей точки зрения, уменьшение бюджетов как на ИТ, так и на ИБ, вводит новый критерий и новую парадигму: безопасность должна нести не только защиту, но и быть оправдана для бизнеса. Соответственно, надо оптимизировать процессы, сохранив или повысив уровень защиты», — уверен Родин. Он добавил, что рассматривать ИБ только как расходную статью нельзя: отрасль вышла на новый уровень собственной ценности и значимости ИБ-решений.

На этом фоне на первый план выходят решения, которые дают заказчику не только базовую защиту, но и бесшовную интеграцию в бизнес-процессы компании, объясняет замдиректора по развитию бизнеса «АйТи Бастион». «Самый защищенный компьютер – выключенный или не подключенный к сети. Но бизнесу такая безопасность не нужна, она неэффективна. Соответственно, выбор между двумя решениями будет в пользу того, что интегрируется в процессы компании, в общий контур цельной информационной безопасности, который совместим с имеющимися системами, масштабируется и не мешает привычной работе», — подчеркнул Родин.

Выигрывает тот, кто не просто показывает высокие результаты в детектировании опасных действий или активности, но и тратит на это меньше времени и человеческих ресурсов, продолжает представитель «АйТи Бастион». Даже когда экономия на действии составляет всего 5-10 минут, для аналитика они складываются в часы, недели и месяцы, а в итоге – в прямую выгоду, говорит он.

Эффективность применения ROI-ориентированного подхода напрямую не зависит от отрасли, полагает Родин. Речь, по его словам, скорее о зрелости подхода и масштабе организации. Например, оптимизация процессов внутри компании с выводом части сотрудников в удаленный режим, использование внешних подрядчиков, использование модели MSSP или просто облачных ЦОДов могут позволить существенно сэкономить, если эти меры реализованы с учетом требований к безопасности удаленного доступа, поясняет он.

«Такое реализуемо во многих отраслях, но наибольший эффект будет получен именно от правильной постановки задачи: не обложиться сертификатами и сделать атаку, как и работу, невозможной, а сделать процесс безопасным и удобным. В зависимости от того, какую именно задачу реализует ИБ-решение, рассчитывается конечная выгода», — говорит Родин.

От технического мышления — к экономическому

Изменение подхода компаний к оценке инвестиций в ИБ-решения обусловлено переходом от чисто технического мышления к экономическому, комментирует киберэксперт и инженер-аналитик компании «Газинформсервис» Екатерина Едемская. По ее словам, руководители требуют измеримых показателей рентабельности и окупаемости, потому что бюджетные ограничения, усиление регуляторных требований и рост числа инцидентов с финансовыми последствиями сделали ИБ бизнес-решением, а не центром затрат.

В итоге при инвестиционном подходе в приоритете оказываются решения с измеримым эффектом, отмечает Едемская. Это, в частности, IAM с управлением привилегиями и автоматизацией, EDR/XDR с сокращением времени обнаружения и устранения инцидентов, SIEM/UEBA в связке с SOAR для снижения затрат на реагирование, резервирование и шифрование для защиты доходогенерирующих активов, пояснила она.

«Ценятся также решения, уменьшающие операционные расходы: автоматизация обновлений, централизованный мониторинг и MDR по модели оплаты за результат. Переоцененными выглядят дорогостоящие point-solutions без интеграции, проекты ради галочки соответствия и продукты с высокой ТСО и непрозрачным ROI», — добавила эксперт.

Большой эффект от ROI-ориентированного подхода получают финансовый сектор, банки, ритейл, e-commerce, энергетика, промышленность, здравоохранение и телекоммуникации, продолжает Едемская. Так, банки сокращают прямые потери от мошенничества, уменьшают штрафы и оптимизируют операционные расходы. Торговые сети сохраняют выручку через защиту платежных каналов, предотвращение фрода и повышение доступности сервисов. Энергетика, промышленность и операторы КИИ выигрывают за счет избегания простоев и аварий.

При этом применение ROI-ориентированного подхода пока остается в основном за крупными компаниями, уточняет Едемская. У большинства организаций малого и среднего бизнеса нет внутренних компетенций и ресурсов для просчета экономической эффективности ИБ-проектов, и решения часто принимает владелец, IT-администратор или внешний подрядчик, а не аналитик.

Новая культура безопасности

Руководитель Центра компетенций сетевой безопасности «Софтлайн Решения» Николай Спирихин связывает популяризацию ROI-ориентированного подхода с эволюцией киберугроз. Они, по его словам, стали более масштабными, целевыми и изощренными, методы атак постоянно совершенствуются, а последствия затрагивают критически важные бизнес-процессы и инфраструктуру организации в целом.

«Параллельно происходит важное изменение в восприятии культуры кибербезопасности со стороны самих компаний и руководителей высшего звена. Если ранее инвестиции в безопасность рассматривались как дополнительные расходы, которые сложно оправдать экономически, то сегодня они все чаще воспринимаются как критически важный элемент финансовой защиты», — акцентировал внимание Спирихин.

Компании все чаще предпочитают комплексный подход, избегая изолированных инвестиций в дорогостоящие специализированные решения без предварительной оценки их реальной эффективности и интеграции в общую архитектуру безопасности, подчеркнул представитель «Софтлайн Решений». Внимание смещается в сторону современных платформ, а особый акцент делается на фундаментальные практики – обеспечение базовой кибергигиены, минимизацию человеческого фактора и регулярное проведение пентестов и аудитов безопасности.

Максимальный эффект от инвестиций в ИБ, рассчитанных на основании ROI, получают те субъекты КИИ, которые работают в отраслях, где IT-сервисы напрямую генерируют деньги, и даже короткие простои инфраструктуры дорого обходятся бизнесу, объясняет эксперт по информационной безопасности «Инфосистемы Джет» Никита Мусиенко. При этом компании малого и среднего бизнеса чаще ограничиваются минимальным комплексом мер защиты и ориентируются на регуляторные требования, добавляет он.

ROI-ориентированный подход стал более востребованным из-за сокращения бюджетов, полагает директор по развитию бизнеса IT-компании RooX (специализируется на веб-платформах для корпоративного сектора) Никита Евгенов.

«Финансисты, которые принимают окончательное решение, используют универсальное мерило — финансовую привлекательность и экономическую целесообразность. ИБ-направления стали больше конкурировать за бюджет, потеряв прежние преференции. Теперь, если инициатива не продиктована регуляторными требованиями, необходимо доказывать ее эффективность через сравнение стоимости решения с потенциальными рисками, утечками и штрафами», — говорит Евгенов.

При инвестиционном подходе действует принцип: перед любым действием нужно понимать, что будет на выходе, какова метрика и драйвер затрат, отметил представитель RooX. «Эффект получает тот, кто начинает считать и управлять этими драйверами», — подчеркивает он. При этом, чем больше ограничен бюджет, тем выше мотивация и отдача от строгого экономического обоснования.

_{Реклама. ООО «АйТи БАСТИОН», ИНН 7717789462, Erid:2Vtzqxgbjye}