Финансовая сторона правил безопасности
Исследование Ponemon Institute показывает, что общая стоимость несоблюдения правил безопасности в два с половиной раза превышает стоимость их соблюдения.
Если ты сомневаешься в том, выгодно ли с финансовой точки зрения соблюдать правила безопасности, или нет, подумай дважды, потому что расходы организаций, не соблюдающих правила безопасности, в среднем превышают расходы организаций, их соблюдающих, в 2.65 раза.
Исследование Ponemon Institute, которое было проведено по заказу Tripwire и в котором участвовали 46 крупных фирм на протяжении 12 месяцев выяснило, что соблюдение правил безопасности стоит в среднем 3.5 миллиона долларов, а несоблюдение правил может привести к увеличению затрат до 9.4 миллионов долларов, включая повышение расходов из-за разрушения бизнеса, снижения продуктивности и штрафов. Ponemon провели сравнительное исследование организаций, принадлежащих разным индустриям (ни одна из которых не являлась клиентом Tripwire) и опросили около 160 руководителей данных организаций.
Согласно докладу, компании потратили от 446 тысяч до 16 миллионов долларов за этот период, самые большие затраты пришлись на защиту данных. Технологии защиты данных и ответная реакция на происшествия вылились для предприятий в самые большие счета.
При несоблюдении предприятиями безопасности, затраты на восстановление бизнеса и из-за снижения продуктивности привели к наибольшим затратам – в среднем 3.2 миллиона и 2.4 миллиона долларов соответственно.
"Затраты при несоблюдении нужных мер безопасности все еще выше, чем при их соблюдении", - сказал вице-президент по разработке стратегий Tripwire Река Шеной. "И цена за несоблюдение правил безопасности растет вместе с ростом компаний".
Глава и основатель Ponemon Institute Ларри Понемон сказал, что он надеется, что статистика затрат, приведенная в докладе, улучшит безопасность в сфере информационных технологий и даст специалистам больше денег для обеспечения безопасности в своих организациях. "Компании, которые инвестируют в свои системы обеспечения безопасности - в такие, как регулярные проверки, применение технологий, обучение персонала и операционные процессы, добьются успеха в снижении риска и поймут, что расходы на предотвращение и снижение угроз окупаются", - сказал он.
Согласно данным доклада, организации, которые проводят от 3 до 5 проверок в год, тратят меньше всего – примерно 154 доллара на человека, в то время как фирмы, не проводящие внутренних проверок, тратят больше всех – 341 доллар на человека. В общем, 28 процентов организаций сказали, что не проводят внутренних проверок, а 11 процентов предприятий проводят более 5 проверок в год.
Больше затрат сейчас - меньше потом
"Вопрос состоит не в том, должен ли я соблюдать правила безопасности, а в том, как я могу снизить расходы на то, чтобы соблюдать правила безопасности", - говорит Джошуа Корман, директор по исследованиям практической безопасности The 451 Group. "Как могу я сократить расходы на соблюдение безопасности и при этом сэкономить деньги и время, чтобы сфокусироваться на том, что выходит за рамки соблюдения безопасности?... Атакующий будет знать, что вы соблюдаете меры, и вы будете ему неинтересны".
В Ponemon измерили силы и средства обеспечения безопасности предприятий по шкале эффективности этих самых средств, и результаты показали, что предприятия с лучшим уровнем безопасности или лучшим результатом по шкале реже не соблюдают условия обеспечения безопасности, чем другие. Поэтому чем больше тратится на соблюдение правил безопасности в соотношении с общими затратами на информационные технологии, тем меньше затраты будут в будущем, подводит итог доклад.
Ни одну из организаций не обошли стороной взломы с утечкой данных, говорит Шеной. "Те, кто не соблюдал правила безопасности, подвергались атакам с последующей утечкой данных чаще всего", - говорит Шеной. "А предприятия с высокой эффективностью системы безопасности несли гораздо меньшие убытки".
Сложной задачей для компаний является проведение нескольких программ по обеспечению безопасности. "Сложно иметь дело с такими программами, потому что предприятия вынуждены проводить проверку за проверкой", - говорит Шеной.
И стоимость соблюдения правил безопасности различается для различных отраслей промышленности: в сфере энергетики расходы составляют 24 миллиона долларов, в сфере образования и исследований – 6.8 миллионов долларов, в сфере здравоохранения – 8.86 миллионов долларов, а в сфере розничной торговли – 9.24 миллионов долларов.
Корман говорит, что показанное в докладе соотношение стоимости соблюдения правил безопасности с общим бюджетом информационных технологий предприятия – поразительно. Согласно отчету Ponemon, 39 процентов организаций тратят от 6 до 10 процентов на соблюдение правил безопасности; 39 процентов организаций тратят от 11 до 15 процентов; 11 процентов организаций тратят от 16 до 20 процентов и 7 процентов организаций тратят колоссальные от 21 до 25 процентов их бюджета информационных технологий на соблюдение правил безопасности. "Цифра оказалась очень большой", - говорит Корман.
Полная копия доклада "The True Cost of Compliance" доступна для скачивания здесь.В добавление следует сказать, что одним из ключевых моментов обеспечения безопасности предприятия является работающая процедура резервного копирования данных с хранением поколений архивов в специализированных сейфах для магнитных носителей. Однако этот совершенно очевидный для западных компаний элемент корпоративной культуры совершенно не прижился на отечественной почве. У нас пока гром не грянет...