Уже само словосочетание «низкобюджетная безопасность» настораживает. Однако новые экономические условия заставляют менеджеров по информационной безопасности отказываться от привычных подходов к решению проблем информационной безопасности. Пересмотр традиций, методов и средств обеспечения информационной безопасности может иметь далеко идущие положительные последствия.
«Сегодня далеко не все менеджеры готовы покупать стандартные решения, переплачивая при этом за известность бренда. Они начинают проявлять инновационность в построении схем ИБ. Кроме того, уже сейчас видно, что всевозможные методы оценок окупаемости переживают свое второе рождение. Другими словами, специалисты по ИБ вынуждены не только разбираться в технологиях, но и уметь считать деньги. Сейчас, как никогда ранее, важно анализировать (ситуацию на рынке, потребности компании, предлагаемый и требуемый функционал) и брать на себя ответственность за выбор подходов и решений», — считает Максим Акимов, глава представительства Kerio Technologies в России и СНГ.
По мнению Михаила Кондрашина, руководителя центра компетенции Trend Micro в России и СНГ, оптимизация затрат на ИБ возможна только при условии минимального развития ИТ в компании, то есть при минимальном структурном изменении модели рисков: «Если решение о внедрении ERP и других инфраструктурных ИТ-решений отложено до лучших времен, то вполне можно сэкономить на ИБ, оптимизировав текущие расходы, как минимум, не внедряя новые решения. Кроме этого, можно отказаться от лицензий на те продукты, которые были куплены “про запас”, в расчете на рост ИТ-инфраструктуры до кризиса». Согласно наблюдениям Антона Разумова, консультанта по безопасности компании Check Point Software Technologies, бюджеты на безопасность в связи с кризисом хотя и снизились, но существенно меньше, чем на ИТ (по крайней мере в средних и крупных компаниях). «Сократить бюджет на ИБ можно, во-первых, за счет более четкого анализа рисков, понимания профиля нарушителя. Тогда можно строить системы безопасности, решающие текущие задачи без избыточного “запаса прочности”. Если в условиях раздутых бюджетов можно было не раздумывая ставить бронированные двери, то теперь можно ограничиться просто железными, — поясняет Разумов. — Во-вторых, можно использовать многофункциональные решения. Например, предприятие получит существенную экономию, объединив межсетевой экран, систему предотвращения атак, антивирус, URL-фильтрацию, антиспам и многое другое на одном шлюзе безопасности».
Вне зависимости от бюджета система защиты информации должна минимизировать основные риски по отношению к ключевым информационным активам. В противном случае, если уменьшение бюджета приводит к невозможности реализации базовых задач по обеспечению безопасности, то просто теряется смысл создавать систему защиты.
Генеральный директор компании «ДиалогНаука» Виктор Сердюк считает, что использование низкобюджетных решений допустимо в малых и средних компаниях с не очень высокой степенью автоматизации бизнес-процессов. Для крупных компаний экономия на решениях для защиты информации может привести к значительным потерям в результате действий злоумышленников.
Эту позицию по-своему разделяет Василий Окулесский, начальник отдела защиты информации службы безопасности Банка Москвы: «Если исходить из принципа, что затраты на ИБ должны быть соизмеримы с ущербом от реализации угроз, то низкобюджетная ИБ может быть только там, где этих угроз мало и ущерб от них невелик. Если исходить из принципа, что 90% усилий ИБ — это решение организационных проблем, то основные риски можно закрыть оргмерами, но тогда в компании должно быть много сотрудников-контролеров. Оба принципа вряд ли могут претендовать на статус малобюджетной защиты. В общем, я не очень понимаю, что такое низкобюджетная информационная безопасность. Безопасность должна быть адекватной возможному ущербу».
Многоступенчатая оптимизация расходов
Основным преимуществом бесплатных продуктов является то, что за них не нужно платить. С другой стороны, данные решения имеют и целый ряд недостатков: их сложнее администрировать по сравнению с коммерческими системами; как правило, отсутствует квалифицированная поддержка по телефону и электронной почте; нет гарантий со стороны производителя продукта, нет необходимых сертификатов соответствия и т.д.
«Отказ от услуг внешних специализированных компаний в области ИБ также позволяет сэкономить значительную часть денег, однако в этом случае предприятие теряет возможность получить независимый и объективный взгляд на текущий уровень информационной безопасности, что в конечном итоге негативным образом влияет на эффективность ИБ», — считает Сердюк.
Скорее всего, предельно экономичное решение не сможет соответствовать всем потребностям компании, да и темпы его технологического развития могут оказаться недостаточными. «Но не будем забывать, что и дорогие коммерческие решения зачастую обладают теми же недостатками. Все дело в правильном выборе, исходя из задач и особенностей конкретного предприятия. В настоящий момент во всех компаниях ключевым является сокращение расходов при условии сохранения бизнеса в целом. Если принятая стратегия по ИБ соответствует этим целям, то это хорошая стратегия. На мой взгляд, компаниям гораздо важнее не увольнять сейчас персонал, отвечающий за ИБ, ведь только продолжительная работа в компании позволяет правильно выбирать решения, соответствующие потребностям бизнеса», — убежден Кондрашин.
В любом случае резкие, необдуманные решения чреваты серьезными негативными последствиями для бизнеса, поэтому сокращать бюджеты следует в несколько этапов, рекомендует Рустэм Хайретдинов, заместитель генерального директора компании InfoWatch. Первый — оценка того, как изменилась сама компания в условиях, приведших к сокращению бюджета, в том числе насколько уменьшились информационные потоки, как сократились бизнес-операции, уменьшилось ли количество сотрудников и т.д. «Возможно, персонал сократили, а оставшиеся сотрудники выполняют тот же объем работы — тогда, само собой, сократятся сервисы ИБ, зависящие от количества сотрудников. Или, наоборот, компания сохранила персонал, но перестала оказывать какие-то услуги или торговать какой-то группой товаров (например, банк перестал выдавать ипотечные кредиты). Тогда можно смело сокращать сервисы ИБ, ориентированные на этот бизнес-процесс, — поясняет Хайретдинов. — Сокращение соответствующих сервисов — первый ваш резерв, причем сокращение может быть непропорциональным — как в сторону уменьшения, так и в сторону увеличения соотношения бизнес-функций и сервисов ИБ».
Второй этап сокращения — работа с поставщиками решений. Сегодня практически все компании, ориентированные на долгосрочные отношения с заказчиками, проявляют высокую гибкость в предоставлении скидок.
Третий этап — поиск альтернатив несговорчивым поставщикам. Не всегда есть возможность быстро отказаться от внедренных решений, содержание которых стало не по карману компании, но попробовать стоит. Сейчас многие компании предлагают «конкурентное обновление» — специальную скидку клиентам, которые покупают решение на замену конкурирующему решению. Можно также поэкспериментировать с условиями использования решения, например, взять его в аренду. Многим предприятиям проще платить небольшие суммы поквартально или ежегодно, чем сразу приобретать дорогое решение. В крайнем случае можно перейти на бесплатные продукты.
«Недолицензирование, то есть оплата пяти лицензий с использованием на 1000 компьютерах или полное отсутствие легальных лицензий как вариант реализации низкобюджетной безопасности рассматривать не следует, поскольку оно порождает множество рисков», — считает Хайретдинов. Чтобы еще более снизить затраты на ИБ, придется менять инфраструктуру, например, переходить на универсальные продукты типа «Х функций в одном».
«В универсальных продуктах, кстати, функции безопасности реализованы не хуже, чем в специализированных, страдают в основном функции управления и масштабирования, — отмечает Хайретдинов. — Следует помнить, что при переходе на универсальные решения увеличатся риски, связанные с ошибками администратора или отказа оборудования из-за перегрузки».
Следующий этап — передача части функций ИБ на аутсорсинг. Не все можно отдать, но что-то уже можно.
«Чтобы снизить затраты на ИБ, можно также, например, отключить сотрудникам доступ в Internet на рабочих местах, оставив его только на одном компьютере, причем не связанном с корпоративной сетью. Или запретить сотрудникам удаленный доступ в информационную систему (хотят работать — пусть приезжают в офис), — советует Хайретдинов. — Если с сокращенным бюджетом вы не можете решить поставленных задач, увольняйтесь — это лучше, чем быть уволенным за их невыполнение. Рекрутеры и работодатели не любят менеджеров ИБ, которые на предыдущем месте работы не смогли уберечь данные».
Главное — не забывать, что экономическая ситуация рано или поздно изменится, а инфраструктура компании может в этот момент оказаться не готова к новым реалиям. «Необдуманное стремление сэкономить из принципа “лишь бы” может привести к непомерным затратам в будущем, и затраты эти окажутся просто невозможно большими даже в условиях стабильной экономической ситуации. Нужно найти некую “золотую середину”, балансируя, например, между универсальными решениями, более дешевыми продуктами и аутсорсингом, но не отдавая себя полностью во власть одного из этих вариантов», — считает Кирилл Керценбаум, руководитель группы консультантов по информационной безопасности компании Symantec.