Четыре проверенных способа оптимизировать расходы на ИБ

Рано или поздно менеджер ИБ сталкивается с ограничениями бюджета по ряду разных причин: финансовые трудности у компании, руководство желает оптимизировать расходы и т.д.

По моему опыту, при оптимизации расходов ответственный за информационную безопасность оказывается "в тисках": с одной стороны, ему нужно обеспечивать должный уровень безопасности и выполнять Compliance, а с другой – вписаться в обозначенный руководством бюджет.

На практике можно выделить следующие направления возможной оптимизации затрат:

1. Лицензии и техподдержка на СЗИ.
2. Человеческие ресурсы.
3. Аутсорсинг процессов.
4. Реализация взаимовыгодных проектов.

Лицензии и техподдержка на СЗИ

Самое первое, что приходит в голову, – это экономия на закупке СЗИ путем замены ранее выбранных средств защиты более дешевыми альтернативными или переговоры с интеграторами о снижении цены. Можно рассмотреть вариант постепенной покупки нужного количества СЗИ, частями в течение нескольких лет.

Плюс этого подхода в возможности сэкономить и/или уменьшить финансовую нагрузку в текущий момент времени.

К минусам относится то, что:

• альтернативный продукт может оказаться не настолько эффективным, как изначально выбранный, и возрастет вероятность реализации закрываемых угроз;
• есть риск, что в последующие годы руководство повторно попросит сократить расходы.

Использование SaaS

Еще один из способов – отказаться от приобретения СЗИ и воспользоваться Softwareasa-Service (SaaS). Тогда можно в короткие сроки получить полноценный сервис и существенно сэкономить при единовременной закупке (иногда до 70%). При этом освобождаются человеческие ресурсы, так как пропадает потребность осуществлять техническую поддержку СЗИ (СЗИ обслуживаются владельцем сервиса), а также наблюдается снижение CAPEX и увеличение OPEX, если финансовая модель предприятия приветствует снижение собственных активов (снижение налогооблагаемой базы).

Среди минусов:

• стандартная подписка обычно ограничена по функциональности;
• отсутствует возможность самостоятельной настройки сервиса;
• настройка и добавление специфичных функций потребует дополнительных затрат;
• снижение CAPEX – увеличение OPEX, если финансовая модель предприятия приветствует увеличение собственных активов (увеличение стоимости организации).

Совет: во время принятия решения об использовании SaaS или приобретении СЗИ необходимо оценивать общие затраты на владение в период минимум 3–5 лет. Часто бывает, что при длительном владении собственными СЗИ общие затраты оказываются меньше, чем подписка на SaaS.

Смена продукта

Можно внедрить практику, получившую широкое распространение в Европе, – смену продукта для получения первоначальной скидки. Ставка делается на желание вендора "переманить" клиента у конкурента. В таких случаях новому клиенту предлагается хорошая скидка на первоначальную лицензию СЗИ при условии перехода от конкурента, что дает возможность существенно сэкономить (иногда до 30%).

Однако при злоупотреблении можно получить плохую репутацию среди вендоров, а вместо скидок – повышение цены. Кроме того, каждый переход на новый продукт потребует внутренних трудозатрат на внедрение, а если ресурсы не из вашего подразделения, то это может вызвать негативную реакцию их владельца.

Совет: перед принятием решения необходимо предварительно взвесить все за и против. Например, для многих организаций ввиду специфики деятельности репутация надежного и стабильного заказчика более важна, чем экономия. Следует также заручиться поддержкой руководства топ-уровня.

При переходе на ограниченную техническую поддержку экономия может повлечь деградацию сервиса. Нужно действовать осторожно.

Защищенные облачные ЦОД

В маленькой организации без критической инфраструктуры самой существенной экономии можно добиться за счет перевода инфраструктуры в защищенные облачные ЦОД.

Плюсы:

• отсутствует необходимость обслуживать и поддерживать сервисы, в результате возникает экономия на ФОТ в подразделениях ИБ и ИТ;
• затраты на СЗИ входят в общий договор, возможно снижение бюджета ИБ почти до 0;
• отсутствуют CAPEXы, только OPEX.

Минусы:

• риск нарушения конфиденциальности или потери данных;
• сложно найти ЦОД, который будет по умолчанию обеспечивать все потребности по защите, особенно в части выполнения требований регуляторов.

Совет: нужно внимательно изучать модель угроз и техническое задание на СЗИ ЦОД. Кроме того, в SLA-договоре должно быть предусмотрено страхование рисков от потери данных, конфиденциальности, а также компенсация недополученной прибыли в случае перебоев в работе ЦОД.

Человеческие ресурсы

Один из распространенных способов экономии на персонале, если ситуация позволяет использовать работников невысокой квалификации, – это привлечение практикантов или прием на работу выпускников без опыта. Труд практикантов обычно бесплатен, а выпускники нетребовательны к заработной плате, пока не набрались опыта. Их главная цель – получить опыт и знания, которыми компания может поделиться.

В этом есть свои плюсы:

• экономия на ФОТ;
• работа с легкими задачами, которые квалифицированные специалисты не горят желанием решать.

С другой стороны, минусов не избежать:

• требуются наставники и время на обучение;
• после получения опыта и знаний необходимо повышать работника в должности или улучшать мотивационную составляющую, так как его цена на рынке возрастает.

Совет: обязательно предусмотреть NDA с учебным заведением и самим практикантом. При приеме на работу выпускников нужно заранее планировать их мотивацию к работе в будущем, когда они уже наберутся опыта.

Другой тренд – брать в аренду специалистов у внешних компаний под решение определенных задач. К сожалению, в России это направление пока еще только развивается, но уже есть примеры. Например, при необходимости участия ИБ в крупном проекте и отсутствии своих свободных экспертов есть возможность "взять напрокат" специалиста у интегратора¹ и вернуть его после завершения проекта.

Плюсы аутстафа:

• в короткие сроки можно приобрести квалифицированного специалиста, который сразу готов к выполнению поставленной задачи;
• опыт других проектов и компетенции нескольких специалистов интегратора;
• такой подход позволяет не увеличивать ФОТ, что обычно приветствуется владельцами бизнеса, так как это OPEX и его можно отнести к расходам.

Из минусов:

• в любой момент работник может быть заменен на другого, что потребует временных затрат на его вхождение в курс дел по проекту;
• возможны конфликты с другими подразделениями, так как аутстаф-работник на первых этапах работы еще не знаком с корпоративной культурой;
• ответственность только интегратора (юридического лица), личная ответственность аутстаф-работника отсутствует или непрозрачна для заказчика;
• мотивировать аутстаф-работника может только работодатель.

Совет: не использовать аутстаф для жестко фиксированных по срокам проектов, так как возможно увеличение времени выполнения задач по причине неожиданной замены работника.

В случае возникновения законодательных проблем с допуском к тайне следует устраивать таких специалистов на 0,1 ставки. Это не повлечет больших финансовых затрат, но зато будут выполнены требования законодательства. Кроме того, необходимо предусмотреть все острые моменты в договоре SLA.

Аутсорсинг процессов

В международных компаниях хорошо зарекомендовала себя практика передачи части функциональности внешним компаниям – сервис-провайдерам MSSP (Managed Security Service Provider):

• техническое сопровождение СЗИ;
• бэкапирование;
• повышение осведомленности работников;
• мониторинг событий ИБ;
• расследование инцидентов ИБ;
• обеспечение безопасности программного кода;
• менеджмент уязвимостей;
• аудит и многое другое.

Все это обусловлено желанием снижать налогооблагаемую базу за счет увеличения расходов и снижения ФОТ. В целом для компании такие сервисы получаются дешевле, чем выполнение этих работ собственными силами.

Например, в России уже вошло в норму покупать услугу защиты каналов от DDos, а не строить свою, хотя всего 10 лет назад компании обеспечивали такого рода защиту только самостоятельно.

Многие эксперты предрекают, что в ближайшем будущем подразделения информационной безопасности будут представлять собой группу менеджеров, которые занимаются определением стратегии, заказом сервисов и контролем SLA.

Плюсы такого аутсорсинга:

• привлечение лучших экспертов ИБ без необходимости обучения собственных;
• существенная экономия;
• получение нужного результата в короткие сроки;
• возможно применение для организаций любого масштаба и уровня.

Минусы:

• в России рынок MSSP пока еще находится на стадии развития;
• требуется определенное время для адаптации предоставляемого сервиса под конкретные потребности.

Совет: при использовании аутсорсинга не забывать про требования законодательства по защите определенных видов тайн. Не всегда использование MSSP допустимо/дешевле.

Реализация взаимовыгодных проектов

В случае участия ИБ в проектной деятельности организации или наличия тесного взаимодействия с бизнес-подразделениями можно использовать это с пользой, а именно реализовывать мероприятия или внедрять СЗИ за счет чужих бюджетов.

Хорошей практикой является добавление в проекты бизнеса требований по внедрению тех или иных мер защиты или заказа услуг по ИБ. Естественно, делаться это должно не из-под палки, а взаимовыгодным путем.

Например, стоит цель внедрить двухфакторную аутентификацию для всех сервисов компании и известно, что в компании планируется внедрение новой фронтофисной системы. Можно использовать этот проект для инициирования внедрения платформы двухфакторной аутентификации, предложив снизить мошенничество среди работников из-за трудностей передачи паролей друг другу. Это можно сделать путем общения с заказчиком проекта, озвучив ему существующие риски и предложив способ их снижения с помощью второго фактора.

Другой пример – получение дополнительного функционала снизит мошенничество со стороны работников или повысит конкурентоспособность продукта.

Если нужно выполнить требования по защите ПДн во время обмена с контрагентами, но нет бюджета на внедрение СЗИ, можно предложить бизнесу вместо бумажного документооброта юридически значимый электронный, с применением квалифицированной/неквалифицированной электронной подписи, что существенно ускорит процесс взаимодействия с контрагентами и сократит расходы на бумагу. С большой вероятностью бизнес прислушается и выделит бюджет на организацию такого обмена, а это позволит параллельно и без дополнительных затрат включить шифрование и обеспечить безопасность ПДн. И все это без увеличения бюджета ИБ.

Плюсы очевидны:

• можно внедрять СЗИ с нулевым бюджетом ИБ;
• коллеги и руководство видят пользу от подразделения ИБ.

Но есть и один минус: необходимо обладать хорошей коммуникацией с коллегами из других функциональных блоков и уметь разговаривать с ними на одном языке.

Совет: налаживать как можно больше неформальных контактов с коллегами.

Поиск золотой середины

Это только несколько примеров того, каким образом можно снизить расходы на ИБ, наверняка у коллег есть другие работающие примеры возможной экономии. Предложенные рекомендации основаны на личном опыте, проверены на практике и могут принести ощутимую пользу как ИБ-подразделениям, так и бизнесу в целом.