Иван Дмитриев, СберКорус:...

Иван Дмитриев, СберКорус: Информационная безопасность точно не должна приносить компании убытки

erid: 2SDnjchA7sG
Иван Дмитриев, СберКорус: Информационная безопасность точно не должна приносить компании убытки
Иван Дмитриев, СберКорус: Информационная безопасность точно не должна приносить компании убытки
07.10.2024

Иван Дмитриев, директор по безопасности СберКорус, рассказал порталу Cyber Media об экономических аспектах обеспечения информационной безопасности, как формируется бюджет на информационную безопасность, о выстраивании отношений между CISO и топ-менеджментом компании.

Cyber Media: В сообществе часто возникают дискуссии относительно того, частью чего должен быть бюджет на информационную безопасность: ИТ-бюджета, бюджета службы безопасности, самостоятельной единицей и т.д. Какой подход, на ваш взгляд, наиболее правильный, и почему?

Иван Дмитриев: Обеспечение информационной безопасности, как и любой другой безопасности бизнеса, ‒ это не только бюджет функции подразделения, которое непосредственно занимается ИБ, но и инвестиции, которые компания вкладывает в развитие бизнеса, чтобы эффективно управлять рисками. Риск-ориентированный подход – это общепризнанный метод управления любой безопасностью ‒ информационной, экономической или кадровой.

Центр финансовой ответственности, на который ложится бюджет службы безопасности, может быть разным, в зависимости от жизненного цикла компании. Например, в стартапах, когда команде приходит понимание рисков, ответственность за информационную безопасность зачастую ложится на ИТ-функцию, а средства заложены в ИТ-бюджет.

В более крупных компаниях, где угрозы безопасности связаны с человеческим фактором либо с взаимоотношениями с контрагентами, расходы могут быть отнесены к расходам на обеспечение безопасности бизнеса в целом. Многие компании выделяют функцию информационной или кибербезопасности как отдельный центр финансовой ответственности. Однако зачастую, даже при наличии выделенного бюджета, часть расходов на обеспечение безопасности бизнеса распределяется на бюджеты других департаментов. Например, закупка антивирусных средств, эксплуатация которых осуществляется силами ИТ, уходит в их бюджет, а закупка DLP остается в бюджете ИБ.

Cyber Media: Из каких статей складываются расходы на обеспечение информационной безопасности компании? Какие из них наименее очевидны?

Иван Дмитриев: Каждая компания самостоятельно выбирает стратегию информационной защиты и, уже исходя из нее, формирует бюджет как одну из необходимых составляющих для обеспечения компании ресурсами. Как правило, в расходы входят приобретение средств защиты информации и данных, их техническая поддержка, а также фонд оплаты труда.

Наименее очевидной статьей расхода можно назвать обучение сотрудников информационной безопасности. Инвестируя в обучение, работодатель усиливает экспертизу команды, а значит ‒ инвестирует в качество работы. Важно следить за трендами и постоянно развиваться.

Культура безопасности всего коллектива ‒ также неотъемлемая часть развития ИБ. Нужно обучать людей безопасной работе и поведению, потому что ответственность за информационную безопасность компании несет каждый сотрудник.

Еще одна неочевидная статья расходов – маркетинг. Если компания считает безопасность своим конкурентным преимуществом, она должна говорить об этом рынку и вкладываться в PR и маркетинг. Также эта статья расходов нужна тем ИТ-компаниям, которые разрабатывают и выпускают на рынок решения и сервисы для обеспечения информационной безопасности.

Cyber Media: Какие метрики чаще всего используются для оценки эффективности расходования бюджета в ИБ?

Иван Дмитриев: Если функция службы ИБ в компании оценивается только как защита ИТ-инфраструктуры, кажется, что бюджет можно рассчитывать в зависимости от отрасли компании. Для этого нужно смотреть на практику ведущих компаний отрасли, насколько относительно ИТ-бюджета они вкладываются в ИБ. По этим показателям можно оценить достаточно ли мы инвестируем в ИБ.

Для более зрелых игроков рынка, где есть система управления рисками, важно смотреть на мировые практики компаний, показывающие процент от стоимости рисков, который можно потратить на мероприятия по их митигации. Важно понимать, что риски могут возникнуть или отсутствовать, но затраты бизнес несёт всегда.

Эффективность расходования денежных средств ‒ это больше проектные метрики. В развитии любой системы управления, в частности системы управления информационной безопасностью, есть состояние ‘AS IS’ («как есть») и состояние ‘TO BE’ («как должно быть»). Если команда была настроена на результат ‘TO BE’, но к нему не пришла и потратила какую-то сумму денег, то встает вопрос об эффективности проектного управления и его инвестирования.

В любом случае информационная безопасность точно не должна приносить компании убытки. Нужно смотреть также на метрики финансового здоровья, например, на CIR (Costs to Income Rate ‒ соотношение затрат и доходов).

Cyber Media: Насколько часто, на ваш взгляд, между CISO и CEO отсутствует взаимопонимание, которое не позволяет развивать информационную безопасность? С чем такие ситуации могут быть связаны?

Иван Дмитриев: Для эффективного управления очень важно взаимопонимание между CEO и каждым членом команды топ-менеджеров. В такой же мере важно доверие между CISO и командой.

Если CEO не доверяет CISO, и у них нет взаимопонимания, то, скорее всего, команда менеджмента еще не пришла к осознанию важности информационной безопасности для компании. В таком случае менеджменту стоит принять стратегию управления рисками через высокий риск-аппетит, а позиция CISO в компании не нужна.

Ситуации недоверия CEO к CISO могут быть в том случае, если его позиция лишь навязана компании. Либо происходит формальное соблюдение правил о назначении в высшем звене человека, отвечающего за информационную безопасность.

Обратная ситуация, когда CISO не доверяет и не понимает СЕО – тоже тупиковый путь.

Cyber Media: Как регуляторные требования влияют на распределение бюджета на информационную безопасность?

Иван Дмитриев: Отмечу сначала общерыночный тренд: компании, которые использовали зарубежные решения, в том числе по требованию законодательства сейчас решают вопрос импортозамещения. Так, рынок достаточно сузился и стал менее конкурентным, что повлияло на рост стоимости оборудования и софта многих вендоров. Это отражается и в бюджетировании.

Если говорить в целом, регуляторика в стране развивается и актуализируется таким образом, что выполнение требований не подразумевает бОльших затрат: чаще инвестиции в реальную защищенность комплиментарны инвестициям в комплаенс.

Другие материалы
Иван Чернов, UserGate: Кто первый сможет предоставить новым заказчикам функционал западных вендоров, тот и победит
05.04.2023
Иван Чернов, UserGate: Кто первый сможет предоставить новым заказчикам функционал западных вендоров, тот и победит
Юлия Смирнова, Комитет по информатизации и связи Санкт-Петербурга: Цифровая трансформация любой отрасли в обязательном порядке должна включать вопросы кибербезопасности
22.05.2023
Юлия Смирнова, Комитет по информатизации и связи Санкт-Петербурга: Цифровая трансформация любой отрасли в обязательном порядке должна включать вопросы кибербезопасности
Егор Баяндин, Whoosh: Нужно уделять достаточное внимание информационной безопасности как в части разработки электроники, так и софта для неё
01.06.2023
Егор Баяндин, Whoosh: Нужно уделять достаточное внимание информационной безопасности как в части разработки электроники, так и софта для неё
Алексей Новиков, Positive Technologies: Фишинг и DDoS-атаки сопровождают все крупнейшие мероприятия в стране
16.08.2023
Алексей Новиков, Positive Technologies: Фишинг и DDoS-атаки сопровождают все крупнейшие мероприятия в стране
Антон Иванов, «Лаборатория Касперского»: В случае появления новости об утечке компания должна максимально быстро обратиться к киберразведке
25.04.2023
Антон Иванов, «Лаборатория Касперского»: В случае появления новости об утечке компания должна максимально быстро обратиться к киберразведке
Михаил Прохоренко, BI.ZONE: Наиболее зрелые компании регулярно проводят оценку компрометации
19.09.2024
Михаил Прохоренко, BI.ZONE: Наиболее зрелые компании регулярно проводят оценку компрометации
Популярные материалы
16.03.2024
Менеджеры паролей - 7 лучших решений для бизнеса
25.10.2023
Денис Полянский, директор по клиентской безопасности Selectel: Необходимо максимально распространить свою ИБ-стратегию на подрядчика
27.03.2023
Anonymous vs Killnet: история группировок
17.02.2024
SOC (Security Operation Center): для чего компании нужен центр мониторинга кибербезопасности
06.07.2022
Ситуационные центры России: готова ли государственная информационная инфраструктура к актуальным внешним условиям?
20.01.2024
Как работают TLS-сертификаты Минцифры
28.02.2024
Обзор платформ для практического обучения: направления Offensive и Defensive
15.02.2024
СКЗИ (средства криптографической защиты информации): что это, какие классы, чем отличаются и что проверяет ФСБ
17.05.2024
Утечка данных: как случается и что с ними делать
26.10.2023
Обзор средств доверенной загрузки
10.08.2024
Импортозамещение в ИБ: как указ президента №250 меняет крупнейшие российские компании
04.08.2024
Банк угроз ФСТЭК: использовать нельзя игнорировать
12.11.2023
Этичный хакинг: что это такое и где применяется? Кто такие белые хакеры?
22.07.2024
Пентест или тестирование на проникновение: слабости в обороне компаний, актуальные в 2023 году
16.09.2024
Новые возможности продукта Security Vision Risk Management (RM)
12.09.2024
Кардинг: технологичное мошенничество или проверка на внимательность?
05.10.2023
Astra Linux Special Edition: обзор защищенной российской ОС
29.12.2023
Автоматизированный SOC, NGFW и багбаунти: итоги года и прогнозы на 2024
19.08.2024
ГосСОПКА: какие перспективы у цифрового щита России?
24.08.2023
Безопасное хранение паролей в компании, или Что еще умеет Пассворк?
10.11.2023
XDR, DLP, IDS: какое ИБ-решение выбрать
30.03.2024
SIEM российские системы - что это, какие популярные решения применяются
09.12.2023
Критическая информационная инфраструктура (КИИ): инструкция по выявлению и категорированию объектов
Показать всё
Комментарии 0