2SDnjcoK9BL
Ведущий консультант по
ИБ AKTIV.CONSULTING
Каждый специалист по информационной безопасности хотя бы раз оказывался в ситуации, когда утверждение бюджета превращалось в полноценный «бой» с аргументами и возражениями. Руководство хочет экономить, бизнесу важна прибыль, а ИБ кажется «черной дырой» для денег. Ведущий консультант по ИБ AKTIV.CONSULTING Ольга Копейкина делится пошаговыми советами, как подготовиться к защите бюджета так, чтобы не только его получить, но и сохранить даже в условиях сокращений.
Формирование годового бюджета часто воспринимается как неприятная и непрофильная задача, особенно для подразделений, не связанных напрямую с планированием. Однако важно помнить: бюджет — это не просто список расходов, а полноценный годовой план, отражающий ваши цели и задачи.
Он может стать удобным рабочим инструментом: помогать структурировать планы, избегать завалов в работе и контролировать выполнение задач в течение года. Именно поэтому стоит подходить к составлению бюджета на ИБ осознанно — от качественной подготовки зависит успешное прохождение ключевого этапа, защиты бюджета, и ошибки в ходе подготовки могут сделать этот финальный этап особенно болезненным.
Первый этап — это постановка задачи и определение ключевых статей бюджета. Стартовать этот этап можно, не дожидаясь задачи извне, ведь свои задачи и потребности вы знаете лучше других. На первом этапе важно выделить две основные группы расходов:
Поддержание и развитие систем относится к накладным расходам, которые проще утвердить, так как без них работа остановится. Инвестиционные статьи требуют более тщательного подхода и учета планов всей компании, включая стратегию развития и планы IT-подразделений. Особенно важно учитывать изменения в нормативных актах, актуализацию документации и инвентаризацию средств защиты. Все эти данные помогут собрать полный и реалистичный перечень статей затрат, что станет основой для дальнейшей работы с бюджетом.
После того как мы определились с грядущими приобретениями ИБ продуктов, необходимо подготовить доказательную базу для руководства. Помимо собственных потребностей важно учитывать требования регуляторов и бизнес-задачи — ведь именно бизнес финансирует нашу работу.
Для обоснования бюджета собираем данные из разных источников: планы и отчеты, логи и обращения пользователей, например, нехватка токенов или истекшие лицензии, а также актуальные нормативные документы и отраслевые обсуждения. Все это поможет сформировать убедительные аргументы для поддержки ваших расходов и обеспечить согласование бюджета.
Как только данные собраны, приступаем к следующему этапу — подготовке предложений для бюджетного комитета или аналогичного органа, который будет решать, выделять вам средства или нет. Основные направления расходов здесь:
Для формирования бюджета обязательно запрашивайте официальные прайс-листы (GPL), так как это поможет заложить максимально реальную верхнюю планку стоимости.
По услугам и индивидуальным решениям потребуется подготовка технических коммерческих предложений — этот процесс занимает время, обычно от недели.
Обратите внимание на правильное оформление кодов ОКПД для статей расходов — от этого зависит, сможете ли вы без проблем оплатить услуги и гибко перераспределять бюджет.
И обязательно возьмите бюджет прошлого года, проанализируйте, что тогда не удалось получить, за что критиковали — это поможет учесть ошибки и сделать защиту ИБ бюджета более успешной.
Этап защиты бюджета — самый ответственный. Готовьтесь к нему максимально тщательно. Вы должны четко знать, что именно хотите, зачем это нужно, какую выгоду или экономию даст бизнесу и от каких рисков защитит. На этом этапе уже не место для импровизации — все аргументы должны быть подготовлены заранее.
Хорошая подготовка и грамотная подача помогут вам не только получить одобрение бюджета, но и укрепить доверие к ИБ как к бизнес-инструменту.
Кажется, бюджет уже согласован и утвержден, но внезапно начинается пересмотр — из‑за экономии или неожиданных изменений в бизнесе. Чтобы не потерять критически важные статьи, нужно заранее подготовиться.
При формировании бюджета закладывайте универсальные статьи расходов, которые при необходимости можно снять или перераспределить. Формулировки должны быть максимально общими — ориентируйтесь на формулировки в ОКПД. А при запросе цен у поставщиков берите ТКП с запасом — надежные партнеры понимают, что бюджет формируется с учетом рисков, и помогут. В случае урезания они же могут предложить альтернативные решения, скидки или разбивку проекта на этапы.
Помните, что включать в бюджет нужно не только новые закупки, но и операционную поддержку существующих систем, работы из проектной документации и обучение по информационной безопасности. Последнее особенно важно для новых руководителей с непрофильным образованием — их обучение должно быть заложено заранее. Стоимость таких курсов легко найти в открытых источниках.
Главное правило — думать стратегически: предусмотреть, чем можно пожертвовать, чтобы сохранить ключевые направления, и иметь партнеров, готовых помочь в сложной ситуации.
На рынке есть три основные группы компаний, которые помогают решать задачи информационной безопасности. Каждая из них решает разные задачи и подходит для разных этапов работы (таблица 1).
Таблица 1. Группы компаний, выполняющих задачи по информационной безопасности
В итоге выбор зависит от задачи: если нужно быстрое внедрение — идите к интеграторам, если нужен независимый аудит или проектирование — к специалистам по ИБ консалтингу, если только покупка и тестирование решений — к вендорам или дистрибьюторам.
Если руководителя еще можно убедить купить антивирус или продлить поддержку уже имеющихся решений, то вот услуги, пентесты и дорогие системы вроде SIEM и DLP — это совсем другая история. Тут начинаются самые интересные разговоры.
Вопрос руководителя: «Зачем мы вас тогда в штате держим, если вы сами не можете разработать документы?»
Звучит логично, но у большинства ИБ-команд небольшой штат: те же люди одновременно настраивают защиту, консультируют пользователей и решают кучу ежедневных задач. Разработка документации требует других компетенций и времени, которого у них нет.
Кроме того, это разовая задача. Внешние эксперты выполнят ее быстрее и, что важно для бюджета, зачастую дешевле, чем привлечение собственных сотрудников и оплата их обучение. А обученные специалисты, к тому же, могут легко уйти к конкурентам — рынок перегрет.
Для руководителя аргумент простой: найм подрядчика экономит деньги и снижает риски.
Вопрос руководителя: «Зачем нам надо, чтобы кто-то что-то ломал? А если все испортят?»
Такой скепсис встречается часто. Руководители боятся, что внешний специалист «сломает что-то важное» или утащит данные. Задача ИБ-специалиста — объяснить, что пентест это не хаотичный хакинг, а контролируемая и безопасная процедура.
Для сравнения можно привести пример с практикой Bug Bounty: там вы фактически приглашаете незнакомых «белых хакеров» искать уязвимости, и риски действительно выше. Пентест же — это строго регламентированные работы с техническим заданием, понятными сроками и фиксированными точками доступа. Все действия специалиста контролируются, а значит, риск минимален.
Для того, чтобы подать мысль проще, хорошо работает аналогия с автомобилем: даже если машина не ломается, ее периодически отправляют на ТО, чтобы избежать серьезных проблем в будущем. Пентест — это такое же «плановое обслуживание», которое в итоге экономит деньги: дешевле заплатить за проверку, чем потом ликвидировать последствия взлома или срочно покупать новые системы.
Руководители часто задают резонный вопрос: «Зачем нам этот ваш SIEM / DLP / PAM / IdM? Годами без них все работает, и еще столько же проработает». Особенно если в штате десятки специалистов, которые и так «держат оборону».
На первый взгляд действительно можно обойтись без систем — расширить команду, вручную мониторить трафик и анализировать логи. Но это дорого и неэффективно: люди устают, отвлекаются, болеют, а человеческий фактор еще никто не отменял. Один пропущенный инцидент может стоить компании гораздо дороже, чем любая система мониторинга.
Автоматизация же снимает рутину и экономит ресурсы. SIEM или DLP обрабатывают потоки данных в реальном времени и сразу отправляют оповещения об угрозе. В крупных компаниях это позволяет держать штат минимальным. Пример из практики: организация с 3,5 тысячами сотрудников и филиальной сетью обходилась всего двумя специалистами, контролирующими события безопасности в масштабах всей компании.
Такой аргумент трудно проигнорировать: вместо десятков окладов — пара профессионалов и система, которая не пьет кофе, не болеет и не уходит в отпуск.
Главный секрет успешной защиты бюджета — это не только цифры и таблицы, но и ваша способность объяснить их человеческим языком. Формируйте бюджет так, чтобы его было легко защищать: дробите статьи, оставляйте пространство для маневров, будьте готовы к пересмотру. Готовьтесь к защите, как к самому важному собеседованию в жизни — продумайте ответы на неудобные вопросы, покажите, что вы не просто просите деньги, а решаете реальные бизнес-задачи и экономите ресурсы.
И, пожалуй, самый важный совет: говорите с руководителем простыми словами и на понятных примерах. Никакой поток сложных терминов не убедит его так, как бытовая наглядная аналогия — с чекапом в поликлинике или тем же пентестом, который «как ТО для автомобиля». Начальник не должен чувствовать себя глупо — он должен почувствовать себя уверенно, глядя на вас и ваши предложения. Тогда у бюджета гораздо больше шансов быть одобренным.
В последние годы обозначилась тенденция: компании часто осознают, что информационную безопасность нужно выстраивать системно, но не всегда понимают, с чего начать.
Прокси-сервер — это посредник между пользователем и интернетом, который позволяет передавать запросы и получать ответы от имени клиента.
VirusTotal уже стал привычным инструментом для специалистов по информационной безопасности — через него проверяют подозрительные файлы, анализируют URL-адреса и собирают контекст об угрозах.
Фишинговых атак с применением искусственного интеллекта становится все больше.
В декабре 2021 года в популярной библиотеке Log4j дала злоумышленникам возможность всего несколькими строками кода установить полный контроль над сервером.
Рост числа онлайн-мерчантов и расширение эквайринговых сетей делают финансовую инфраструктуру всё более подверженной скрытым рискам.
Финансы давно переехали в смартфоны и браузеры: оплата, переводы, проверка баланса — все это мы делаем онлайн.
Нейросети значительно трансформировали пентест – они автоматизируют рутинную разведку и сканирование, ускоряют подготовку отчетов и повышают покрытие, одновременно ставя новые требования к контролю, конфиденциальности и экспертизе.
В середине текущего десятилетия рынок бесплатных антивирусных решений продолжает развиваться, предлагая пользователям базовую защиту от киберугроз.
Стремительное развитие и проникновение в цифровую инфраструктуру алгоритмов ИИ несет не только преимущества, но и повышает риски, расширяет поверхность атаки.
