Информационная безопасность для бизнеса: как оценить ROI от внедрения систем безопасности

Одним из ответов на этот запрос становится смена подхода: когда традиционный риск-ориентированный подход сочетается с ROI-центричной моделью, ИБ-решения начинают рассматриваться не только как вынужденная мера защиты от угроз, но и как инструмент повышения операционной эффективности и конкурентоспособности бизнеса. Об этом – экспертное мнение заместителя директора по развитию бизнеса компании «АйТи Бастион» Константина Родина.

Прагматизм и зрелость рынка как драйверы изменений

Одной из ключевых предпосылок к трансформации рынка ИБ является рационализация. Экономическая нестабильность и бюджетные ограничения заставляют бизнес более тщательно подходить к распределению средств на ИТ и ИБ. Топ-менеджмент компаний требует измеримых показателей рентабельности и окупаемости вложений, в том числе – в безопасность.

ИБ для бизнеса традиционно считалась исключительно расходной статьей, и это неудивительно: риск-ориентированный подход, основанный на расчете вероятности инцидентов, не предлагает прозрачных и понятных метрик эффективности. Полной статистики по инцидентам чаще всего собрать не удается, а значит, нельзя и рассчитать достоверную пользу ИБ от предотвращения убытков. Дорогостоящее решение не оптимизирует работу сотрудников или бизнес-процессы, компания не может подсчитать количество сэкономленных с его помощью человеко-часов, рост объема выручки или другие выраженные в измеримых показателях преимущества, – а значит, целесообразность его приобретения не всегда выглядит убедительной и ставится под сомнение.

Заместитель директора по развитию бизнеса компании «АйТи Бастион» Константин Родин
Источник: «АйТи Бастион»

Соответственно, долгое время для многих компаний главным драйвером внедрения и модернизации средств ИБ оставались требования регуляторов и формальное им соответствие. Сейчас, когда угроза кибератак и утечек данных стала актуальной для каждого, внимание к ИБ со стороны бизнеса значительно повысилось, но и вопрос экономической эффективности не утратил важности.

Однако рационализация – это не единственный фактор, который подталкивает рынок к кардинальным изменениям. Сегодня рынок демонстрирует усиление роли ИБ-руководителя (CISO – Chief Information Security Officer). Можно сказать, что безопасность перестает быть «обслуживающей», прикладной функцией и органично встраивается во все операционные процессы компании. В свою очередь, и CISO теперь должен не только быть высококвалифицированным техническим специалистом, но и хорошо понимать специфику бизнеса, его стратегические цели и направления расходов. Это означает, что ИБ-руководитель становится участником бизнес-диалога: от него ожидают способности обосновывать инвестиции, оперировать финансовыми метриками и показывать вклад ИБ в достижение бизнес-результатов.

Как итог – сегодня компании нуждаются в сбалансированной концепции развития ИБ, которая подразумевает баланс между надежной защитой и бизнес-эффективностью. Риск-ориентированный подход должен подкрепляться ROI-центричной моделью, позволяющей на измеримых показателях оценивать выгоду от внедрения средств безопасности. Эта тенденция ярко проявляется в решениях класса PAM (Privileged Access Management, управление привилегированным доступом), которые оказывают доказанное положительное влияние на экономику процессов. Рассмотрим это на их примере.

Расчет эффективности PAM-системы

Основная функция систем класса PAM, в частности, СКДПУ НТ от компании «АйТи Бастион», – управление привилегированным доступом к корпоративной ИТ-инфраструктуре, благодаря которому действия администраторов и подрядчиков в информационных системах становятся полностью прозрачными и контролируемыми. Это позволяет бизнесу уменьшить риски кибербезопасности, связанные с «человеческим фактором», а также пересмотреть операционные процессы.

Внедрение PAM открывает перед компанией новые возможности для взаимодействия с подрядчиками. Благодаря предоставлению безопасного удаленного доступа в ИТ-инфраструктуру она может привлекать для решения своих задач более широкий круг исполнителей – в том числе, внешних специалистов и аутсорсинговые команды. С помощью инструментов мониторинга повышается прозрачность взаимодействия с ними и улучшается контроль над фактически выполненными работами: можно точно оценить объем и качество оказанных услуг.

На практике это может выглядеть следующим образом. Предположим, что компания пользуется услугами внешних подрядчиков для обслуживания и доработки своих ИТ-систем. Традиционно она выделяет для них 12 рабочих мест, при этом стоимость эксплуатации каждого из них составляет 50000 рублей в месяц. Средняя зарплата такого специалиста, включая командировочные, составляет 10000 рублей в день. В итоге работа подрядчиков обходится компании примерно в 16 млн рублей в месяц – и при этом компания не может объективно оценить объем выполненных работ и уровень вовлеченности подрядчиков.

Создание защищенного удаленного доступа подрядчикам избавляет компанию от необходимости выделения физических рабочих мест и оплаты командировочных, позволяет вести точный учет трудозатрат исполнителей – что в итоге дает экономию не менее 20%. Кроме того, такой подход повышает прозрачность взаимодействия с подрядчиками и позволяет компании более гибко управлять внешними ресурсами без снижения уровня безопасности.

Еще одна существенная статья затрат – оплата работы собственных системных администраторов, которые должны каждый день заходить в информационные системы. Допустим, в крупной компании трудятся 70 администраторов, получающие по 150000 рублей в месяц. PAM-система позволяет оптимизировать штат: например, перевести часть специалистов на удаленную работу, а также нанимать для выполнения типовых задач менее «дорогостоящих» сотрудников, например, из регионов.

Дополнительное значение имеет и скорость повседневной работы администраторов с инфраструктурой. В этом плане отдельные PAM-решения могут заметно различаться по удобству и времени подключения к системам. СКДПУ НТ позволяет сократить временные затраты администраторов при работе с инфраструктурой. Ежедневно каждый сотрудник совершает в среднем 12 входов в систему, на которые в большинстве популярных PAM-систем уходит около 3 минут. В СКДПУ НТ этот процесс занимает всего несколько секунд. На первый взгляд такая экономия времени может показаться незначительной, но в масштабе крупной компании она превращается в заметный операционный эффект: в месяц у 70 сотрудников высвобождается примерно 840 человеко-часов. Это позволяет не только перераспределить время специалистов и повысить их производительность, но и снизить сопротивление пользователей внедрению ИБ-инструментов. Это влияет на скорость выполнения ИТ-операций и внедрения изменений, а значит – на способность компании быстрее запускать новые сервисы и адаптироваться к требованиям рынка.

При этом на практике бизнес редко выбирает между внедрением PAM и отсутствием контроля. Чаще речь идет о сравнении различных подходов – от ручного контроля действий пользователей до использования разрозненных инструментов безопасности. Однако такие сценарии нередко приводят к росту затрат, усложнению процессов и увеличению нагрузки на ИБ-команды.

Мнение экспертов

Для получения более объективных расчетов мы обратились за помощью к независимым экспертам. Компания Piccard провела опрос нескольких компаний из разных сфер деятельности и определила средний финансовый эффект от внедрения PAM-систем на примере СКДПУ НТ. В исследовании приняли участие компании из отраслей с повышенными требованиями к информационной безопасности и непрерывности бизнес-процессов. Эксперты анализировали не только прямые затраты на внедрение решения, но и его влияние на операционную эффективность бизнеса в целом, производительность сотрудников и организацию работы подрядчиков.

По данным исследования Piccard, основной экономический эффект от внедрения PAM формируется за счет оптимизации работы с подрядчиками, повышения прозрачности их деятельности и снижения операционных издержек. Совокупный экономический эффект от применения СКДПУ НТ составил 128,6 млн рублей в месяц. Из них 59,4 млн – это экономия за счет создания защищенного удаленного доступа подрядчикам, 44,5 млн – выгода от точного учета трудозатрат подрядчиков, 14,8 млн рублей – экономия за счет более быстрого входа администраторов в инфраструктуру, 9,7 млн рублей – экономия за счет перевода части администраторов на удаленный формат работы, 0,15 млн рублей – экономия на сроках инсталляции решения. Общие затраты компании (TCO) на владение системой, включая стоимость лицензии, техподдержки и найма дополнительного персонала, составили 42,7 млн рублей. Таким образом, возврат инвестиций (ROI) составил в среднем 201%, чистая приведенная стоимость (NPV) – 86 млн рублей, срок окупаемости вложений – менее 10 месяцев.

Что это означает для бизнеса

Внедрение PAM-системы позволяет бизнесу не только снизить риски ИБ, но и получить ощутимую экономическую выгоду за счет организации защищенного удаленного доступа привилегированных пользователей к ИТ-инфраструктуре (вместо взаимодействия исключительно в режиме офлайн), достоверного учета и контроля работы подрядчиков. Таким образом, в сфере ИБ возможно применение ROI-центричной модели, когда эффективность решения может быть доказана реальными метриками.

При этом важно понимать, что речь не идет о полном отказе от риск-ориентированного подхода. Инвестиции компаний в информационную безопасность должны предусматривать баланс между высоким уровнем защиты от киберугроз и экономической эффективностью – сегодня это в значительной мере определяет конкурентоспособность бизнеса.

Рынок ИБ постепенно смещается от модели «защиты ради соответствия» к модели «безопасности как инвестиции». В этих условиях на первый план выходят решения, которые не только снижают риски, но и дают бизнесу измеримый операционный эффект.