Android. Sistem de operare. Multimedia. Rețelele de socializare. Instrumente. Codec-uri. Arte grafice
Ești aici: » »

Statistica costurilor de securitate corporativă a companiei. Securitatea informației: o sursă de cost sau o investiție strategică? Costurile securității informațiilor sunt în creștere

Cum se justifică costurile de securitatea informatiei?

Retipărit cu permisiunea amabilă OJSC InfoTex Internet Trust
Textul sursă este localizat Aici.

Nivelul de maturitate al companiei

Gartner Group identifică 4 niveluri de maturitate a companiei în ceea ce privește securitatea informațiilor (IS):

  • nivelul 0:
    • Nimeni nu este implicat în securitatea informațiilor în companie; conducerea companiei nu realizează importanța problemelor de securitate a informațiilor;
    • Nu există finanțare;
    • Securitatea informației este implementată folosind mijloace standard sisteme de operare, SGBD și aplicații (protecție prin parolă, control acces la resurse și servicii).
  • Nivelul 1:
    • Securitatea informației este considerată de management ca o problemă pur „tehnică”; nu există un program unificat (concept, politică) pentru dezvoltarea sistemului de securitate a informațiilor (ISMS) al companiei;
    • Finanțarea este asigurată în cadrul bugetului IT global;
    • Securitatea informației este implementată prin mijloace de nivel zero + Rezervă copie, instrumente antivirus, firewall-uri, instrumente de organizare VPN (instrumente tradiționale de securitate).
  • Nivelul 2:
    • Securitatea informației este considerată de conducere ca un complex de măsuri organizatorice și tehnice, există o înțelegere a importanței securității informațiilor pentru procesele de producție, există un program de dezvoltare a ISMS al companiei aprobat de conducere;
    • Securitatea informațiilor este implementată de instrumente de prim nivel + instrumente de autentificare îmbunătățite, instrumente de analiză mesaje e-mailși conținut web, IDS (sisteme de detectare a intruziunilor), instrumente de analiză de securitate, SSO (instrumente de autentificare unică), PKI (infrastructură cu chei publice) și măsuri organizaționale (audit intern și extern, analiză de risc, politică de securitate a informațiilor, reglementări, proceduri, reglementări și manuale).
  • Nivelul 3:
    • Securitatea informației face parte din cultura corporativă, a fost numit un CISA (ofițer superior pentru securitatea informațiilor);
    • Finanțarea este asigurată în cadrul unui buget separat;
    • Securitatea informației este implementată prin intermediul sistemului de management al securității informațiilor de nivelul doi +, CSIRT (echipă de răspuns la incident de securitate a informațiilor), SLA (acord de nivel de serviciu).

Conform Gartner Group (date furnizate pentru 2001), procentul de companii în raport cu cele 4 niveluri descrise este următorul:
Nivel 0 - 30%,
Nivelul 1 - 55%,
Nivelul 2 - 10%,
Nivelul 3 - 5%.

Prognoza Gartner Group pentru 2005 este următoarea:
Nivel 0 - 20%,
Nivelul 1 - 35%,
Nivelul 2 - 30%,
Nivelul 3 - 15%.

Statisticile arată că majoritatea companiilor (55%) au implementat în prezent setul minim necesar de măsuri tehnice tradiționale de securitate (nivelul 1).

La implementarea diferitelor tehnologii și măsuri de securitate, apar adesea întrebări. Ce să implementezi mai întâi, un sistem de detectare a intruziunilor sau o infrastructură PKI? Care va fi mai eficient? Stephen Ross, directorul Deloitte&Touche, propune următoarea abordare pentru evaluarea eficienței măsurilor și instrumentelor individuale de securitate a informațiilor.

Pe baza graficului de mai sus, se poate observa că cele mai scumpe și mai puțin eficiente sunt instrumentele specializate (in-house sau personalizate).

Cele mai scumpe, dar în același timp cele mai eficiente, sunt produsele de protecție de categoria 4 (nivelele 2 și 3 conform Gartner Group). Pentru implementarea instrumentelor din această categorie este necesară utilizarea unei proceduri de analiză a riscurilor. Analiza de risc în acest caz va asigura că costurile de implementare sunt adecvate amenințărilor existente de încălcare a securității informațiilor.

Cele mai ieftine, dar cu un nivel ridicat de eficacitate, includ măsuri organizaționale (audit intern și extern, analiză de risc, politică de securitate a informațiilor, plan de continuitate a afacerii, reglementări, proceduri, reglementări și manuale).

Introducerea unor mijloace suplimentare de protecție (tranziția la nivelurile 2 și 3) necesită investiții financiare semnificative și, în consecință, justificare. Absența unui program unificat de dezvoltare a ISMS aprobat și semnat de conducere exacerbează problema justificării investițiilor în siguranță.

Analiza de risc

O astfel de justificare poate fi rezultatul analizei riscurilor și statisticilor acumulate asupra incidentelor.Mecanismele de implementare a analizei riscurilor și de colectare a statisticilor ar trebui specificate în politica de securitate a informațiilor a companiei.

Procesul de analiză a riscului constă din 6 etape succesive:

1. Identificarea și clasificarea obiectelor protejate (resurse companiei care trebuie protejate);

3. Construirea unui model de atacator;

4. Identificarea, clasificarea și analiza amenințărilor și vulnerabilităților;

5. Evaluarea riscului;

6. Selectarea măsurilor organizatorice și a mijloacelor tehnice de protecție.

La scenă identificarea si clasificarea obiectelor de protectie Este necesar să se efectueze un inventar al resurselor companiei în următoarele domenii:

  • Resurse de informații (informații confidențiale și critice ale companiei);
  • Resurse software (OS, DBMS, aplicații critice, cum ar fi ERP);
  • Resurse fizice (servere, stații de lucru, echipamente de rețea și telecomunicații);
  • Resurse de servicii (e-mail, www, etc.).

Categorizare este de a determina nivelul de confidențialitate și criticitate al resursei. Confidențialitatea se referă la nivelul de secret al informațiilor care sunt stocate, procesate și transmise de o resursă. Criticitatea este înțeleasă ca gradul de influență al unei resurse asupra eficienței proceselor de producție ale companiei (de exemplu, în cazul unei perioade de nefuncționare a resurselor de telecomunicații, compania furnizoare poate intra în faliment). Atribuind anumite valori calitative parametrilor de confidențialitate și criticitate, puteți determina nivelul de semnificație al fiecărei resurse în ceea ce privește participarea acesteia la procesele de producție ale companiei.

Pentru a determina importanța resurselor companiei din punct de vedere al securității informațiilor, puteți obține următorul tabel:

De exemplu, fișierele cu informații despre nivelul salarial al angajaților companiei au o valoare de „strict confidențial” (parametru de confidențialitate) și o valoare de „nesemnificativ” (parametru de criticitate). Prin înlocuirea acestor valori în tabel, puteți obține un indicator integral al importanței acestei resurse. Diverse opțiuni pentru metodele de clasificare sunt oferite în standardul internațional ISO TR 13335.

Construirea unui model de atacator este procesul de clasificare a potențialilor contravenienți în funcție de următorii parametri:

  • Tipul atacatorului (concurent, client, dezvoltator, angajat al companiei etc.);
  • Poziția atacatorului în raport cu obiectele de protecție (interne, externe);
  • Nivel de cunoștințe despre obiectele protejate și mediul înconjurător (înalt, mediu, scăzut);
  • Nivel de capacitate de a accesa obiecte protejate (maxim, mediu, minim);
  • Durata acțiunii (în mod constant, la anumite intervale de timp);
  • Locația acțiunii (locația așteptată a atacatorului în timpul atacului).

Prin atribuirea de valori calitative parametrilor enumerați ai modelului atacatorului, se poate determina potențialul atacatorului (o caracteristică integrală a capacităților atacatorului de a implementa amenințări).

Identificarea, clasificarea și analiza amenințărilor și vulnerabilităților vă permit să determinați modalități de implementare a atacurilor asupra obiectelor protejate. Vulnerabilitățile sunt proprietăți ale unei resurse sau ale mediului acesteia care sunt folosite de un atacator pentru a implementa amenințări. O listă a vulnerabilităților resurselor software poate fi găsită pe Internet.

Amenințările sunt clasificate după următoarele criterii:

  • numele amenințării;
  • tipul de atacator;
  • mijloace de implementare;
  • vulnerabilități exploatate;
  • Actiuni luate;
  • frecvența de implementare.

Parametrul principal este frecvența implementării amenințărilor. Depinde de valorile parametrilor „potențialul atacatorului” și „securitatea resurselor”. Valoarea parametrului „securitatea resurselor” este determinată prin evaluări ale experților. La determinarea valorii parametrului se iau în considerare parametrii subiectivi ai atacatorului: motivația pentru implementarea amenințării și statisticile din încercările de implementare a amenințărilor. de acest tip(daca este disponibil). Rezultatul etapei de analiză a amenințărilor și vulnerabilităților este o evaluare a parametrului „frecvența de implementare” pentru fiecare amenințare.

La scenă evaluări ale riscurilor prejudiciul potențial cauzat de amenințările de încălcare a securității informațiilor este determinat pentru fiecare resursă sau grup de resurse.

Indicatorul calitativ al daunei depinde de doi parametri:

  • Semnificația resursei;
  • Frecvența implementării amenințărilor pe această resursă.

Pe baza evaluărilor daunelor obținute, sunt selectate în mod rezonabil măsuri organizatorice adecvate și mijloace tehnice de protecție.

Acumularea de statistici privind incidentele

Singurul punct slab al metodologiei propuse pentru evaluarea riscului și, în consecință, justificarea necesității de a introduce noi sau de a schimba tehnologiile de protecție existente este determinarea parametrului „frecvența apariției amenințărilor”. Singura modalitate de a obține valori obiective ale acestui parametru este acumularea de statistici privind incidentele. Statisticile acumulate, de exemplu, pe parcursul unui an, vă vor permite să determinați numărul de implementări ale amenințărilor (de un anumit tip) per resursă (de un anumit tip). Este recomandabil să se efectueze lucrări de colectare a statisticilor ca parte a procedurii de procesare a incidentelor.

Ei investesc în diverse tehnologii de securitate informatică - de la platforme pentru plata bonusurilor pentru detectarea vulnerabilităților în programe până la diagnosticare și testare automată a programelor. Dar, mai ales, sunt atrași de tehnologiile de autentificare și de gestionare a informațiilor privind identitatea - aproximativ 900 de milioane de dolari au fost investiți în startup-uri care se ocupă de aceste tehnologii la sfârșitul anului 2019.

Investițiile în startup-uri de formare în domeniul securității cibernetice au ajuns la 418 de milioane de dolari în 2019, conduse de KnowBe4, care a strâns 300 de milioane de dolari. Startup-ul oferă o platformă de simulare a atacurilor de phishing și o serie de programe de formare.

În 2019, companiile implicate în securitatea Internet of Things au primit aproximativ 412 milioane de dolari. Liderul în această categorie în ceea ce privește volumul investițiilor este SentinelOne, care în 2019 a primit 120 de milioane de dolari pentru dezvoltarea tehnologiilor de protecție a punctelor terminale.

Totodată, analiștii Metacurity furnizează și alte date care caracterizează situația de pe piața de finanțare de risc în sectorul securității informațiilor. În 2019, volumul investițiilor aici a ajuns la 6,57 miliarde USD, în creștere de la 3,88 miliarde USD în 2018. Numărul tranzacțiilor a crescut și el - de la 133 la 219. Totodată, volumul mediu al investițiilor pe tranzacție a rămas practic neschimbat și se ridica la 29,2 milioane la sfârșitul anului 2019, calculat de Metacurity.

2018

Creștere cu 9% până la 37 de miliarde de dolari - Canalys

În 2018, vânzările de echipamente, softwareși serviciile destinate securității informațiilor (IS), au ajuns la 37 de miliarde de dolari, în creștere cu 9% față de acum un an (34 de miliarde de dolari). Astfel de date au fost publicate de analiștii Canalys pe 28 martie 2019.

În ciuda faptului că multe companii au acordat prioritate protejării activelor, datelor, punctelor finale, rețelelor, angajaților și clienților, securitatea cibernetică a reprezentat doar 2% din totalul cheltuielilor IT în 2018, au spus aceștia. Cu toate acestea, apar tot mai multe amenințări noi, ele devin din ce în ce mai complexe și mai frecvente, ceea ce oferă producătorilor de soluții de securitate a informațiilor noi oportunități de creștere. Cheltuielile totale pentru securitatea cibernetică vor depăși 42 de miliarde de dolari în 2020.

Analistul Canalys Matthew Ball consideră că tranziția către noi modele de implementare a securității informațiilor se va accelera. Clienții își schimbă natura bugetelor IT prin utilizarea serviciilor cloud publice și a serviciilor flexibile bazate pe abonament.

Aproximativ 82% din implementările de securitate a informațiilor în 2018 au implicat utilizarea de hardware și software tradițional. În restul de 18% din cazuri s-au folosit virtualizarea, cloud-urile publice și serviciile de securitate a informațiilor.

Până în 2020, ponderea modelelor tradiționale de implementare a sistemelor de securitate a informațiilor va scădea la 70%, pe măsură ce noile soluții de pe piață câștigă popularitate.

Furnizorii vor trebui să creeze o gamă largă de modele de afaceri pentru a sprijini această tranziție, deoarece produsele diferite se potrivesc diferite tipuri diferite implementari. Principala provocare pentru mulți astăzi este de a face noi modele mai concentrate pe canalele afiliate și de a le integra cu cele existente programe de afiliere, în special cu tranzacțiile clienților prin platforme cloud. Unele piețe cloud au răspuns deja la acest lucru, permițând partenerilor să ofere oferte și prețuri personalizate direct clienților, urmărind înregistrările și reducerile la oferte, a raportat Matthew Ball într-o postare din 29 martie 2019.

Potrivit analistului Canalys Ketaki Borade, furnizorii de top de tehnologie de securitate cibernetică au introdus noi modele de distribuție a produselor care implică trecerea companiilor la un model de abonament și creșterea operațiunilor în infrastructura cloud.


Piața securității cibernetice a rămas foarte dinamică și a înregistrat o activitate și un volum record de tranzacții ca răspuns la creșterea reglementărilor și cerinte tehnice, precum și riscul larg răspândit de încălcări ale datelor, spune Eric McAlpine, co-fondator și managing partner Momentum Cyber. „Credem că acest impuls va continua să împingă sectorul pe un nou teritoriu, deoarece încearcă să abordeze amenințările emergente și să se consolideze în fața oboselii furnizorilor și a deficitului de competențe în creștere.”

2017

Cheltuielile cu securitatea cibernetică au depășit 100 de miliarde de dolari

În 2017, cheltuielile globale pentru securitatea informațiilor (IS) - produse și servicii - au ajuns la 101,5 miliarde de dolari, a declarat compania de cercetare Gartner la jumătatea lunii august 2018. La sfârșitul anului 2017, experții estimau această piață la 89,13 miliarde de dolari.Nu este raportat ce a cauzat creșterea semnificativă a evaluării.

CISO caută să-și ajute organizațiile să folosească în siguranță platformele tehnologice pentru a deveni mai competitive și pentru a stimula creșterea afacerii, spune Siddharth Deshpande, director de cercetare la Gartner. - Lipsa continuă de competențe și schimbările de reglementare, cum ar fi Regulamentul general privind protecția datelor (GDPR) în Europa, conduc la o creștere suplimentară pe piața serviciilor de securitate cibernetică.

Experții consideră că unul dintre factorii cheie care contribuie la creșterea costurilor de securitate a informațiilor este introducerea de noi metode de detectare și de răspuns la amenințări, care au devenit prioritatea principală de securitate pentru organizații în 2018.

Potrivit estimărilor Gartner, în 2017, organizațiile cheltuite pe servicii de protecție cibernetică la nivel global au depășit 52,3 miliarde USD, iar în 2018, aceste costuri vor crește la 58,9 miliarde USD.

În 2017, companiile au cheltuit 2,4 miliarde USD pe protecția aplicațiilor, 2,6 miliarde USD pe protecția datelor, servicii cloud- 185 de milioane de dolari

Vânzările anuale de soluții pentru managementul identității și accesului (Identity And Access Management) s-au dovedit a fi egale cu 8,8 miliarde, iar vânzările de instrumente de protecție a infrastructurii IT au crescut la 12,6 miliarde USD.

Studiul indică, de asemenea, costuri de 10,9 miliarde de dolari pentru echipamentele folosite pentru a furniza securitatea retelei. Producătorii lor au câștigat 3,9 miliarde de dolari din sistemele de management al riscului de securitate a informațiilor.

Cheltuielile consumatorilor pentru securitatea cibernetică pentru 2017 sunt estimate de analiști la 5,9 miliarde de dolari, potrivit unui studiu Gartner.

Gartner a estimat dimensiunea pieței la 89,13 miliarde de dolari

În decembrie 2017, a devenit cunoscut faptul că cheltuielile companiei globale pentru securitatea informațiilor (IS) în 2017 s-ar ridica la 89,13 miliarde de dolari. Potrivit Gartner, cheltuielile corporative pentru securitatea cibernetică vor depăși suma din 2016 de 82,2 miliarde de dolari cu aproape 7 miliarde de dolari.

Experții consideră că serviciile de securitate a informațiilor sunt cea mai mare cheltuială: în 2017, companiile vor aloca peste 53 de miliarde de dolari pentru aceste scopuri, comparativ cu 48,8 miliarde de dolari în 2016. Al doilea segment ca mărime al pieței de securitate a informațiilor este soluțiile de protecție a infrastructurii, ale căror costuri în 2017 se vor ridica la 16,2 miliarde USD în loc de 15,2 miliarde USD în urmă cu un an. Echipamentele de securitate a rețelei se află pe locul trei (10,93 miliarde USD).

Structura cheltuielilor cu securitatea informațiilor include și software de consum pentru securitatea informațiilor și sisteme de identificare și management al accesului (Identity and Access Management, IAM). Gartner estimează costurile în aceste domenii în 2017 la 4,64 miliarde dolari și 4,3 miliarde dolari, în timp ce în 2016 cifrele au fost de 4,57 miliarde dolari și, respectiv, 3,9 miliarde dolari.

Analiștii se așteaptă la o creștere suplimentară pe piața de securitate a informațiilor: în 2018, organizațiile vor crește cheltuielile pentru protecția cibernetică cu încă 8% și vor aloca un total de 96,3 miliarde USD în aceste scopuri.Printre factorii de creștere, experții au enumerat schimbarea reglementărilor în sectorul securității informațiilor și conștientizarea noilor amenințări și pivotul companiilor către o strategie de afaceri digitale.

În general, cheltuielile pentru securitatea cibernetică sunt în mare măsură determinate de răspunsul companiilor la incidentele de securitate a informațiilor, deoarece numărul de atacuri cibernetice de mare profil și scurgeri de informații care afectează organizațiile din întreaga lume este în creștere, spune Ruggero Contu, director de cercetare la Gartner, comentând prognoza. .

Cuvintele analistului sunt confirmate de datele obținute de Gartner în 2016 în cadrul unui sondaj la care au participat 512 organizații din opt țări: Australia, Canada, Franța, Germania, India, Singapore și SUA.

53% dintre respondenți au numit riscurile de securitate cibernetică drept principala forță motrice din spatele cheltuielilor crescute pentru securitatea cibernetică. Din acest număr, cel mai mare procent de respondenți au spus că amenințarea atacurilor cibernetice influențează cel mai mult deciziile de cheltuieli pentru securitatea informațiilor.

Prognoza Gartner pentru 2018 presupune creșterea cheltuielilor în toate domeniile majore. Astfel, aproximativ 57,7 miliarde dolari (+4,65 miliarde dolari) vor fi cheltuiți pentru servicii de protecție cibernetică, aproximativ 17,5 miliarde dolari (+1,25 miliarde dolari) vor fi cheltuiți pentru asigurarea securității infrastructurii și 11,67 miliarde dolari (+ 735 milioane dolari), pentru software de consum - 4,74 miliarde dolari ( +109 milioane USD) și pentru sistemele IAM - 4,69 miliarde USD (+416 milioane USD).

De asemenea, analiștii cred că până în 2020, mai mult de 60% dintre organizațiile din lume vor investi simultan în mai multe instrumente de protecție a datelor, inclusiv instrumente de prevenire a pierderii de informații, de criptare și de audit. La sfârșitul anului 2017, ponderea companiilor care achiziționează astfel de soluții era estimată la 35%.

Un alt element semnificativ al cheltuielilor corporative pentru securitatea informațiilor va fi implicarea unor specialiști terți. Este de așteptat ca, pe fondul lipsei de personal în domeniul securității cibernetice, al complexității tehnice în creștere a sistemelor de securitate a informațiilor și al amenințărilor cibernetice tot mai mari, costurile companiei pentru externalizarea securității informațiilor în 2018 să crească cu 11% și să se ridice la 18,5 miliarde USD. .

Gartner estimează că până în 2019, cheltuielile corporative pentru experții terți în securitate cibernetică vor reprezenta 75% din cheltuielile totale pentru software și hardware pentru securitate cibernetică, în creștere de la 63% în 2016.

IDC estimează că dimensiunea pieței va fi de 82 de miliarde de dolari

Două treimi din costuri vor veni de la companii mari și foarte mari. Afaceri mari. Până în 2019, potrivit analiștilor IDC, costurile corporațiilor cu peste 1.000 de angajați vor depăși pragul de 50 de miliarde de dolari.

2016: Volumul pieței 73,7 miliarde USD, creștere de 2 ori mai mare decât piața IT

În octombrie 2016, compania de analiză IDC a prezentat succinte rezultate ale unui studiu al pieței globale de securitate a informațiilor. Creșterea sa este de așteptat să fie de două ori față de cea a pieței IT.

IDC a calculat că vânzările globale de echipamente, software și servicii pentru protecția cibernetică vor ajunge la aproximativ 73,7 miliarde USD în 2016, iar în 2020 cifra va depăși 100 miliarde USD, în valoare de 101,6 miliarde USD.În perioada 2016-2020, piața de securitate a informațiilor - tehnologia va crește cu o rată medie de 8,3% anual, ceea ce reprezintă de două ori rata de creștere estimată a industriei IT.


Cele mai mari cheltuieli pentru securitatea informațiilor (8,6 miliarde de dolari) la sfârșitul anului 2016 sunt așteptate în bănci. Pe locurile al doilea, al treilea și al patrulea în ceea ce privește dimensiunea unor astfel de investiții vor fi întreprinderile de producție discretă, agențiile guvernamentale și, respectiv, întreprinderile de producție continuă, care vor reprezenta aproximativ 37% din cheltuieli.

Analiștii conferă lider în dinamica creșterii investițiilor în securitatea informațiilor în domeniul sănătății (se așteaptă o creștere medie anuală de 10,3% în 2016-2020). Costurile protecției cibernetice în sectorul telecomunicațiilor, locuințelor, agențiilor guvernamentale și pe piața de investiții și valori mobiliare vor crește cu aproximativ 9% pe an.

Cercetătorii numesc piața americană cea mai mare piață de securitate a informațiilor, al cărei volum va ajunge la 31,5 miliarde de dolari în 2016. Primele trei vor include și Europa de Vest și regiunea Asia-Pacific (excluzând Japonia). Nu există informații despre piața rusă în versiunea scurtă a studiului IDC.

Directorul general al companiei ruse Security Monitor, Dmitri Gvozdev, prezice o creștere a ponderii serviciilor în totalul cheltuielilor de securitate rusești de la 30-35% la 40-45% și, de asemenea, prezice dezvoltarea structurii clienților pieței - din total predominanța sectorului guvernamental, financiar și energetic față de întreprinderile mijlocii dintr-o gamă mai largă de industrii.

Una dintre tendințe ar trebui să fie dezvoltarea ponderii produselor software interne în legătură cu problemele de substituire a importurilor și situația politicii externe. Cu toate acestea, cât de mult se va reflecta acest lucru în indicatorii financiari va depinde în mare măsură de cursul de schimb al rublei și Politica de prețuri furnizori străini, care încă ocupă cel puțin jumătate din piața internă pentru soluții software și până la două treimi pe segmentul hardware. Rezultatul financiar anual final al ansamblului poate fi, de asemenea, legat de factori economici externi. piata ruseasca Soluții de securitate a informațiilor”, a spus Gvozdev într-o conversație cu TAdviser.

2015

DIMENSIUNEA PIEȚEI

CHELTUIELI FEDERALE

CRIMINALITATEA CIBERNETICĂ

COST-PE-ÎNCĂLCARE

SERVICII FINANCIARE

Internaţional

ANALITĂ DE SECURITATE

2013: Piața EMEA a crescut la 2,5 miliarde USD.

Volumul pieței de echipamente de securitate din regiunea EMEA (Europa, Orientul Mijlociu și Africa) a crescut cu 2,4% față de 2012 și s-a ridicat la 2,5 miliarde USD.Analiștii au numit sisteme software și hardware multifuncționale pentru protecție segmentul cel mai mare și cu cea mai rapidă creștere al pieței. în considerare. retele de calculatoare– Soluții UTM (Management unificat al amenințărilor). În același timp, IDC a prezis că piața hardware-ului de securitate a informațiilor până în 2018 va ajunge la 4,2 miliarde USD în valoare, cu o creștere medie anuală de 5,4%.

La sfârșitul anului 2013, poziția de lider în rândul furnizorilor în ceea ce privește veniturile din vânzările de echipamente de securitate a informațiilor din regiunea EMEA a fost preluată de Check Point. Potrivit IDC, veniturile vânzătorului pe acest segment pentru 2013 au crescut cu 3,8% și s-au ridicat la 374,64 milioane USD, ceea ce corespunde unei cote de piață de 19,3%.

2012: Prognoza PAC: Piața de securitate a informațiilor va crește cu 8% pe an

Piața globală de securitate a informațiilor va crește cu 8% anual până în 2016, când ar putea ajunge la 36 de miliarde de euro, arată studiul.

Există două abordări principale pentru a justifica costurile securității informațiilor.

Abordare științifică. Pentru a face acest lucru, este necesar să se implice conducerea companiei (sau proprietarul acesteia) în evaluarea costului resurse informaționale, stabilirea evaluării potențialelor prejudicii din încălcări în domeniul securității informațiilor.

1. Dacă costul informațiilor este scăzut, nu există amenințări semnificative la adresa activelor informaționale ale companiei, iar daunele potențiale sunt minime, asigurarea securității informațiilor necesită mai puțină finanțare.

2. Dacă informațiile au o anumită valoare, amenințările și daunele potențiale sunt semnificative și definite, atunci se pune problema includerii în buget a costurilor pentru subsistemul de securitate a informațiilor. În acest caz, este necesar să se construiască sistem corporativ protectia informatiilor.

Abordare practică constă în determinarea opțiunii de cost real pentru un sistem corporativ de securitate a informațiilor bazat pe sisteme similare din alte domenii. Practicienii din domeniul securității informațiilor consideră că costul unui sistem de securitate a informațiilor ar trebui să fie de aproximativ 10-20% din costul unei companii. Sistem informatic, în funcție de cerințele specifice regimului de securitate a informațiilor.

Cerințele general acceptate pentru asigurarea regimului de securitate a informațiilor „cele mai bune practici” (pe baza experienței practice), formalizate într-o serie de standarde, de exemplu ISO 17799, sunt implementate în practică atunci când se dezvoltă metode specifice de evaluare a eficacității unui sistem de securitate a informațiilor.

Aplicație metode moderne estimarea costurilor securității informațiilor vă permite să calculați întreaga parte consumabilă a activelor informaționale ale organizației, inclusiv costurile directe și indirecte ale hardware-ului software, evenimente organizatorice, formare si dezvoltare profesionala a angajatilor, reorganizare, restructurare afaceri etc.

Acestea sunt necesare pentru a dovedi rentabilitatea sistemelor de protecție corporative existente și le permit șefilor serviciilor de securitate a informațiilor să justifice bugetul pentru securitatea informațiilor, precum și să dovedească eficacitatea muncii angajaților serviciului relevant. Metodele de estimare a costurilor utilizate de companiile străine permit:

Obțineți informații adecvate despre nivelul de securitate al unui mediu de calcul distribuit și costul total de proprietate al unui sistem de securitate a informațiilor corporative.

Comparați departamentele de securitate a informațiilor ale organizației atât între ele, cât și cu departamentele similare ale altor organizații din industrie.

Optimizați investițiile în securitatea informațiilor organizației.


Una dintre cele mai cunoscute metode de estimare a costurilor în raport cu un sistem de securitate a informațiilor este metoda costul total de proprietate (TCO) companie Gartner Group Indicatorul TCO este înțeles ca suma costurilor directe și indirecte pentru organizarea (reorganizarea), operarea și întreținerea unui sistem corporativ de securitate a informațiilor pe parcursul anului. Este utilizat în aproape toate etapele principale ale ciclului de viață al unui sistem de securitate a informațiilor corporative și face posibilă justificarea obiectivă și independentă a fezabilității economice a introducerii și utilizării unor măsuri și mijloace organizatorice și tehnice specifice de securitate a informațiilor. Pentru obiectivitatea deciziei, este, de asemenea, necesar să se țină cont de starea mediului extern și intern al întreprinderii, de exemplu, indicatorii dezvoltării tehnologice, de personal și financiare a întreprinderii.

Compararea unui anumit indicator TCO cu indicatori similari TCO din industrie (cu companii similare) vă permite să justificați în mod obiectiv și independent costurile organizației pentru securitatea informațiilor. La urma urmei, de multe ori se dovedește a fi destul de dificil sau chiar practic imposibil să se evalueze efectul economic direct al acestor costuri.

Costul total de proprietate pentru un sistem de securitate a informațiilor constă, în general, din costul:

Lucrări de proiectare,

Achiziții și configurare de instrumente de protecție software și hardware, inclusiv următoarele grupe principale: firewall-uri, instrumente de criptare, antivirusuri și AAA (instrumente de autentificare, autorizare și administrare),

Costurile asigurării securității fizice,

Instruirea personalului,

Managementul și suportul de sistem (administrarea securității),

Auditul securității informației, - modernizarea periodică a sistemului de securitate a informațiilor.

Costurile directe includ atât componente ale costului capitalului (asociate cu mijloace fixe sau „proprietate”), cât și costuri cu forța de muncă, care sunt incluse în categoriile de operațiuni și management administrativ. Acestea includ și costurile pentru serviciile utilizatorilor de la distanță etc., asociate cu susținerea activităților organizației.

La rândul lor, costurile indirecte reflectă impactul sistemului informațional corporativ și al subsistemului de securitate a informațiilor asupra angajaților organizației prin indicatori măsurabili precum timpul de nefuncționare și înghețarea sistemului de securitate a informațiilor corporative și a sistemului informațional în ansamblu, costurile de operațiuni și suport (nu legate de costurile directe). De foarte multe ori, costurile indirecte joacă un rol semnificativ, deoarece de obicei nu sunt reflectate inițial în bugetul de securitate a informațiilor, ci sunt relevate ulterior în analiza costurilor.

Calculul indicatorilor TCO ai organizației se efectuează în următoarele domenii.

Componentele unui sistem informatic corporativ(inclusiv sistemul de securitate a informațiilor) și actele informaționale ale organizației (servere, calculatoare client, dispozitive periferice, dispozitive de rețea).

Cheltuieli pentru hardware și software pentru securitatea informațiilor : Consumabileși cheltuielile cu amortizarea nici serverele, computerele clienților (desktop-uri și calculatoare mobile), dispozitive periferice și componente de rețea.

Costuri pentru organizarea securității informațiilor:întreținerea sistemelor de securitate a informațiilor, mijloace standard de protecție a dispozitivelor periferice, serverelor, dispozitive de rețea, planificarea și gestionarea proceselor de securitate a informațiilor, dezvoltarea conceptelor și politicilor de securitate și altele.

Cheltuieli pentru operarea sistemului informatic subiecte: costurile directe de întreținere a personalului, costul muncii și externalizarea efectuată de organizație în ansamblu sau serviciu de implementat suport tehnicși operațiuni de întreținere a infrastructurii pentru utilizatori.

Cheltuieli administrative: costurile directe de personal, suportul operațional și costurile furnizorilor (furnizorilor) interni/externi pentru a sprijini operațiunile, inclusiv managementul, finanțarea, achiziția și instruirea sistemelor informaționale.

Costurile de tranzacție ale utilizatorului final: costuri de auto-asistență pentru utilizatorul final, instruire formală a utilizatorilor finali, instruire ocazională (informală), dezvoltare de aplicații de tip „do-it-yourself”, suport pentru sistemul de fișiere local.

Costuri de oprire: Pierderi anuale de productivitate ale utilizatorilor finali din întreruperi planificate și neplanificate ale resurselor de rețea, inclusiv computere client, servere partajate, imprimante, programe de aplicație, resurse de comunicații și software de comunicații.

Scopul studiului: analiza și determinarea principalelor tendințe de pe piața rusă de securitate a informațiilor
S-au folosit date Rosstat (formulare de raportare statistică Nr. 3-Inform, P-3, P-4), situații financiare ale întreprinderilor etc.

Utilizarea de către organizații a tehnologiilor informației și comunicațiilor și a instrumentelor de securitate a informațiilor

  • Pentru prepararea de aceasta sectiune au fost utilizate divizii și reprezentanțe agregate, separate geografic (Formularul 3-Inform „Informații privind utilizarea tehnologiilor informației și comunicațiilor și producția tehnologia calculatoarelor, software și furnizarea de servicii în aceste domenii".

A fost analizată perioada 2012-2016. Datele nu pretind a fi complete (deoarece sunt colectate de la un număr limitat de întreprinderi), dar, în opinia noastră, pot fi folosite pentru a evalua tendințele. Numărul întreprinderilor respondente pentru perioada analizată a variat între 200 și 210 mii. Adică, eșantionul este destul de stabil și include cei mai probabili consumatori (întreprinderi mari și mijlocii), care reprezintă cea mai mare parte a vânzărilor.

Disponibilitatea calculatoarelor personale în organizații

Conform formularului de raportare statistică 3-Inform, în 2016 au existat aproximativ 12,4 milioane de unități în organizațiile rusești care au furnizat informații pe acest formular calculatoare personale(PC). În acest caz, PC înseamnă computere desktop și laptop; acest concept nu include mobil Celulareși computere personale de buzunar.

În ultimii 5 ani, numărul de unități PC în organizațiile din Rusia în ansamblu a crescut cu 14,9%. Cel mai echipat District federal este Districtul Federal Central, reprezentând 30,2% din calculatoarele din companii. Regiunea lider indiscutabil pentru acest indicator este orașul Moscova; conform datelor pentru 2016, companiile din Moscova au aproximativ 1,8 milioane de computere. Cea mai mică valoare a indicatorului a fost observată în Districtul Federal Caucazian de Nord; organizațiile din district au doar aproximativ 300 de mii de unități PC; cel mai mic număr este în Republica Ingușeția - 5,45 mii de unități.

Orez. 1. Număr de calculatoare personale în organizații, Rusia, milioane de unități.

Cheltuieli organizatorice pentru tehnologiile informaţiei şi comunicaţiilor

În perioada 2014-2015. Din cauza situației economice nefavorabile, companiile rusești au fost nevoite să-și minimizeze costurile, inclusiv costurile pentru tehnologiile informației și comunicațiilor. În 2014, scăderea costurilor în sectorul TIC a fost de 5,7%, dar la sfârșitul anului 2015 s-a înregistrat o tendință ușor pozitivă. În 2016 costă companiile rusești pentru tehnologiile informaţiei şi comunicaţiilor s-au ridicat la 1,25 trilioane. rub., depășind cu 0,3% cifra de dinaintea crizei din 2013.

Cea mai mare parte a costurilor revine companiilor situate la Moscova - peste 590 de miliarde de ruble, sau 47,2% din total. Cele mai mari volume de cheltuieli ale organizațiilor privind tehnologiile informației și comunicațiilor în 2016 au fost înregistrate în: regiunea Moscova - 76,6 miliarde de ruble, Sankt Petersburg - 74,4 miliarde de ruble, regiunea Tyumen - 56,0 miliarde de ruble, Republica Tatarstan - 24,7 miliarde de ruble, Regiunea Nijni Novgorod– 21,4 miliarde de ruble. Cele mai mici costuri au fost înregistrate în Republica Ingușeția – 220,3 milioane de ruble.

Orez. 2. Suma cheltuielilor companiilor cu tehnologiile informației și comunicațiilor, Rusia, miliarde de ruble.

Utilizarea de către organizații a instrumentelor de securitate a informațiilor

Recent, s-a înregistrat o creștere semnificativă a numărului de companii care folosesc instrumente de protecție a securității informațiilor. Rata anuală de creștere a numărului lor este destul de stabilă (cu excepția anului 2014) și se ridică la aproximativ 11-19% pe an.

Potrivit datelor oficiale de la Rosstat, Cele mai populare mijloace de protecție în prezent sunt mijloacele tehnice de autentificare a utilizatorilor (jetoane, chei USB, carduri inteligente). Din cele peste 157 de mii de companii, 127 de mii de companii (81%) au indicat utilizarea acestor instrumente speciale ca protecție a informațiilor.

Orez. 3. Distribuția organizațiilor prin utilizarea mijloacelor de asigurare a securității informațiilor în 2016, Rusia, %.

Potrivit statisticilor oficiale, în 2016, 161.421 de companii au folosit internetul global în scopuri comerciale. Dintre organizațiile care folosesc internetul în scopuri comerciale și au indicat utilizarea măsurilor de securitate a informațiilor, cea mai populară este semnătura digitală electronică. Acest instrument Peste 146 de mii de companii, sau 91% din total, au fost indicate ca mijloc de protecție. Conform utilizării instrumentelor de securitate a informațiilor, companiile au fost distribuite după cum urmează:

    • Mijloace electronice semnatura digitala– 146.887 firme;
    • Actualizat regulat programe antivirus– 143.095 firme;
    • Software sau hardware care împiedică accesul neautorizat malware din informații globale sau locale retele de calculatoare(Firewall) – 101.373 companii;
    • Filtru de spam – 86.292 companii;
    • Instrumente de criptare – 86.074 companii;
    • Sisteme de detectare a intruziunilor de calculator sau de rețea – 66.745 companii;
    • Instrumente software pentru automatizarea proceselor de analiză și control de securitate sisteme informatice– 54.409 firme.

Orez. 4. Distribuția companiilor care utilizează internetul în scopuri comerciale, prin protecția informațiilor transmise prin rețele globale, în 2016, Rusia, %.

În perioada 2012-2016, numărul companiilor care folosesc internetul în scopuri comerciale a crescut cu 34,9%.În 2016, 155.028 de companii au folosit internetul pentru a comunica cu furnizorii și 110.421 de companii au folosit internetul pentru a comunica cu consumatorii. Dintre companiile care folosesc internetul pentru a comunica cu furnizorii, scopul utilizării a indicat:

  • obtinerea de informatii despre bunurile necesare (lucrari, servicii) si furnizorii acestora - 138.224 firme;
  • furnizarea de informații despre nevoile organizației de bunuri (lucrări, servicii) – 103.977 companii;
  • plasarea comenzilor pentru bunuri (lucrări, servicii) solicitate de organizație (excluzând comenzile trimise prin e-mail) – 95.207 companii;
  • plata bunurilor furnizate (lucrări, servicii) – 89.279;
  • primirea produselor electronice – 62.940 firme.

Din numărul total de companii care folosesc Internetul pentru a comunica cu consumatorii, scopul utilizării a indicat:

  • furnizarea de informații despre organizație, bunurile acesteia (lucrări, servicii) - 101.059 companii;
  • (lucrări, servicii) (excluzând comenzile trimise prin email) – 44.193 firme;
  • implementarea plăților electronice cu consumatorii – 51.210 companii;
  • distributie de produse electronice – 12.566 firme;
  • service post-vânzare (service) – 13.580 firme.

Volumul și dinamica bugetelor autorităților executive federale pentru tehnologia informației în perioada 2016-2017.

Potrivit Trezoreriei Federale, volumul total al limitelor obligațiilor bugetare pentru anul 2017, comunicat autorităților executive federale (denumite în continuare autoritatea executivă federală) conform codului tip cheltuieli 242 „Achiziție de bunuri, lucrări, servicii în domeniu. a tehnologiilor informației și comunicațiilor” în ceea ce privește informațiile care nu constituie secret de stat, la 1 august 2017 se ridica la 115,2 miliarde de ruble, ceea ce este cu aproximativ 5,1% mai mare decât bugetul total pentru tehnologia informației al autorităților executive federale în 2016 (109,6 miliarde de ruble, potrivit Ministerului Telecomunicațiilor și Comunicațiilor de Masă). Astfel, în timp ce volumul total al bugetelor IT ale departamentelor federale continuă să crească de la an la an, ritmul de creștere a scăzut (în 2016, volumul total al bugetelor IT a crescut cu 8,3% față de 2015). în care Există o stratificare din ce în ce mai mare între „bogați” și „săraci” în ceea ce privește cheltuielile departamentelor pentru tehnologia informației și comunicațiilor. Liderul incontestabil nu doar din punct de vedere al mărimii bugetului, ci și din punct de vedere al realizărilor în domeniul IT este Serviciul Fiscal Federal. Bugetul său pentru TIC anul acesta este de peste 17,6 miliarde de ruble, ceea ce reprezintă mai mult de 15% din bugetul tuturor autorităților executive federale. Ponderea totală a primelor cinci (Serviciul Fiscal Federal, Fondul de Pensii al Federației Ruse, Trezoreria, Ministerul Afacerilor Interne, Ministerul Telecomunicațiilor și Comunicațiilor de Masă) este de peste 53%.

Orez. 5. Structura cheltuielilor bugetare pentru achiziționarea de bunuri, lucrări și servicii în domeniul tehnologiilor informației și comunicațiilor de către autoritățile executive federale în 2017, %

Reglementare legislativă în domeniul achizițiilor de software pentru nevoile statului și municipalității

De la 1 ianuarie 2016, toate organismele de stat și municipale, corporațiile de stat Rosatom și Roscosmos, organele de conducere ale fondurilor extrabugetare de stat, precum și instituțiile de stat și bugetare care efectuează achiziții în conformitate cu cerințele Legii federale din 5 aprilie 2013 Nr. 44 -FZ „Cu privire la sistemul contractual în domeniul achizițiilor de bunuri, lucrări, servicii pentru satisfacerea nevoilor de stat și municipale”, sunt obligate să respecte interdicția de admitere a software-ului originar din țări străine în scopul achizițiilor. pentru a satisface nevoile de stat și municipale. Interdicția a fost introdusă prin Decretul Guvernului Federației Ruse din 16 noiembrie 2015 nr. 1236 „Cu privire la instituirea unei interdicții privind admiterea de software provenind din țări străine în scopul achizițiilor pentru a satisface nevoile de stat și municipale”. La achiziționarea de software, clienții de mai sus trebuie să indice direct interzicerea achiziționării de software importat în anunțul de cumpărare. Interdicția se aplică achiziției de software pentru electronice calculatoareși baze de date implementate indiferent de tipul de contract pe un mediu tangibil și (sau) în în format electronic prin canale de comunicare, precum și drepturi exclusive asupra unui astfel de software și drepturile de utilizare a acestui software.

Există câteva excepții atunci când achiziționarea de software importat de către clienți este permisă.

  • achiziții de software și (sau) drepturi asupra acestuia de către misiunile diplomatice și oficiile consulare ale Federației Ruse, misiunile comerciale ale Federației Ruse la organizațiile internaționale pentru a-și asigura activitățile pe teritoriul unui stat străin;
  • achiziționarea de software și (sau) drepturile asupra acestuia, informații despre care și (sau) achiziționarea constituie un secret de stat.

În toate celelalte cazuri, înainte de achiziționarea de software, clientului i se va cere să lucreze cu registrul unificat al programelor rusești pentru calculatoare și baze de date electronice și cu clasificatorul de programe pentru calculatoare și baze de date electronice.
Formarea și menținerea registrului ca organism executiv federal autorizat este efectuată de Ministerul Telecomunicațiilor și Comunicațiilor de Masă al Rusiei.
La sfârșitul lunii august 2017, registrul includea 343 de produse software aparținând clasei de „instrumente de securitate a informațiilor” de la 98 de companii de dezvoltare ruse. Printre ei se numără produse software atât de mare Dezvoltatorii ruși, Cum:

  • OJSC „Tehnologii informaționale și sisteme de comunicații” („InfoTeKS”) – 37 de produse software;
  • JSC Kaspersky Lab - 25 de produse software;
  • Security Code LLC - 19 produse software;
  • Crypto-Pro LLC - 18 produse software;
  • OOO" Doctor WEB» — 12 produse software;
  • S-Terra CSP LLC - 12 produse software;
  • CJSC "Aladdin R.D." — 8 produse software;
  • JSC „Infowatch” - 6 produse software.

Analiza activităților celor mai mari jucători din domeniul securității informațiilor

  • Ca informație de bază pentru analiza activităților celor mai mari jucători de pe piața de securitate a informațiilor pentru pregătire acest studiu au fost utilizate informații privind achizițiile publice în domeniul activităților de informare și comunicare și, în special, a securității informațiilor.

Pentru a analiza tendințele, am selectat 18 companii care se numără printre liderii de pe piața de securitate a informațiilor și sunt implicate activ în achizițiile guvernamentale. Lista include atât dezvoltatorii direcți de software și sisteme de securitate hardware și software, cât și cei mai mari integratori de sistem. Veniturile totale ale acestor companii în 2016 s-au ridicat la 162,3 miliarde de ruble, depășind cifra din 2015 cu 8,7%.
Mai jos este o listă cu companiile selectate pentru studiu.

Masa 1. Companiile selectate pentru studiu

Nume STANIU Tip de activitate (OKVED 2014)
1 „I-Teco” SA 7736227885 Activități legate de utilizarea tehnologiei informatice și tehnologia Informatiei, altele (62,09)
2 Croc Incorporated, JSC 7701004101
3 „Informzashita”, CJSC NIP 7702148410 Cercetare și dezvoltare în domeniul științelor sociale și umaniste (72,20)
4 „Softline Trade”, SA 7736227885
5 „Technoserv AS”, SRL 7722286471 Comerț cu ridicata cu alte mașini și echipamente (46.69)
6 „Elvis-plus”, SA 7735003794
7 „Asteros” SA 7721163646 Comerț cu ridicata cu calculatoare, dispozitive periferice pentru calculatoare și software (46.51
8 „Compania de producție Aquarius”, LLC 7701256405
9 Lanit, CJSC 7727004113 Comerț cu ridicata cu alte mașini și echipamente de birou (46.66)
10 Jet Infosystems, JSC 7729058675 Comerț cu ridicata cu calculatoare, dispozitive periferice pentru calculatoare și software (46.51)
11 „Dialognauka”, SA 7701102564 Dezvoltare de software de calculator (62.01)
12 „Factor-TS”, LLC 7716032944 Producția de calculatoare și echipamente periferice (26.20)
13 „InfoTeKS”, SA 7710013769 Dezvoltare de software de calculator (62.01)
14 „Centrul Ural pentru Sisteme de Securitate”, LLC 6672235068 Activități în domeniul arhitecturii, ingineriei și consiliere tehnică în aceste domenii (71.1)
15 „ICL-KPO VS”, SA 1660014361 Dezvoltare de software de calculator (62.01)
16 NVision Group, JSC 7703282175 Comerț cu ridicata nespecializat (46,90)
17 „Confidential-Integration”, LLC 7811512250 Activități de prelucrare a datelor, furnizare de servicii de găzduire și activități conexe (63.11)
18 „Kaluga Astral”, SA 4029017981 Activitati de consiliere si munca in domeniul tehnologiei informatice (62.02

La sfârșitul lunii octombrie 2017, companiile din eșantionul prezentat au încheiat 1.034 de contracte cu agentii guvernamentaleîn valoare de 24,6 miliarde de ruble. Liderul în această listă în ceea ce privește volumul de contracte încheiate este compania I-Teco - 74 de contracte în valoare de 7,5 miliarde de ruble.
În ultimii ani, cu excepția anului de criză 2014, se poate observa o creștere constantă a volumului total de contracte pentru companiile selectate. Cea mai semnificativă dinamică a avut loc în perioada 2015-2016. Astfel, în 2015 s-a înregistrat o creștere a volumului contractelor de peste 3,5 ori, în 2016 - de 1,5 ori. Conform datelor disponibile privind activitățile contractuale ale companiilor pentru perioada ianuarie-octombrie 2017, se poate presupune că în 2017 volumul total al contractelor cu agențiile guvernamentale va fi de aproximativ 37-38 miliarde de ruble, adică o scădere de aproximativ 40 de miliarde de ruble. % Este de așteptat.

2018-08-21T12:03:34+00:00

Companiile comerciale mari cheltuiesc aproximativ 1% din veniturile anuale pentru asigurarea securității fizice a afacerii lor. Securitatea întreprinderii este aceeași resursă ca tehnologia și mijloacele de producție. Dar când vine vorba de protecția digitală a datelor și serviciilor, calcularea riscurilor financiare și a costurilor necesare devine dificilă. Vă vom spune câți bani din bugetul IT pot fi alocați în mod rezonabil pentru securitatea cibernetică și dacă există un set minim de instrumente cu care vă puteți descurca.

Costurile securității informațiilor sunt în creștere

Organizațiile de afaceri din întreaga lume, conform raport Gartner a cheltuit aproximativ 87 de miliarde de dolari pentru nevoile de securitate cibernetică în 2017, inclusiv software, servicii specializate și hardware. Este cu 7% mai mult decât în ​​2016. În acest an, cifra este de așteptat să ajungă la 93 de miliarde, iar anul viitor va depăși pragul de 100.

Potrivit experților, în Rusia volumul pieței serviciilor de securitate a informațiilor este de aproximativ 55-60 de miliarde de ruble (aproximativ 900 de mii de dolari). 2/3 din acestea sunt acoperite de ordine guvernamentale. În sectorul corporativ, ponderea acestor costuri depinde în mare măsură de forma întreprinderii, de geografie și de domeniul de activitate.

Băncile interne și instituțiile financiare în medie investi în securitatea lor cibernetică 300 de milioane de ruble pe an, industriașii - până la 50 de milioane, companiile de rețea (retail) - de la 10 la 50 de milioane.

Dar de câțiva ani încoace, cifrele de creștere pentru piața rusă de securitate cibernetică sunt de 1,5-2 ori mai mari decât la scară globală. În 2017, creșterea a fost de 15% (în banii clienților) față de 2016. La sfârșitul anului 2018, se poate dovedi a fi și mai solid.

Ratele ridicate de creștere se explică prin revigorarea generală a pieței și atenția mult sporită a organizațiilor pentru securitatea reală a infrastructurii lor IT și siguranța datelor. Costurile de construire a unui sistem de securitate a informațiilor sunt acum considerate investiții; sunt planificate în avans și nu pur și simplu luate pe o bază reziduală.

Tehnologii pozitiveevidențiază trei factori de creștere:

  1. Incidentele de mare profil din ultimii 1,5–2 ani au dus la faptul că astăzi doar leneșii nu înțeleg rolul securității informațiilor pentru stabilitatea financiară a unei întreprinderi. Unul din cinci manageri de top își exprimă interesul pentru securitatea practică în contextul afacerii lor.

Anul trecut a fost instructiv pentru afacerile care ignoră elementele de bază . Lipsa actualizărilor actualizate și obiceiul de a lucra fără a fi atent la vulnerabilități au dus la închiderea fabricilor Renault din Franța, Honda și Nissan din Japonia; Băncile, companiile de energie și telecomunicații au avut de suferit. Pentru Maersk, de exemplu, a costat 300 de milioane de dolari la un moment dat.

  1. Epidemiile virușilor ransomware WannaCry, NotPetya, Bad Rabbit au învățat companiile naționale că instalarea de antivirusuri și firewall-uri nu este suficientă pentru a te simți în siguranță. Aveți nevoie de o strategie cuprinzătoare, un inventar al activelor dvs. IT, resurse dedicate și o strategie de răspuns la amenințări.
  2. Într-un anumit sens, tonul este dat de stat, care a anunțat un curs către o economie digitală, acoperind toate domeniile (de la sănătate și educație până la transport și finanțe). Această politică are un impact direct asupra creșterii sectorului IT în general și a securității informațiilor în special.

Costul vulnerabilităților în securitatea informațiilor

Toate acestea sunt instructive, dar fiecare afacere este o poveste unică. Întrebarea cât să cheltuiască pentru securitatea informațiilor din bugetul IT global al companiei, deși nu este corectă, este, din punctul de vedere al clientului, cea mai presantă.

Compania internațională de cercetare IDC folosind exemplul pieței canadiane apeluri optim este de 9,8-13,7% din investițiile în securitate cibernetică din bugetul total IT din organizație. Adică acum afacerile canadiene cheltuiesc în medie aproximativ 10% pentru aceste nevoi (se crede că acesta este un indicator al unei companii sănătoase), dar, judecând după sondaje, ar dori ca acesta să fie mai aproape de 14%.

Nu are rost ca companiile să ghicească cât de mult trebuie să cheltuiască pentru securitatea informațiilor lor pentru a se simți liniștite. Astăzi, evaluarea riscurilor din incidentele de securitate cibernetică nu este mai dificilă decât calcularea pierderilor cauzate de amenințările fizice. Exista o intreaga lume statistici , potrivit căreia:

  • Atacurile hackerilor costă economia globală peste 110 miliarde de dolari anual.
  • Pentru întreprinderile mici, fiecare incident costă în medie 188.000 USD.
  • 51% din hack-urile din 2016 au fost vizate, adică organizate de grupuri criminale împotriva unei anumite companii.
  • 75% dintre atacuri au loc cu scopul de a provoca pagube materiale și sunt motivate financiar.

Kaspersky Lab a avut loc pe scară largă studiu . Potrivit unui sondaj efectuat de 6 mii de specialiști din întreaga lume, daunele cauzate de hackurile rețelelor corporative și scurgerile de date au crescut cu 20-30% în ultimii doi ani.

Costul mediu al daunelor din februarie 2018 pentru organizațiile comerciale, indiferent de dimensiune sau domeniu de activitate, a fost de 1,23 milioane USD. Pentru IMM-uri, o eroare de personal sau acțiuni de succes ale hackerilor costă 120 de mii de dolari.

Studiu de fezabilitate pentru securitatea informatiei

Pentru a evalua corect resursele financiare necesare organizării securității informațiilor la o întreprindere este necesară întocmirea unui studiu de fezabilitate.

  1. Efectuăm un inventar al infrastructurii IT și evaluăm riscurile, întocmind o listă a vulnerabilităților în ordinea descrescătoare a importanței acestora. Aceasta include, de asemenea, pierderile de reputație (cote de asigurare crescute, ratinguri de credit scăzute, costul timpului de nefuncționare a serviciului) și costul restaurării sistemului (actualizări de hardware și software).
  2. Noi prescriem sarcinile pe care trebuie să le rezolve sistemul de securitate a informațiilor.
  3. Selectăm echipamente și instrumente pentru a rezolva probleme și a determina costul acestora.

Dacă compania nu are competențele necesare pentru a evalua amenințările și riscurile de securitate cibernetică, puteți oricând comanda un audit de securitate a informațiilor extern. Astăzi, această procedură este scurtă, ieftină și nedureroasă.

Experți pentru companii industriale cu un nivel ridicat de automatizare a proceselor recomanda utilizați un model de arhitectură de securitate adaptivă (Arhitectură adaptivă de securitate), propus în 2014 de Gartner. Vă permite să redistribuiți corect costurile de securitate a informațiilor, acordând mai multă atenție instrumentelor de detectare și răspuns a amenințărilor și implică implementarea unui sistem de monitorizare și analiză pentru infrastructura IT.

Cât costă securitatea cibernetică pentru companiile mici?

Autorii blogului Capterra au decis numara , cât costă în medie un sistem de securitate a informațiilor pentru întreprinderile mici și mijlocii în primul an de utilizare. În acest scop a fost ales listă din 50 de oferte populare „la cutie” de pe piață.

S-a dovedit că gama de prețuri este destul de largă: de la 50 de dolari pe an (sunt chiar 2-3 solutii gratuite pentru companii mici) până la 6 mii de dolari (există pachete unice de 24 mii, dar nu au fost incluse în calcul). În medie, o afacere mică se poate aștepta să cheltuiască 1.400 de dolari pentru a construi un sistem de apărare de bază pentru securitatea cibernetică.

Soluțiile tehnice precum VPN pentru afaceri sau securitate sunt cele mai ieftine E-mail care va ajuta la protejarea împotriva tipuri specifice amenințări (cum ar fi phishing)

La celălalt capăt al spectrului se află sisteme de monitorizare cu drepturi depline, cu instrumente „avansate” pentru răspuns la evenimente și protecție cuprinzătoare. Ele ajută la protejare rețeaua corporativă de la atacuri la scară largă și uneori chiar fac posibilă prezicerea apariției lor și oprirea lor în stadiile incipiente.

O companie poate alege mai multe modele de plată pentru un sistem de securitate a informațiilor:

  • Preț pe licență, preț mediu – 1000-2000 USD sau de la 26 USD la 6000 USD per licență.
  • Preț pe utilizator. Costul mediu al unui sistem de securitate a informațiilor per utilizator într-o companie este de 37 USD, intervalul fiind de la 4 USD la 130 USD de persoană pe lună.
  • Preț pe dispozitiv conectat. Costul mediu pentru acest model este de 2,25 USD per dispozitiv. Prețurile variază de la 0,96 USD la 4,5 USD pe lună.

Pentru a calcula corect costurile securității informațiilor, chiar și o companie mică va trebui să implementeze elementele de bază ale managementului riscului. Primul incident (site-ul web, serviciul prăbușit, sistem de plata), care nu poate fi corectată în 24 de ore, poate duce la închiderea afacerii.

Titlu: iOS
Acțiune