26.01.2009

Новое исследование по российскому рынку ИБ

Не очень известное консалтинговое бюро «Практика Безопасности» (стартап, о котором я уже писал) и портал SecurityLab.ru представили результаты первого российского исследования, призванного выявить актуальное положение дел в отрасли информационной безопасности в момент экономического спада и тотального сокращения расходов.

Начало было интересным... Правда, прочтя ключевые выводы я сразу подумал, что это очередная реклама, завуалированная под исследование. И правда, из 6 таких выводов, в 5-ти из них говорится о том, что пришла пора не смотреть на имидж малоэффективного интегратора, а обратиться к профессиональным консультантам-внедренцам, коими, видимо, и являются авторы отчета.

Идея у отчета достаточно здравая, но вот некоторые его результаты и сделанные выводы вызывают вопросы. Например, основную аудиторию отчета составляют малые предприятия (меньше 100 человек), которые НИКОГДА не обращались (и скорее всего не будут в обозримом будущем обращаться) к внешним ИБ/ИТ-консультантам. Акцент на SMB лишний раз подтверждается и тем, что согласно отчету 25% респондентов принимает окончательное решение по вопросам ИБ. Вопрос очень размытый, но скорее всего речь шла о выделении денег на те или иные аспекты ИБ. Такой высокий процент decision makers говорит о том, что никакого "закупочного центра" у респондентов нет и решение не проходит различные стадии согласования, как это принято в крупном бизнесе. Люди, принимающие решения (особенно в кризис), - это руководители компаний. А они на SecLab не ходят ;-( Если это конечно, не малый бизнес.

Вывод о том, что респонденты оптимистично смотрят на кризис, меня удивил. Исходя из приведенной диаграммы, вывод следует немного иной. Правда, это говорит, что сами авторы отчета не страдают пессимизмом и это отрадно. Некоторые вопросы/ответы исследования просто порадовали. Специалисты по ИБ считают, что снижать им зарплаты - это неправильно (кто бы спорил) и повлияет на уровень жизни работника (бесспорное утверждение).

Снижение затрат на ИБ - вещь очевидная и не требующая каких-либо исследований. Пока службы ИБ не покажут своего вклада в бизнес, говорить о росте инвестиций в это направление в условиях кризиса не приходится. Зато сделана грубейшая ошибка, связанная с непониманием "бухгалтерии" безопасности. Из положительного ответа на вопрос "будут ли сокращены расходы на ПО" сделан вывод, что сокращаются расходы на обновление ПО. А это в корне неверно. Приобретение ПО - это затраты капитальные и они действительно могут сокращаться. А вот обновление ПО - это уже затраты операционные, имеющие совершенно иную статью бюджета и не имеющие отношения к CapEx.

Еще одно интересное противоречие обнаружилось в отчете. С одной стороны все "выводы" говорят, что надо обращаться к профессиональным консультантам, а с другой свыше 60% заказчиков категорически отказываются отдавать безопасность внешним компаниями. Как это стыкуется? Непонятно. Возможно, авторы отчета не считают консалтинговые услуги аутсорсингом? Это распространенное мнение.

Наиболее интересен для меня был раздел исследования, посвященный оценке эффективности ИБ. Вот тут на мой взгляд никаких ошибок и противоречий. Не готовы еще специалисты ИБ к данной теме, не готовы...

В целом , отчет вызывает противоречивые чувства. Отдельные вопросы и ответы в нем достаточно интересны. Но в совокупности... да еще и учитывая сделанные авторами выводы... складывается впечатление, что исследователи решили в условиях кризиса лишний раз обратить на себя внимание. Учитывая, как любят журналисты такие "исследования", свою задачу они выполнили. Но вот практической ценности от такого отчета я лично не вижу ;-(

ЗЫ. Что интересно, "Практика безопасности" подхватила флаг Infowatch, который одним из первых стал использовать аналитику в качестве инструмента продвижения себя. Сейчас многие компании стали обращать внимание на этот способ рекламы себя и своих продуктов/услуг.

18 коммент.:

Quiet Zone комментирует...

Ага, я тоже утром удивлялся, а после фразы "обусловлено целевой аудиторией исследования и спецификой аудитории портала SecurityLab.ru" зародились сомнения в репрезентативности выборки (ИМХО либо одно, либо другое). Кстати, меня, как представителя страхового (нынче) бизнеса удивили 0,3% - все крупные игроки на страховом рынке имеют развитые структуры по ИБ, а, например, РОСНО, вообще сертифицировано по 27001. Впрочем, это лишь мои категорически субъективные сомнения. Обратили на сбя внимание и некоторые вопросы, например вопрос о важности ИБ в кризисные времена нужно зададавать ИМХО не специалистам по ИБ, а все-таки бизнесу. А метод самопиара вполне себе правильный, только бы результаты работы, на него направленной, были всем полезны;)

Ригель комментирует...

Вообще-то говоря, хоть результирующий вывод отчета и совпадает с корыстными целями авторов, но он правильный: я тоже предрекаю некоторый отток из авторизованных автосервисов в неавторизованные, из бутиков в стоки и с коньячка на водочку.
Другое дело, что он вытекает из слова «кризис» и не нуждается во всей этой декоративной обвязке:
- Вы считаете, что занимаетесь чем-то важным?
- Ох, не то слово, каким важным.
- И Вы не хотите, чтобы Вашу работу отдали кому-то другому?
- Категорически против подобной глупости.
- А как настроения?
- Да разные есть настроения - и такие, и сякие.
- Но ведь жизнь, наверно, продолжается?
- Конечно, продолжается в какой-то мере.
и т.п.
Лично у меня как-то не возникает желания этих онолитегов подряжать после такого шулерства, но название пока запомнил.

Анонимный комментирует...

и чего придираетесь ?.. цитата: "Исходные данные для исследования собирались с помощью online-анкетирования специалистов по ИБ на портале SecurityLab.ru." Основная масса посетителей кто ? ну и результаты такие же ...

Quiet Zone комментирует...

Угу, результат опроса "Пользуетесь ли Вы Интернетом?" тоже будем считать достоверными (опрос, разумеется, надо проводить в Интернете;) Не придирки это, а вполне обоснованные сомнения в достоверности результатов, связанные с изначальной неаутентичностью информации на входе, вот и все, собственно.
" - Нет, конечно... - промямлил я. - Проделана большая работа... (Эдик схватился за виски.) Я, конечно, понимаю... добрые намерения... (Роман смотрел на меня с презрением). Ну, в самом деле, - сказал я, - человек старался... нельзя же так... ("Кретин, - отчетливо произнес Витька, -
Годзилла...") Нет... Ну что ж... Ну пусть человек работает, раз ему интересно... Я только говорю, что необъясненного ничего нет... А вообще-то даже остроумно..." АБСтругацкие, Сказка о Тройке.

Ригель комментирует...

Поддерживаю Анонимного: недостоверными (или все-таки нерепрезентативными, если головой подумать?) они были бы если бы приписывались не тому кругу, в котором собирались, а некорректно как раз наоборот по двум страховым обо всех работодателях секлабопосетителей судить ;)

Quiet Zone комментирует...

Ну разумеется, ничего не меняется)) Входные данные, т.е. информация, может быть неаутентична (посмотрите определение аутентичности - никогда не поздно открыть для себя что-то новое), что может являться следствием, например, нерепрезентативной выборки. Причем заметьте - эта терминосистема объективна, независимо от того, кто чем думает;) Пойдем дальше: обзор призван выявить положение дел "в отрасли информационной безопасности". Надо объяснять? На всякий случай: не все (нужные для обеспечения репрезентативности - прим. ред.) представители отрасли являются посетителями ресурса, однако несомненно, что все посетители - представители:) В случае, если (ну вдруг) посетители Интернет-ресурса SecurityLab в самом деле полноценно представляют отрасль, я немедленно публикую отчет о состоянии автопрома по результатам опроса посетителей auto.ru.
PS Впрочем, если эта аналитика оказалась кому-то полезной, ради бога;) Лично я не против.
PPS Как можно неправильно прочитать "все крупные игроки на страховом рынке", перепутав их с "двумя страховыми" мне тоже решительно непонятно))

Ригель комментирует...

к Quiet Zone:

До сих пор никакой аутентичности в статистике действительно не было, ну да не суть, т.к. достоверность и репрезентативность все равно приложены к разным телам - результатам и выборке (простой пример: психологическое стремление респондента преувеличивать свою "десиженмэйкерность" на достоверности сказывается, а на репрезентативности нет), и ввод нового термина синонимами их не делает.

Ошибка репрезентативности (полноценности представления) в отчете нормально указана - исходные данные получены с помощью..., не вижу тут особых проблем, раз указана. Или тебя возмущает, что она не нулевая? Так она всяко не нулевая, если у тебя выборка, а не генеральная совокупность опрашивается.

Вот к интерпретации у меня есть претензии (центральный вывод отдельно подклеен, я уже говорил), а метод вполне себе допустимый.

Алексей Лукацкий комментирует...

Я надеюсь тут не будет повторного обсуждения основ матстата, как это было на bankir.ru? ;-)

Quiet Zone комментирует...

Нет, Алексей, не будет. Я позволю себе последнюю реплику, после чего самоустранюсь;) Меня не устраивает только одно - когда значительных масштабов конструкция строится на нетвердых почвах. Почему, например, ISACA в своих исследованиях (здесь например http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=34808&TEMPLATE=/ContentManagement/ContentDisplay.cfm) тщательнейшим образом подходит к отбору аудитории? Я не занимался специально этим вопросом, однако уверен, что разннобразные Гартнеры и КПМГ тоже уделяют этому значительное внимание. Каково было бы доверие к Гартнеровским отчетам, если бы они строились на мнении случайной, пусть уже и сложившейся, аудитории посетителей gartner.com? Я далек от категорического неприятия результатов проделанной работы, но отношусь к ней все-таки как к средству самопиара в занчительно большей степени, нежели как к ценному исследованию, только и всего.

Quiet Zone комментирует...

Сорь, порезалась ссылка(( http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=34808&TEMPLATE=/ContentManagement/ContentDisplay.cfm

Алексей Лукацкий комментирует...

Согласен на все 100%. Хотя я и знаю как пишутся Gartner'овские отчеты ;-)

Ригель комментирует...

Масштабы?
Во-первых, отчет распространяется через тот же сайт, на котором проводился опрос - аудитория та же.
А во-вторых, ну ты и сравнил: фирма позиционирует себя консультантом эконом-класса (т.е. для неразвитых и оскудевших), а высококлассные исследования поднимают цену услуг и тянут в тот ценовой сегмент, где все поделено, и нужно имя.

Анонимный комментирует...

Несмотря на то, что кто-то там очередной раз поднял флаг Инфовотч, нельзя не заметить, что Алексей и сам держит его высоко.
Достаточно вспомнить тенденциозную книгу "Руководство по защите от внутренних угроз ИБ" вероятно на 100% оплаченную Инфовотчем или его комментарии к организованной ими же DLP-Russia.

Так что всё не так однозначно...

Алексей Лукацкий комментирует...

Анонимному: Не совсем понял в чем меня обвинили ;-) В том, что я продался Infowatch'у? Интересное заявление, подкрепленное, как я понял всего двумя фактами - моя рецензия на книгу по инсайдерам и мой комментарий на конференцию DLP. И что в них продажного?

Книга действительно интересная. Если не брать в расчет ее направленность на решения Infowatch, то в остальном она более чем полезная, т.к. аккумулирует опыт и знания в данной области, что уже не мало.

А конференция была просто интересная. И комментарий видимо идет от человека, который на конференции не был. В противном случае называть ее Инфовотчевской было бы странно, т.к. там были представлены все игроки этого рынка, исключая Perimetrix (но им предлагали, насколько я знаю). А на то Инфовотч и лидер этого направления в России, чтобы быть организатором профильных мероприятий.

Алексей Лазарев комментирует...

Уважаемый Алексей,
очень долго я наблюдаю за высказываниями в различных статьях различных специалистов по информационной безопасности и чем больше читаю, тем больше понимаю, насколько далеки они от народа, включая Вас :)

Точнее так: все высказывания, теоретизация ИБ верны и полностью мною поддерживаются, но все они рассчитаны на крупный бизнес (банки, телеком, нефть и газ и пр.). Я в свое время занимался ведением проектов по интеграции решений ИБ в крупных компаниях, так что эта тема мне знакома не понаслышке.
На данный момент я уже более двух лет занимаю должность руководителя службы ИБ (отмечу – служба состоит не из одного меня) в одной из высокотехнологичных московских компаний.

Все красивые фразы о том, что "ИБ должна помогать бизнесу зарабатывать деньги" неприменима на данном этапе развития SMB в России к большинству российских компаний, ибо не достигли они еще необходимого уровня зрелости для понимания таких постулатов да и вряд ли когда-либо достигнут, НО это не означает, что ИБ им не нужна.

В SMB частенько нет возможности следовать канонам ИБ, описанных в разных стандартах и пропагандируемых на всех специализированных порталах.
То, что модно не всегда желанно и реализуемо! Надо спуститься на землю и принять российские реалии ведения бизнеса. Необходимо помочь службам ИБ небольших компаний защищать бизнес! У СИБ есть деньги, они выделяются, но не в тех количествах, которые привыкли получать интеграторы и вендоры от крупного бизнеса. Стоимость внедрения DLP минимум 100 000 долларов, у SMB нет таких денег, но при этом необходимость в DPL никуда не девается! защищать надо! поэтому то и изыскиваются способы (порой экзотические) для достижения поставленных задач.

Перейдем к обсуждению исследования, проведенного компанией «Практика Безопасности» и Секлабом.

Цитата из Вашего блога:

Идея у отчета достаточно здравая, но вот некоторые его результаты и сделанные выводы вызывают вопросы. Например, основную аудиторию отчета составляют малые предприятия (меньше 100 человек), которые НИКОГДА не обращались (и скорее всего не будут в обозримом будущем обращаться) к внешним ИБ/ИТ-консультантам. Акцент на SMB лишний раз подтверждается и тем, что согласно отчету 25% респондентов принимает окончательное решение по вопросам ИБ. Вопрос очень размытый, но скорее всего речь шла о выделении денег на те или иные аспекты ИБ. Такой высокий процент decision makers говорит о том, что никакого "закупочного центра" у респондентов нет и решение не проходит различные стадии согласования, как это принято в крупном бизнесе. Люди, принимающие решения (особенно в кризис), - это руководители компаний. А они на SecLab не ходят ;-( Если это конечно, не малый бизнес


Почему в Ваших словах звучит претензия к тому, что респондентами являются представители SMB? Неужели в таких исследованиях должны принимать участие только представители крупного бизнеса? SMB это десятки и сотни тысяч компаний по всей стране, а крупный бизнес – по пальцам можно пересчитать плюс у каждого из них есть «придворный» интегратор, который занимается решением их проблем. Что же делать SMB? Сидеть и не высовываться? Сузить у себя ИБ до рамок настройки антивирусов и фаерволов? Мол, не доросли мы еще до СУИБ и глубокого понимания всей ценности ИБ для нашего бизнеса?
Реалии SMB Вы рассматриваете с точки зрения крупного бизнеса, а на проблемы SMB никто не хочет обращать внимания.

На мой взгляд – прекрасно, что есть такие компании как «ПБ», которые помогают небольшим компаниям развивать ИБ. Приведу пример – год назад у нас возникла необходимость приобрести некое специализированное оборудование для СИБ. 1 железка стоимостью порядка 20 000 долларов. Я обратился в одну очень и очень известную контору, которая занимается продажами этого оборудования в России. Не поштучно, а десятками, если не сотнями. Объяснил что мне надо, взяли контакты – обещали перезвонить… и так я и не дождался их звонка. Не интересны им мои несчастные 20 000 долларов. Обратился я тогда в молодую компанию, сотрудников которой я знаю лично – и через несколько месяцев (такой срок поставки от производителя) я получил желанное. От меня потребовалось только запустить в оплату счет – все остальное сделали специалисты «ПБ» - поставили оборудование, настроили, постоянно консультировали по телефону и электронной почте. При этом меня постоянно держали в курсе событий, недели не проходило, чтобы мне не позвонили и не сказали – ваше оборудование уже там то и там то, не волнуйтесь, скоро будет и пр.

Цитата:

Из положительного ответа на вопрос "будут ли сокращены расходы на ПО" сделан вывод, что сокращаются расходы на обновление ПО. А это в корне неверно. Приобретение ПО - это затраты капитальные и они действительно могут сокращаться. А вот обновление ПО - это уже затраты операционные, имеющие совершенно иную статью бюджета и не имеющие отношения к CapEx.


Здесь я полностью с Вами согласен.

Цитата:

Наиболее интересен для меня был раздел исследования, посвященный оценке эффективности ИБ. Вот тут на мой взгляд никаких ошибок и противоречий. Не готовы еще специалисты ИБ к данной теме, не готовы...


Не специалисты не готовы, а бизнес не готов. Компаний, готовых к этому еще меньше, чем количество тех самых «крупных».

Цитата:

Что интересно, "Практика безопасности" подхватила флаг Infowatch, который одним из первых стал использовать аналитику в качестве инструмента продвижения себя. Сейчас многие компании стали обращать внимание на этот способ рекламы себя и своих продуктов/услуг


Каждый продвигает себя как может, согласитесь, что вариант «продвижения в аналитике» намного лучше, чем спам-рассылки, к тому же доказал свою эффективность на примере того же InfoWatch. Молодая компания без рекламы не выживет, а постулат типа «хороший товар в рекламе не нуждается» пусть остаётся там же, откуда он вылез в начале 90-х – в разговорах бабушек на скамейках у подъездов.
Алексей, если быть откровенным, то Ваши статьи и комментарии - то же самое продвижение. :)

PS. Прошу принять мои извинения, если я где-то, возможно, не правильно понял Ваши слова. Однако хочу отметить, что общий смысл моего обращения основан не только на данном Вашем посте в блоге, а на моём анализе большинства Ваших статей, которые я регулярно внимательно читаю на секлабе, банкире и пр. ресурсах.

С уважением,
Алексей Лазарев

Алексей Лукацкий комментирует...

Алексю Лазареву:

1. Я и не скрываю, что ориентируюсь на крупный бизнес. Хотя общие принципы ориентации на бизнес применимы и для SMB. Только язык там немного другой и красивые слова про стандарты и т.п. не работают. А привязка ИБ к пяти ключевым финансовым показателям остается и тут - смогли показать хозяину выгоду - он готов потратить.

2. Цена на решения для SMB разумеется отличается от крупного бизнеса. И пока у крупного бизнеса есть деньги, большинство продавцов будет смотреть именно в ту сторону. Таковы уж реалии ;-( Хотя во время кризиса, возможно, компании начнут искать новые каналы продаж.

3. Больше 2-х лет в роли начальника ИБ HiTech-компании? Вы же еще весной 2007-го года в КМ/Ч работали.

4. У меня нет претензий к SMB - у меня претензии к отчету, который якобы ориентируется на всех, а опирается только на данные SMB. Слишком много в нем нестыковок.

5. Вы неправильно истолковали мой пост ;-) У меня вообще не было претензий к отчету и авторам, если бы изначально было четко сказано "что и как". Но не получилось у них. Поэтому и столько замечаний.

ПБ делает свое дело. Это замечательно. Они рекламируют себя. Тоже хорошо. Они работают на SMB. Вообще отлично. Но надо быть более внимательным в подготовке отчетов, претендующих на роль аналитики в масштабах страны. Одно дело высказать свое мнение (как я в блоге), другое дело публиковать якобы независимый отчет. Вот и все.

arkanoid комментирует...

Quiet Zone, простите, а у специалистов в гартнеровским отчетам есть хоть какое-то доверие? Вот новость!

arkanoid комментирует...

Алексей Лазарев, DLP бывает очень разное. Некоторые, конечно, в чем-то ограниченные по возможностям решения, можно внедрять и в SMB. Да само слово DLP.. все это было нужно и раньше, чем оно появилось, да и технологии тоже были раньше. Единственное, что специфично для современных DLP-решений - автоматизированный поиск и классификация, раньше все надеялись, что документы классифицируются изначально ;-)