04.02.2011

Что лучше: тратить или не тратить на ИБ?

Интересная статистика. Не то, чтобы она открыла Америку, но до этого мало было исследований, сравнивающих компании, тратящих и нетратящих деньги на ИБ.

9 коммент.:

Алексей Волков комментирует...

Почитал я методику. Интересные ребята. Посчитали сначала для каждой конторы общие затраты, потом затраты на человека, потом некий индекс security effectiveness score, потом на рисунках 16 и 17 построили тренд-линию на точках и сообщили миру, что общий тренд говорит о том, что organizations with a strong security posture enjoy a lower non-compliance cost. Практически все сделано на этом. Как считался SES, не понятно.

ИМХО дело здесь не только и не столько в "соответствии" безопасности, а в том, что организации, "соответствующие" чему-либо в ИБ, имеют прежде всего выстроенные и описанные бизнес процессы. Иными словами, "порядок" в бизнесе. Только так можно достичь true compliance.

Если бы tripwire проводили то же исследование только в РФ, результаты были бы совсем другими.

Ригель комментирует...

Всё это ерунда - абсолютно все компании тратят на ИБ.

Но они делятся на тех, кто понимает, что вот это - ИБ, а это - не ИБ, так что доля вон того к этому такая-то, и тех, кто ИБ очертить не может.

Ну и естественно, что стоящие на более высокой ступени развития имеют меньше грубых прососов, чем их коллеги.

Ригель комментирует...

Переформулирую. Нет прямой причинно-следственной связи между расходами на ИБ и ущербом, а есть две другие: между уровнем зрелости и расходами и между уровнем зрелости и ущербом.

Евгений Родыгин комментирует...

Ригель ++
Уже поднадоели такие "экспертные оценки"

Андрейка комментирует...

Оценки делаются "по заказу" ;)
В реальности вывод для НАС из этой статистики делать некорректно. Потому что Больших компаний намного меньше, чем Маленьких, а в мелкой компании ни о каких миллионах речи не идет. Да и с учетом нелюбви к лицензионным продуктам в России реальная ситуация совсем иная.

Анна комментирует...

Ригель,
очень точно сказано. Как-то раньше я об этом не задумывалась.

Алексей Волков комментирует...

to Ригель: зря переформулировали - первый вариант круче :) Токмо я б не ограничивался одним уровнем зрелости ИБ - ибо прежде всего должен вызреть сам бизнес.

Алексей Волков комментирует...

Немного корректировочки:

> абсолютно все компании тратят на ИБ

В отчете говорится о том, что расходы ВО ВСЕХ СФЕРАХ ДЕЯТЕЛЬНОСТИ (не только затраты на "неосознанную" ИБ) выше, если компания НЕ "соответствует" ИБ. То есть, если "соответствует" (проще говоря занимается) ИБ - то любые расходы снижаются.

Короче - занимайтесь ИБ и рубайте косты :) Вот поэтому я и говорю о зрелости бизнеса, если есть "осознанная" и "соответствующая" ИБ.

securityinform комментирует...

ИМХО просто вопрос в том, что считать затратами на ИБ- как тут правильно заметили, тратятся на ИБ все, просто на разные средства и с разными бюджетами.