Бизнес безопасности или безопасность бизнеса? О том и о другом в одном непросветительском блоге от еще неиностранного агента... Имеющий мозг да применит его (6+)
Pages - Menu
▼
Страницы
▼
4.2.11
Что лучше: тратить или не тратить на ИБ?
Интересная статистика. Не то, чтобы она открыла Америку, но до этого мало было исследований, сравнивающих компании, тратящих и нетратящих деньги на ИБ.
Почитал я методику. Интересные ребята. Посчитали сначала для каждой конторы общие затраты, потом затраты на человека, потом некий индекс security effectiveness score, потом на рисунках 16 и 17 построили тренд-линию на точках и сообщили миру, что общий тренд говорит о том, что organizations with a strong security posture enjoy a lower non-compliance cost. Практически все сделано на этом. Как считался SES, не понятно.
ИМХО дело здесь не только и не столько в "соответствии" безопасности, а в том, что организации, "соответствующие" чему-либо в ИБ, имеют прежде всего выстроенные и описанные бизнес процессы. Иными словами, "порядок" в бизнесе. Только так можно достичь true compliance.
Если бы tripwire проводили то же исследование только в РФ, результаты были бы совсем другими.
Переформулирую. Нет прямой причинно-следственной связи между расходами на ИБ и ущербом, а есть две другие: между уровнем зрелости и расходами и между уровнем зрелости и ущербом.
Оценки делаются "по заказу" ;) В реальности вывод для НАС из этой статистики делать некорректно. Потому что Больших компаний намного меньше, чем Маленьких, а в мелкой компании ни о каких миллионах речи не идет. Да и с учетом нелюбви к лицензионным продуктам в России реальная ситуация совсем иная.
to Ригель: зря переформулировали - первый вариант круче :) Токмо я б не ограничивался одним уровнем зрелости ИБ - ибо прежде всего должен вызреть сам бизнес.
В отчете говорится о том, что расходы ВО ВСЕХ СФЕРАХ ДЕЯТЕЛЬНОСТИ (не только затраты на "неосознанную" ИБ) выше, если компания НЕ "соответствует" ИБ. То есть, если "соответствует" (проще говоря занимается) ИБ - то любые расходы снижаются.
Короче - занимайтесь ИБ и рубайте косты :) Вот поэтому я и говорю о зрелости бизнеса, если есть "осознанная" и "соответствующая" ИБ.
ИМХО просто вопрос в том, что считать затратами на ИБ- как тут правильно заметили, тратятся на ИБ все, просто на разные средства и с разными бюджетами.
Почитал я методику. Интересные ребята. Посчитали сначала для каждой конторы общие затраты, потом затраты на человека, потом некий индекс security effectiveness score, потом на рисунках 16 и 17 построили тренд-линию на точках и сообщили миру, что общий тренд говорит о том, что organizations with a strong security posture enjoy a lower non-compliance cost. Практически все сделано на этом. Как считался SES, не понятно.
ОтветитьУдалитьИМХО дело здесь не только и не столько в "соответствии" безопасности, а в том, что организации, "соответствующие" чему-либо в ИБ, имеют прежде всего выстроенные и описанные бизнес процессы. Иными словами, "порядок" в бизнесе. Только так можно достичь true compliance.
Если бы tripwire проводили то же исследование только в РФ, результаты были бы совсем другими.
Всё это ерунда - абсолютно все компании тратят на ИБ.
ОтветитьУдалитьНо они делятся на тех, кто понимает, что вот это - ИБ, а это - не ИБ, так что доля вон того к этому такая-то, и тех, кто ИБ очертить не может.
Ну и естественно, что стоящие на более высокой ступени развития имеют меньше грубых прососов, чем их коллеги.
Переформулирую. Нет прямой причинно-следственной связи между расходами на ИБ и ущербом, а есть две другие: между уровнем зрелости и расходами и между уровнем зрелости и ущербом.
ОтветитьУдалитьРигель ++
ОтветитьУдалитьУже поднадоели такие "экспертные оценки"
Оценки делаются "по заказу" ;)
ОтветитьУдалитьВ реальности вывод для НАС из этой статистики делать некорректно. Потому что Больших компаний намного меньше, чем Маленьких, а в мелкой компании ни о каких миллионах речи не идет. Да и с учетом нелюбви к лицензионным продуктам в России реальная ситуация совсем иная.
Ригель,
ОтветитьУдалитьочень точно сказано. Как-то раньше я об этом не задумывалась.
to Ригель: зря переформулировали - первый вариант круче :) Токмо я б не ограничивался одним уровнем зрелости ИБ - ибо прежде всего должен вызреть сам бизнес.
ОтветитьУдалитьНемного корректировочки:
ОтветитьУдалить> абсолютно все компании тратят на ИБ
В отчете говорится о том, что расходы ВО ВСЕХ СФЕРАХ ДЕЯТЕЛЬНОСТИ (не только затраты на "неосознанную" ИБ) выше, если компания НЕ "соответствует" ИБ. То есть, если "соответствует" (проще говоря занимается) ИБ - то любые расходы снижаются.
Короче - занимайтесь ИБ и рубайте косты :) Вот поэтому я и говорю о зрелости бизнеса, если есть "осознанная" и "соответствующая" ИБ.
ИМХО просто вопрос в том, что считать затратами на ИБ- как тут правильно заметили, тратятся на ИБ все, просто на разные средства и с разными бюджетами.
ОтветитьУдалить