Интересная статистика. Не то, чтобы она открыла Америку, но до этого мало было исследований, сравнивающих компании, тратящих и нетратящих деньги на ИБ.
Я думаю, вы видели классическую формулу, используемую
В Австралии , что идентифицировали хакера, стоявшего
Поговорив позавчера про структуру затрат на услуги
В Positive Technologies есть своя кофейня, в которой
Кто более-менее внимательно следит за моим блогом (хотя
Почитал я методику. Интересные ребята. Посчитали сначала для каждой конторы общие затраты, потом затраты на человека, потом некий индекс security effectiveness score, потом на рисунках 16 и 17 построили тренд-линию на точках и сообщили миру, что общий тренд говорит о том, что organizations with a strong security posture enjoy a lower non-compliance cost. Практически все сделано на этом. Как считался SES, не понятно.
ИМХО дело здесь не только и не столько в "соответствии" безопасности, а в том, что организации, "соответствующие" чему-либо в ИБ, имеют прежде всего выстроенные и описанные бизнес процессы. Иными словами, "порядок" в бизнесе. Только так можно достичь true compliance.
Если бы tripwire проводили то же исследование только в РФ, результаты были бы совсем другими.
Всё это ерунда — абсолютно все компании тратят на ИБ.
Но они делятся на тех, кто понимает, что вот это — ИБ, а это — не ИБ, так что доля вон того к этому такая-то, и тех, кто ИБ очертить не может.
Ну и естественно, что стоящие на более высокой ступени развития имеют меньше грубых прососов, чем их коллеги.
Переформулирую. Нет прямой причинно-следственной связи между расходами на ИБ и ущербом, а есть две другие: между уровнем зрелости и расходами и между уровнем зрелости и ущербом.
Ригель ++
Уже поднадоели такие "экспертные оценки"
Оценки делаются "по заказу" 😉
В реальности вывод для НАС из этой статистики делать некорректно. Потому что Больших компаний намного меньше, чем Маленьких, а в мелкой компании ни о каких миллионах речи не идет. Да и с учетом нелюбви к лицензионным продуктам в России реальная ситуация совсем иная.
Ригель,
очень точно сказано. Как-то раньше я об этом не задумывалась.
to Ригель: зря переформулировали — первый вариант круче 🙂 Токмо я б не ограничивался одним уровнем зрелости ИБ — ибо прежде всего должен вызреть сам бизнес.
Немного корректировочки:
> абсолютно все компании тратят на ИБ
В отчете говорится о том, что расходы ВО ВСЕХ СФЕРАХ ДЕЯТЕЛЬНОСТИ (не только затраты на "неосознанную" ИБ) выше, если компания НЕ "соответствует" ИБ. То есть, если "соответствует" (проще говоря занимается) ИБ — то любые расходы снижаются.
Короче — занимайтесь ИБ и рубайте косты 🙂 Вот поэтому я и говорю о зрелости бизнеса, если есть "осознанная" и "соответствующая" ИБ.
ИМХО просто вопрос в том, что считать затратами на ИБ- как тут правильно заметили, тратятся на ИБ все, просто на разные средства и с разными бюджетами.