Вопрос о том, сколько стоит Security Operations Center, звучит постоянно и мне, в рамках множества проектов по проектированию SOC, в которых я участвовал и участвую, приходится часто на него отвечать. Скажу сразу, однозначного ответа на этот вопрос нет и зависит он от множества факторов, которые должны быть определены в так называемой сервисной стратегии, которая и определяет, что из себя должен представлять SOC, какие сервисы он будет представлять, какая модель функционирования SOC планируется, сколько персонала должно быть и какой квалификации, какие технические решения будут применяться и насколько готовы помещения для размещения своей команды? Вопросов много. Ответы на них приводят нас к множеству ветвлений, каждое из которых, в итоге, и позволяет получить итоговую стоимость. В рамках проектирования SOC может даже создаваться отдельный документ «Финансовая модель SOC».
Моделей существования SOC существует больше двух (свой и аутсорсинговый)!
И не верьте, когда вам говорят, что аутсорсинг дешевле. Это не совсем корректный ответ. Аутсорсинг — это совсем иная структура затрат и иная статья бюджета. И вообще, неверно делить все SOCи на собственные и аутсорсинговые. Мне приходилось участвовать в проектировании SOCа, в котором все затраты на железо и софт легли на заказчика, а весь персонал был в аутсорсинговой компании. Какой это вариант SOCа? А если у меня все основные сервисы реализованы in-house, а для реверсинга вредоносного ПО и получения данных Threat Intelligence используются внешние компании? Это какой SOC? Более того, SOCи имеют привычку каждый год меняться — то один сервис из in-house уйдет на аутсорсинг, то другой вернется с аутсорсинга в родное лоно. Поэтому деление на два типа SOCов очень условное, как и выстраивание плана финансирования SOCа, который тоже должен учитывать различные аспекты и нюансы. Сегодня мы сидим в общем помещении с ИБшниками компании, завтра пересели в отдельное помещение (надо считать мебель и, возможно, затраты на аренду), послезавтра нам выделили отдельную комнату (war room) для ситуационного анализа и демонстрации красивых плазм для руководства.
Стоимость SOC должна оцениваться не в краткосрочной (1 год), а средне- (3 года), а лучше долгосрочной (5 лет) перспективе. Тогда станет понятно, во сколько выльется вся эта инициатива!
Да, аутсорсинг может оказаться дешевле на определенном этапе, но как показывает практика, многие компании, начинавшие свой SOC с аутсорсинга, потом начинают строить что-то свое, получив за время аутсорсинга необходимые опыт и экспертизу. Но переход из аутсорсинга в in-house происходит неодновременно и это тоже влияет на стоимость. Поэтому мы в Cisco начинаем проектирование SOCа всегда с сервисной стратегии, которая является некой дорожной картой заказчика и всего его заинтересованных в мониторинге ИБ сторон, в котором фиксируются все исходные данные, от которых уже и отталкивается как сервисный каталог, и оргштатная структура SOC, а его технологический стек. Для крупных компаний это более сложный и кастомизированный документ, для небольших — более простой, но позволяющий не тратить деньги впустую (стоимость такого проектирования для небольших компаний может дешевле межсетевого экрана среднего уровня). Обо всех этих стоимостных нюансах построения и эксплуатации SOC я рассказывал на декабрьском SOC Forum 2021, видео о чем я и выкладываю:
и сама презентация:
Предварительное проектирование — залог успешного SOC!
Любой бизнес-процесс в организации и это деньги и люди. И выбор где и как делать тот же SOC во многом зависит от финансово-экономической политики. Практики и опыт могут быть какими угодно, а вот аутсорс это всегда минус численность организации и минус постоянные затраты. И пускай по совокупности внешний подрядчик будет дороже. Главное отчетность красивая…
Аутсорс не может быть «минус постоянные затраты», так как он и есть постоянные затраты. Он мог бы быть «минус капитальные затраты», но и тут все не так очевидно и зависит от многих условий. Я как раз упомянул пример, когда все «железо» было куплено на баланс компании-заказчика, а люди и управление железом было на плечах аутсорсера.
Это именно минус постоянные затраты. Я говорю про бухгалтерско-финансовую раскладку. В себестоимости товаров и услуг расходы на внутренний сервис будут соотносится на постоянные затраты, на внешний — в переменные. Для крупных компаний, которые живут в парадигме повышения ценности для инвесторов, второй сценарий более приемлем, считается, что переменные расходы вторичны и оптимизируются проще, плюс не влияют на всякие показатели типа дохода на единицу персонала и т.п. (говорю грубо и ненаучно, но по сути) Именно по этому в вашем примере железо купили на организацию (амортизация и т.п.), а людей взяли извне — минус численность, минус постоянные расходы.