Для многих компаний, озаботившихся своей информационной безопасностью (ИБ), неприятным финансовым сюрпризом становится новость, что с заказом комплексной системы ИБ, их расходы не заканчиваются, а только начинаются. О том, можно ли избежать скрытых расходов на ИБ и как их оптимизировать, расскажет кандидат экономических наук, доцент кафедры математики и анализа данных Финансового университета при Правительстве РФ Фомичева Татьяна Леонидовна.
Как правило, каждая компания, особенно крупные и давно существующие имеет собственную уникальную компьютерную инфраструктуру: набор используемых программ, взаимодействие между ними, вид интерфейса и т.д. Поэтому добавление даже простых отдельных программ может потребовать дополнительных усилий по интеграции в сложившуюся систему, тем более, если речь идет о комплексной ИБ-системе. Даже минимальный базовый пакет обязательно потребует дополнительных работ по адаптации под конкретную инфраструктуру и безболезненной интеграции в нее. Сколько это может стоить? Стандартный ценник - от 15 до 30% от цены первоначального решения, в зависимости от объема работ. В сложных случаях, если приходится проводить интеграцию с устаревшими системами или значительно нестандартной инфраструктурой, расходы могут вырасти и до 50%.
Кроме того, стоимость интеграции со сторонними системами не входит в стандартную техподдержку и оплачивается ежегодно отдельно.
Поэтому еще на стадии обсуждения проекта, необходимо прояснить у вендора целый ряд вопросов. Желательно, чтобы готовые коннекторы для существующих в компании ключевых систем уже имелись в наличии, а не изготавливались заново. Кто именно будет проводить интеграцию: сотрудники вендора или специалисты из сторонних организаций. Какой размер почасовой ставки интеграторов и ожидаемое количество затраченных человеко-часов. Имеется ли документированное и сертифицированное ПО для самостоятельной доработки и настройки системы. Какова будет стоимость стандартной и расширенной техподдержки. Возможно ли предоставление письменной гарантии на стоимость интеграции.
Другой встречающийся случай - когда в приобретаемой базовой версии системы отсутствуют функции или модули, без которых она просто не будет работать, например:
DLP-система (Data Loss Prevention), предназначенная для предотвращения утечек данных и несанкционированного использования конфиденциальной информации. В базовой комплектации может осуществляться только контроль периметра, а за функции, связанные с анализом содержимого файлов, такие, как модуль контроля съемных носителей, анализ содержимого документов, распознавание текста в изображениях, контроль мессенджеров и соцсетей придется доплатить, в среднем, 20 - 25% за каждую опцию.
SIEM-система (Security information and event management - управление информацией и событиями безопасности) должна обеспечивать анализ в реальном времени событий безопасности и реагировать на них до наступления существенного ущерба. В базовой версии часто отсутствуют и должны докупаться: модули анализа аномального поведения пользователей, инструменты корреляции событий, продвинутая аналитика и построение графов атак - от 25 до 40% доплаты за каждый блок.
Чтобы не потратить лишнее и оптимизация затраты заказчику необходимо составить список задач, которые должна выполнять ИБ-система организации. Получив полный прайс-лист от вендора (стоимость базовой и других версии, что туда включается, полный список дополнительных модулей и опций, какие из них в какой версии потребуют дополнительной оплаты) необходимо сопоставить задачи и модули, определив будущий функционал системы. Отсмотрев у вендора демонстрационную проверку всех функций, окончательно составить конфигурацию системы и получить письменная гарантия окончательной цены.
Заключаемый договор необходимо проверить на неявное наличие скрытых дополнительных лицензий, требующие дополнительных вложений, например, за дополнительные серверы (реальные или виртуальные в кластере, тестовые, пробные), за каждого агента на мобильных устройствах и т.п.
Иногда новая комплексная ИБ-система требует инфраструктурных изменений - установки нового дополнительного оборудования, что влечет расходы на его приобретение. Могут потребоваться дополнительные серверы для обработки и хранения основных данных, дополнительные системы хранения для логов и архивов, сетевое оборудование для обеспечения быстродействия системы, лицензии на все эти системы, будут ли они реальными или виртуальными.
Клиентская поддержка. Экономия на ней может привести к гораздо более серьезным потерям (как материальным, так и морально-имиджевым) из-за простоев или киберугроз. Желательно выбирать вендоров, у которых круглосуточная поддержка уже включена в лицензию. Если же это отдельная опция, то можно сэкономить, заключая сразу долгосрочный (на несколько лет) договор о клиентской поддержке - скидки 20 - 30%.
Системы ИБ довольно сложное ПО, т.к. там присутствует большое количество политик, правил, много параметров. И если сотрудники не прошли дополнительного обучения, то есть значительная опасность неполноценного использования системы, а, значит, некачественной защиты. Далеко не все вендоры включают курсы обучения специалистов в окончательный прайс.
Типичная программа обучения по ИБ-решениям, желательная для приобретения заказчиком должна включать в себя различные модули для различных групп сотрудников. Так, базовый курс для администраторов, непосредственно обслуживающих систему, может составлять всего 3-5 дней, затраты - 15-20 тыс. рублей за человека. Аналитики - более узкая группа сотрудников ИБ должна пройти более углубленный и расширенный курс, включающий настройку системы, который может занять до 10 дней, из расчета 25-40 тыс. рублей за человека. Также желательно, чтобы все сотрудники, которые будут работать с новой ИБ-системой были практически готовы к расследованию и разбору инцидентов на реальных случаях. Для этого у многих вендоров существуют специализированные тренинги, продолжительностью 3-4 дня. Правда затраты существенны выше - до 35 тыс. Рублей на человека. Количество сотрудников, которые должны пройти обучение зависит от размеров внедряемой системы и ее сложности. Например, DLP-система на каждые 300 - 500 точек доступа нуждается как минимум в одном контролирующем сотруднике (не считая отпусков, больничных и т.п.). Зачастую требуется привлечения новых специалистов. Поэтому необходимо учитывать возможные расходы на найм дополнительного персонала. Сюда же примыкает и проблема возможной текучки кадров.
Формула стоимости реального владения для ИБ-решения на 3 года выглядит так: Стоимость лицензий + Стоимость интеграции + Стоимость инфраструктуры + (Годовая поддержка × 3) + Стоимость обучения + (Затраты на персонал × 3). Эта сумма может превышать первоначальную стоимость лицензий в несколько раз.
Таким образом, мы видим, что кроме покупки основной лицензии на систему ИБ, неизбежен целый ряд дополнительных затрат, которые компания должна учитывать в своих годовых бюджетах. Но возможности сэкономить на этих расходах все-таки имеются. При выборе какое именно ПО будет обеспечивать вашу ИБ, при прочих равных, желательно выбирать то, которое предъявляет более низкие требования к инфраструктуре и «железу». При определении конфигурации будущей системы, желательно, чтобы базовая, без дополнительных доплат, версия продукта уже закрывала 80% необходимых вам задач. При выборе вендора, предпочтение отдается тем, кто изначально включает в договор круглосуточную клиентскую поддержку, обучение и сертификацию ваших сотрудников. В договоре с вендором на внедрение ИБ-системы заказчику выгоднее устанавливать не почасовую оплату для сотрудников исполнителя, а жестко фиксировать стоимость и срок окончания работ, предусматривая штрафные санкции за неисполнение. Если нужный вам вид техподдержки отсутствует в договоре, а идет дополнительным соглашением, заключайте его сразу на несколько лет - можно получить скидку до 30%.
Соблюдайте главное правило: экономия на «скрытых» расходах должна быть и приветствуется, но ни в коем случае не должно быть экономии на собственно кибербезопасности. Так, например, гораздо дороже, в конечном итоге организации могут обойтись простои и не купированные вовремя инциденты, чем качественное оборудование и грамотные, обученные сотрудники. Помните, что инвестиции в информационную безопасность должны снижать риски, а не создавать новые.
