Как найти баланс между затратами на снижение риска потенциальных угроз и ограничениями ИТ-бюджета
Каждая компания сталкивалась с противоправными действиями в отношении своих информационных систем: вирусы в письмах, программы-шифровальщики, атаки на сетевую инфраструктуру, взлом сайтов и т.д. Увы, список расширяется постоянно.
Для противодействия этим угрозам используют специализированные средства защиты: антивирусы, межсетевые экраны, средства шифрования данных, различные способы авторизации пользователей - всего не перечесть. Применение этих средств не гарантирует полную защиту, но позволяет снизить вероятность успешной атаки на информационные системы компании.
Установка и внедрение средств защиты - сложный процесс, требующий от ИТ-персонала определенных знаний и квалификации. Если неправильно настроить или эксплуатировать систему, то инвестиции в средства защиты в итоге могут оказаться малоэффективными.
Так как постоянно появляются новые средства и способы проведения кибер-атак, то целесообразно проводить периодический аудит системы информационной безопасности. Как правило аудит показывает, что требуются новые инвестиции в более современные средства или услуги по настройке имеющихся. И цикл снова повторяется…
Сколько инвестировать в ИТ-безопасность?
Специалисты ответят, что это зависит от размера ущерба, который может возникнуть: чем “больше бизнес”, тем больше потенциальный ущерб и тем больше надо инвестировать. Не очень приятная перспектива...
Как управлять инвестициями или ограничить их рамки? Каждый собственник бизнеса вырабатывает свои собственные ответы на эти вопросы и всегда надеется на достаточность применяемых мер. В конце-концов почему именно наш бизнес должен стать целью? Возможно, нам повезет больше, чем другим потому что…
Неудобный вопрос откладывается потому, что нет четких критериев принятия решения. Но состояние тревоги остается перманентным.
Предлагаем рассмотреть альтернативный подход
Если инвестиции в ит-безопасность никогда не будут достаточными, то можно ли зафиксировать: А) стоимость и Б) время устранения негативных последствий успешной атаки?
Ответ на вопрос А: 45 000р. в год вне зависимости от того “большими” или “маленькими” могут быть последствия для бизнеса.