Исследование Ponemon Institute показывает, что общая стоимость несоблюдения
правил безопасности в два с половиной раза превышает стоимость их соблюдения.
Если ты сомневаешься в том, выгодно ли с финансовой точки зрения соблюдать
правила безопасности, или нет, подумай дважды, потому что расходы организаций,
не соблюдающих правила безопасности, в среднем превышают расходы организаций, их
соблюдающих, в 2.65 раза.
Исследование Ponemon Institute, которое было проведено по заказу Tripwire и в
котором участвовали 46 крупных фирм на протяжении 12 месяцев выяснило, что
соблюдение правил безопасности стоит в среднем 3.5 миллиона долларов, а
несоблюдение правил может привести к увеличению затрат до 9.4 миллионов
долларов, включая повышение расходов из-за разрушения бизнеса, снижения
продуктивности и штрафов. Ponemon провели сравнительное исследование
организаций, принадлежащих разным индустриям (ни одна из которых не являлась
клиентом Tripwire) и опросили около 160 руководителей данных организаций.
Согласно докладу, компании потратили от 446 тысяч до 16 миллионов долларов за
этот период, самые большие затраты пришлись на защиту данных. Технологии защиты
данных и ответная реакция на происшествия вылились для предприятий в самые
большие счета.
При несоблюдении предприятиями безопасности, затраты на восстановление
бизнеса и из-за снижения продуктивности привели к наибольшим затратам – в
среднем 3.2 миллиона и 2.4 миллиона долларов соответственно.
"Затраты при несоблюдении нужных мер безопасности все еще выше, чем при их
соблюдении", - сказал вице-президент по разработке стратегий Tripwire Река Шеной.
"И цена за несоблюдение правил безопасности растет вместе с ростом компаний".
Глава и основатель Ponemon Institute Ларри Понемон сказал, что он надеется,
что статистика затрат, приведенная в докладе, улучшит безопасность в сфере
информационных технологий и даст специалистам больше денег для обеспечения
безопасности в своих организациях. "Компании, которые инвестируют в свои системы
обеспечения безопасности - в такие, как регулярные проверки, применение
технологий, обучение персонала и операционные процессы, добьются успеха в
снижении риска и поймут, что расходы на предотвращение и снижение угроз
окупаются", - сказал он.
Согласно данным доклада, организации, которые проводят от 3 до 5 проверок в
год, тратят меньше всего – примерно 154 доллара на человека, в то время как
фирмы, не проводящие внутренних проверок, тратят больше всех – 341 доллар на
человека. В общем, 28 процентов организаций сказали, что не проводят внутренних
проверок, а 11 процентов предприятий проводят более 5 проверок в год.
"Вопрос состоит не в том, должен ли я соблюдать правила безопасности, а в
том, как я могу снизить расходы на то, чтобы соблюдать правила безопасности", -
говорит Джошуа Корман, директор по исследованиям практической безопасности The
451 Group. "Как могу я сократить расходы на соблюдение безопасности и при этом
сэкономить деньги и время, чтобы сфокусироваться на том, что выходит за рамки
соблюдения безопасности?... Атакующий будет знать, что вы соблюдаете меры, и вы
будете ему неинтересны".
В Ponemon измерили силы и средства обеспечения безопасности предприятий по
шкале эффективности этих самых средств, и результаты показали, что предприятия с
лучшим уровнем безопасности или лучшим результатом по шкале реже не соблюдают
условия обеспечения безопасности, чем другие. Поэтому чем больше тратится на
соблюдение правил безопасности в соотношении с общими затратами на
информационные технологии, тем меньше затраты будут в будущем, подводит итог
доклад.
Ни одну из организаций не обошли стороной взломы с утечкой данных, говорит
Шеной. "Те, кто не соблюдал правила безопасности, подвергались атакам с
последующей утечкой данных чаще всего", - говорит Шеной. "А предприятия с
высокой эффективностью системы безопасности несли гораздо меньшие убытки".
Сложной задачей для компаний является проведение нескольких программ по
обеспечению безопасности. "Сложно иметь дело с такими программами, потому что
предприятия вынуждены проводить проверку за проверкой", - говорит Шеной.
И стоимость соблюдения правил безопасности различается для различных отраслей
промышленности: в сфере энергетики расходы составляют 24 миллиона долларов, в
сфере образования и исследований – 6.8 миллионов долларов, в сфере
здравоохранения – 8.86 миллионов долларов, а в сфере розничной торговли – 9.24
миллионов долларов.
Корман говорит, что показанное в докладе соотношение стоимости соблюдения
правил безопасности с общим бюджетом информационных технологий предприятия –
поразительно. Согласно отчету Ponemon, 39 процентов организаций тратят от 6 до
10 процентов на соблюдение правил безопасности; 39 процентов организаций тратят
от 11 до 15 процентов; 11 процентов организаций тратят от 16 до 20 процентов и 7
процентов организаций тратят колоссальные от 21 до 25 процентов их бюджета
информационных технологий на соблюдение правил безопасности. "Цифра оказалась
очень большой", - говорит Корман.
Полная копия доклада "The True Cost of Compliance" доступна для скачивания
здесь.
