Рустэм Хайретдинов, руководитель проекта Appercut, заместитель генерального директора ГК InfoWatch

В условиях изменившейся экономической конъюнктуры бизнес относится к любым тратам предельно внимательно, желая точно знать, сколько придется заплатить за устранение конкретных рисков — сколько стоит не только определенный инструмент, но и его содержание и обслуживание, включая зарплату персонала, инвестиции в инфраструктуру и другие косвенные расходы.

Не все компании в изменившейся рыночной ситуации только сокращают затраты — некоторые используют открывшиеся возможности для расширения бизнеса. Поэтому при рассмотрении задач информационной безопасности мы будем разделять потребности бизнеса во время кризиса на два типа: оптимизация расходов в той части бизнеса, которую надо сохранить, и обеспечение роста в той части бизнеса, которая должна расти.

СОКРАЩЕНИЕ РАСХОДОВ

Большинство компаний сталкиваются с необходимостью урезать расходы на все, что не приносит доходов. Это и персонал, и складские и офисные площади, и закупки товаров и услуг, без которых какое-то время можно обойтись. В порыве экономии важно оставить тот минимальный уровень расходов на поддержание информационной безопасности, который принесет проблем не больше, чем сэкономит средств.

Соответствие требованиям регуляторов всегда воспринималось не как подспорье, а как дополнительный налог. А налоги бизнес стремится «оптимизировать». Не составляют исключения и требования регуляторов в области информационной безопасности — между «ехать и шашечками» бизнес выбирает максимально дешевые «шашечки». Поэтому основное требование — получить ту же «справку» за вдвое, а лучше за втрое меньший бюджет. Обычно эту задачу пытаются решить банальным выбиванием дополнительной скидки у поставщиков. Но что, если слегка напрячь воображение и попытаться принципиально изменить процессы?

Предположим, вам нужно обеспечить соответствие требованиям PCI DSS по контролю уязвимостей в программном обеспечении, обрабатывающем информацию платежных карт, для чего раньше покупался специальный инструмент — сканер уязвимостей. Вместо продления лицензии на сканер можно, например, заключить договор на сканирование с компанией, у которой есть такой сканер, или обучить своих сотрудников на курсах по безопасной разработке. Любой из этих подходов поможет продемонстрировать аудиторам выполнение конкретного требования, но оба альтернативных решения позволят существенно сократить расходы, а последнее — еще и уберечь ценных сотрудников, избежав их сокращения.

Расходы на снижение рисков тоже поддаются творческому переосмыслению. Переход от владения средствами защиты к их аренде, с постоянных лицензий — на временные, с месячной или поквартальной оплатой. Отсрочка платежа, рассрочка, фиксация цен в рублях — у поставщиков ведь тоже кризис, помните, и они предпочтут продать дешевле, чем вовсе не продать. Бесплатные или просто более дешевые продукты, очевидно, не столь функциональны, как те, к которым вы привыкли, но если привычные продукты, цены на которые выставляются в валюте, теперь недоступны, а задачи остались, то почему бы не попробовать сэкономить? Начальство будет только радо.

ОБЕСПЕЧЕНИЕ РОСТА

Часто компании используют кризис для роста: занятия большей доли рынка, вывода новых продуктов и услуг — да, ресурсов меньше, но и конкуренция слабее. Некоторые рынки — фармакология, недорогие развлечения, фастфуд, ремонты всего, что раньше бы выбросили и купили новое, от одежды до автомобилей, — во время кризиса вообще переживают бум. Процветают также ломбарды и барахолки, в том числе и электронные, — люди избавляются от ненужных вещей. Поэтому компании в поисках новых рыночных ниш будут экспериментировать, и вам, как специалистам по информационной безопасности, нужно быть готовыми им помочь.

Бизнес на этапе старта очень чувствителен к различным видам сбоев. Компания запускает новый продукт или услугу, для чего заказывает рекламу, которая ведет на сайт, а он недоступен или на нем находится совсем не та информация, которую компания хотела бы показать клиентам, потому что сайт был атакован. Почему именно сайт? Интернет — самый дешевый и самый целенаправленный канал по привлечению и обслуживанию клиентов, поэтому многие компании для продвижения своей продукции на начальном этапе используют именно его. Так что расходы на обеспечение защищенности «продающего» сайта должны изначально включаться в его бюджет, и это как раз забота службы информационной безопасности.

Новые продукты и услуги особенно важно защищать от утечек информации. Если конкуренты узнают о деталях нового продукта или услуги до их запуска, что довольно просто сделать, приняв на работу сокращенного сотрудника, то они могут сильно навредить вам. Поэтому надо заботиться о сохранении в тайне ценной информации, от которой, возможно, зависит будущее процветание компании. Для этого не обязательно покупать дорогие инструменты, многое можно сделать и с помощью организационных мер или встроенных системных функций.

Создайте отдельный VPN внутри компании для рабочей группы, используйте выделенный сервер, специальные форматы файлов с прозрачным шифрованием и электронную подпись для всех участников группы — все это можно сделать с помощью встроенных функций операционных систем или бесплатных продуктов. Проведите инструктаж сотрудников по противодействию социальной инженерии — это первый, назовем его «гигиеническим», уровень противодействия направленным атакам. Появится бюджет — используйте недорогие инструменты для противодействия утечкам и для контроля за сменными носителями, защитите трафик и рабочие станции от целенаправленных атак.

ЧТО МОЖЕТ ПРЕДЛОЖИТЬ РЫНОК?

Производители средств защиты и компании, оказывающие услуги в области информационной безопасности, как и любые ИТ-компании, довольно гибки. Они почувствовали спрос в нижней ценовой категории, популярность краткосрочных лицензий и вкус заказчика к замене лицензии регулярной услугой. Поэтому, если ваши привычные поставщики еще не предложили вам зафиксировать цену в рублях, отсрочку платежа, рассрочку, услугу вместо лицензии (где это возможно, конечно), посмотрите по сторонам — возможно, вы можете неплохо сэкономить.

Присмотритесь к бесплатным продуктам: многие компании (например, производители антивирусов) выпускают бесплатные продукты с ограниченным функционалом. Ограниченная защита, конечно, хуже привычной вам более дорогой полноценной, но гораздо лучше вообще никакой.

Широкий выбор предлагают и производители свободно распространяемого программного обеспечения. Стоит только учитывать, что бесплатность лицензии часто оборачивается необходимостью содержать в штате дорогого специалиста по настройке такого программного обеспечения или обращаться за поддержкой в специализированную компанию.

ЗАКЛЮЧЕНИЕ

Как видим, нет нерешаемых задач. Не стоит опускать руки, ссылаясь на отсутствие бюджета: даже с сильно ограниченным бюджетом можно с приемлемым качеством решать задачи информационной безопасности, помогать бизнесу и делать карьеру.