Организации в среднем тратят 5,6% от общего ИТ-бюджета на ИТ-безопасность и управление рисками. Однако такой диапазон расходов на ИТ-безопасность (составляющий примерно от 1% до 13% ИТ-бюджета) является обманчивым показателем успешности программы, по мнению аналитиков Gartner.
«Заказчики хотят быть уверены, что они тратят на информационную безопасность примерно столько же, сколько и другие компании из их отрасли, схожие по территориальному признаку и размеру бизнеса, чтобы понять, достаточно ли они осмотрительны в вопросах безопасности и связанных с ней программах, — говорит Роб Макмиллан, директор по исследованиям Gartner. — Но сравнения с типичными средними значениями по отрасли не дадут должного представления о состоянии безопасности. Затраты могут быть на том же уровне, что у коллег, но направлены не в то русло, поэтому компании могут быть крайне уязвимы. Кроме того, затраты могут быть на надлежащем уровне, но готовность к принятию риска может отличаться от коллег».
Согласно Gartner, большинство организаций по-прежнему будут ошибочно использовать средние показатели расходов на ИТ-безопасность как приближенное значение для оценки уровня безопасности до 2020 года.
Вне контекста бизнес-требований, рискоустойчивости и уровня удовлетворенности, исследование расходов на ИТ-безопасность в процентах от ИТ-бюджета не дает достоверных сравнительных данных, которые должны использоваться для выделения ИТ-бюджета или бизнес-ресурсов. Кроме того, сама по себе статистика ИТ-расходов не является показателем ИТ-эффективности или мерилом успешных ИТ-организаций. Она лишь дает представление о средних издержках, без учета сложности или спроса.
Формальные расходы на безопасность, как правило, делятся между аппаратным и программным обеспечением, услугами (аутсорсинг и консультирование) и персоналом. Тем не менее любые статистические данные о формальных расходах на безопасность занижают истинные размеры корпоративных инвестиций в ИТ-безопасность, поскольку функции безопасности включены в аппаратное и программное обеспечение, действия или инициативы, специально не связанные с безопасностью.
Согласно Gartner, многие организации просто не знают своего бюджета безопасности. Отчасти это объясняется тем, что некоторые системы учета затрат отводят безопасности отдельную позицию, и многие процессы, связанные с безопасностью, выполняются сотрудниками, которые посвящают ей неполный рабочий день, поэтому нельзя полностью полагаться на сотрудников служб безопасности. В большинстве случаев главный директор по информационной безопасности (CISO) не имеет представления о расходах на безопасность по всему предприятию.
Чтобы определить реальный бюджет безопасности, нужно обратить внимание на множество объектов, таких как сетевое оборудование, которое имеет встроенные функции безопасности, защита рабочего стола, которую можно включить в бюджет поддержки конечных пользователей, корпоративные приложения, аутсорсинг или услуги управления безопасностью, обеспечение непрерывности бизнеса или приватности программ, а также подготовка по вопросам безопасности, которая может финансироваться за счет HR.
Согласно Gartner, хорошо защищенные организации иногда могут тратить на безопасность меньше средних процентов от ИТ-бюджета. 20% организаций с самыми низкими затратами на безопасность включают 2 совершенно разных типа:
- Незащищенные организации, которые экономят;
- Защищенные организации, которые внедрили передовые методы выполнения ИТ-процессов и безопасности, что позволяет снизить общую сложность ИТ-инфраструктуры и сократить количество уязвимостей.
По мнению Gartner, предприятия должны тратить от 4% до 7% своего ИТ-бюджета на безопасность: меньше — если их системы хорошо продуманы, и больше — если они не защищены и подвержены риску. Такой бюджет находится под контролем и ответственностью CISO и не является «реальным» или общим.
Чтобы гарантировать должную заботу об информационной безопасности, организации сначала должны оценить свои риски и понять, как определить бюджет, контролируемый CISO, и «реальный» бюджет безопасности в сложном многообразии отчетной документации, которая может отражать не все расходы на безопасность.