Продавцы страха

Продавцы страха
Илья Медведовский | 24.02.2014
Один из основных вопросов, долго и неустанно терзающих умы безопасников, — как перед бизнесом обосновать расходы на ИБ? Копий тут сломано немало, поэтому я не стану повторяться и попытаюсь посмотреть на проблему под иным углом зрения. Но прежде давайте немного поговорим про общеизвестные вещи и вспомним азы.

Итак, первое, что не дает покоя профессионалам, — то, что безопасность всегда (или практически всегда, если быть совершенно точным) часть сугубо расходная. Напрямую она не дает бизнесу ничего. Здесь, в отличие от ИТ, невозможно сказать, что внедрение конкретной системы позволит оптимизировать бизнес-процессы настолько-то, и подсчитать эффективность внедрения. Положа руку на сердце, это и в ИТ сделать не всегда просто, а уж в ИБ и подавно. Вот и мы, безопасники, крутимся как можем, придумывая различные доводы, почему мы нужны, при этом зачастую выдвигая и совершенно бредовые аргументы, но эффективные в данной конкретной ситуации, а значит, работающие в одном случае и совершенно не работающие в другом. И главный парадокс тут в том, что даже в одной и той же компании, с одними и теми же лицами, «принимающими решение», одни и те же аргументы в разные моменты времени могут приводить к различным результатам. Я абсолютно убежден, и весь наш опыт это точно подтверждает, что здесь не бывает «серебрянной пули» и в каждом конкретном случае и даже в каждый конкретный момент времени аргументы могут быть свои. Даже, казалось бы, абсолютно железные аргументы в виде демонстрации видеозаписи реальной атаки на банк с переводом денег со счетов всех пользователей через найденные в процессе аудита уязвимости работают далеко не всегда.

Паутина страха

Одно совершенно точно, и не стоит строить иллюзий, стыдливо пряча глаза: любая индустрия любой безопасности всегда основана на страхе. Это аксиома. Нет врага, нет угроз, нет уязвимостей, нет рисков — нет продаж безопасности. Третьего тут не дано. 

Какими же традиционными методами безопасность пытается убедить бизнес выделить для себя бюджет? Здесь мы не будем говорить о случаях, когда необходим формальный, навязанный сверху комплаенс — вопрос обоснования бюджета в данном случае не стоит. Не будем вдаваться в подробности, а просто легкими штрихами наметим проблему, кратко выделив основное и ни в коем случае не претендуя на полноту или, не дай бог, глубину. 

Инциденты
Самый любимый и, как ни странно, самый сложно реализуемый на практике метод. Я постоянно слышу от коллег жалобы, что, дескать, ну не хватает у нас реальных инцидентов, не хватает. И это правда. Уязвимостей масса, а инцидентов мало. Парадокс? Отнюдь. Во-первых, огласке придаются сотые доли процентов реальных инцидентов — лишь тогда, когда масштаб произошедшего никак не позволяет его скрыть. Во-вторых, латентность преступлений в области ИБ такова, что вы можете годами не подозревать, что у вас в системе орудует целая преступная группа — и подобных историй масса. Поэтому в данном случае наличие или отсутствие реальных инцидентов не дает нам практически ничего и попытка обосновывать необходимость выделения бюджета, базируясь на этом параметре, далеко не всегда адекватна. Хотя, бывает, и срабатывает. 

Анализ рисков
Возможно, я для кого-то сейчас открою Самую Страшную Тайну всех безопасников: анализ рисков — это одно из главных шаманств в ИБ. Впрочем, на данную тему надо писать отдельную большую статью. Если кратко, то статистические методы, на которых великолепно работает анализ рисков, например, в автостраховании, совершенно неприменимы для ИБ. Мало того, что инцидентов нет или число их чересчур незначительно, так еще и ущерб толком подсчитать не может никто. И что, раз так, то вообще не заниматься безопасностью и оставить дверь открытой? Но бывает, финансисты, привыкшие к классическому риск-менеджменту, требуют выкладок с данными, и бедным безопасникам приходится брать в руки шаманский бубен и на основе экспертных оценок придумывать страшные цифры рисков. Но и это иногда работает... 

Процент от бюджета
Самый простой способ, который очень легко укладывается в чьей угодно голове, — сколько процентов от стоимости того, что ты хочешь защитить, логично потратить на обеспечение безопасности. В жизни мы с вами постоянно используем данный способ, страхуя машины, устанавливая сигнализации и т. д. Правда, применяем еще и анализ рисков (но без всякого шаманства), основываясь на простой житейской логике, и это нормально — ведь для максимального эффекта лучше применить комбинацию традиционных методов. Понимание того, что как ни крути, а безопасностью надо заниматься, плюс годы сопоставления бюджетов на ИТ и ИБ показывают, что на безопасность тратится от 1 до 10% бюджета ИТ. Поэтому данный порог иногда бывает полезен при грубой верхней оценке стоимости проекта по ИБ. 

Гениальные сейлы
Наивная вера в суперсейла и евангелиста в одном флаконе, который способен продать что угодно и кому угодно, резко, одним ловким ударом переломив любую негативную ситуацию и обосновав при этом любую сумму, как ни странно до сих пор существует даже в профессиональной среде. Надежда, что придет кто-то и разными хитрыми пассами, манипуляциями вперемешку с аргументами, НЛП и баней немедленно убедит руководство потратить деньги (в данном случае) на безопасность, очень прочно сидит в умах даже достаточно зрелых менеджеров. Наивная вера в супермена не дает человеку почувствовать себя стариком, и хорошо — верить нужно. Тем более что, правда, иногда и срабатывает, подкрепляя ореол веры. Особенно если не видеть случаев, когда это не сработало. 
img

Под другим углом

Хватит уже основ — давайте посмотрим на проблему обоснования бюджета под обещанным иным углом зрения, хотя кому-то и это может и должно показаться базовыми банальностями.

Безопасность по умолчанию  
Зададимся вопросом: какие продукты по ИБ покупают прежде всего и почему? Для начала обратимся к статистике и посмотрим, какие специализированные ИБ компании котируются на бирже, оставаясь при этом независимыми. Скажу сразу: их всего 13 (да, так мало!). Из них всего две имеют капитализацию более $10 млрд: Symantec ($15,3 млрд) и Check Point ($12 млрд). Еще восемь с капитализацией свыше $1 млрд, из них одна антивирусная Trend Micro ($4,7 млрд) и пять компаний, специализирующихся, как и Check Point, на сетевой безопасности. Какой вывод? А вывод прост: самые богатые ИБ-компании те, которые продают антивирусы и сетевую безопасность, — это неоспоримый факт. Почему? А потому что на самом деле сегодня безопасность воспринимается бизнесом прежде всего как некий базовый санитарный фактор. Как чистка зубов перед сном: ты не задумываешься, надо или нет, — ты просто чистишь. Так и эти два направления в безопасности стали базовыми — они почти не требуют обоснования, они нужны по умолчанию. Отсюда и термин, описывающий целый класс продуктов, — «безопасность по умолчанию». И если ты делаешь продукты или продаешь услуги, то чем ты ближе в понимании масс находишься к зоне by default — тем проще обосновывать на них бюджет. 

«Дайте мне точку опоры, и я переверну весь мир»
В продолжение тезиса о суперсейле, который может убедить кого угодно в чем угодно. Не может. Или может, но далеко не всегда. Ведь если по каким-то причинам человек не хочет чего-либо, он никогда это не купит, даже при наличии железных аргументов. Давайте рассмотрим гораздо более сложный и близкий лично мне случай вывода на рынок совершенного нового нишевого продукта или услуги. Здесь бесполезно пытаться продавать наскоком: вначале тебе предстоит долгий и тернистый путь преодоления, а затем и формирования общественного мнения и нового рынка. Зачастую нужно потратить годы, чтобы убедить рынок в актуальности продукта или услуги. Если взять за основу стандартные стадии примирения с неизбежным и попытаться спроецировать их на процесс вывода на рынок нового продукта/услуги, то мы получим такие этапы в прямой временной последовательности:
• Отрицание
• Раздражение
• Колебание 
• Принятие 

Каждая из этих стадий занимает определенное время, и пока они все не будут пройдены подавляющим большинством заказчиков — результата не будет даже у гениального сейла-супермена, которые бывают обычно, как это и присуще настоящим суперменам, только в комиксах.

***
В заключение я бы хотел еще раз подчеркнуть, что процесс обоснования бюджета на продукты или услуги по безопасности всегда является делом крайне непростым. Поэтому практика показывает, что наибольшего успеха достигают люди творческие, способные, с одной стороны, тонко чувствовать и постоянно адаптироваться под наш быстро меняющийся мир, а с другой — не боящиеся пытаться «выгибать» этот мир под себя. Не правда ли, в этом заключается один из главных человеческих парадоксов, который описывает многих успешных личностей: конформизм, замешанный на бунтарстве, довольно взрывоопасная смесь. 

Теги: безопасность, внешние угрозы

Журнал IT-Manager    [ PDF ]    [ Подписка на журнал ]

Об авторе


Илья Медведовский

Илья Медведовский

Более 20 лет занимается информационной безопасностью. Это давно уже перестало быть просто бизнесом, увлекательной работой. ИБ - хобби, любимое дело, миссия и мечта. В течение 12 лет руководит консалтинговой компанией Digital Security, которая на сегодняшний день является одним из лидеров российского рынка аудита ИБ. В 2010 году создал также дочернюю международную компанию ERPSсan, осуществляющую разработку средств мониторинга защищенности SAP. Автор около 200 статей по информационной безопасности, а также легендарной хакерской серии книг «Атака через Интернет», в которую также вошли «Атака на Интернет» и «Атака из Интернета». Спикер на ведущих российских конференциях по ИБ.


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru


Другие материалы рубрики

Особенности отрасли в настоящее время — высокооплачиваемые специалисты, имеющие профильное образование. Информационная инфраструктура создается и развивается в соответствии с лучшими практиками, на основе обоснованных организационных и технических решений.
По данным «Лаборатории Касперского», в 2015 году каждый второй корпоративный компьютер в России подвергся хотя бы одной веб-атаке. И этот показатель значительно выше, чем в среднем по миру.

Мероприятия


08.09.2016
Санкт-Петербургский клуб ИТ-директоров «SPb CIO Club» и компания Event House приглашает Вас принять участие во втором Форуме по промышленной автоматизации «Industrial IT-Forum»! Промышленная автоматизация на предприятии – важная область, которой уделяется повышенное внимание. Использование информационных технологий - один из немногих технологически и экономически выгодных способов повышения эффективности подготовки производства. На современных предприятиях автоматизируются по максимуму все возможные участки работ. Новый взгляд на проблемы и тенденции информационных технологий в области промышленной автоматизации будут рассмотрены на II Форуме по промышленной автоматизации «Industrial IT Forum»

22.09.2016
24 июня 2016 года Госдумой шестого созыва был принят законопроект «Антитеррористический пакет» Яровой, который назван одним из самых резонансных. Существенная часть законопроекта призвана регулировать деятельность телекоммуникационных и интернет компаний. Согласно документу, операторы связи и «организаторы распространения информации» должны в течение полугода хранить вообще всю переданную информацию, то есть и записи телефонных звонков, и содержание смс-сообщений. В течение трех лет они также обязаны хранить сведения о переданных данных. Наконец, компании должны помочь ФСБ расшифровать весь трафик. Как законопроект повлияет на рынок? Смогут ли крупнейшие интернет-компании отстоять свою позицию? Готово ли государство прислушиваться к мнению бизнеса? На конференции Право.ru участники обсудят скрытые и явные угрозы «пакета Яровой», а также о другие законодательные изменения.