Как сэкономить на информационной безопасности: советы эксперта

Информационные угрозы стали неотъемлемой частью современного бизнеса, поэтому компании вынуждены инвестировать значительные средства в защиту своей инфраструктуры от кибератак, утечек данных и прочих рисков. Однако далеко не каждая организация способна позволить себе большие бюджеты на информационную безопасность. 

На чем экономить нельзя: 4 ошибки

Меньше систем — меньше проблем: ложная экономия на IT-решениях

Компании часто экономят, отказываясь от защиты информационных ресурсов или поддерживая устаревшие системы. Но такой подход может привести к серьезным проблемам.

Почему сокращение затрат на защиту опасно? Компании подвергают себя угрозам кибератак и утечек конфиденциальной информации или персональных данных. Это грозит:

• финансовыми потерями (утечка данных может стоить миллионы рублей компенсации клиентам и партнерам);
• репутационными рисками (партнеры и клиенты могут отказаться сотрудничать с компанией, в которой информационные системы не защищены);
• юридическими последствиями (нарушение законодательства влечет за собой санкции и штрафы. Например, за утечку персональных данных могут оштрафовать на сумму от 100 тысяч до 20 миллионов рублей. Сумма зависит от типа и объема данных, а также от размера компании. В некоторых случаях может наступить уголовная ответственность).

Базовый антивирус — слабая защита

Использование бесплатных или базовых встроенных антивирусных решений — далеко не лучшая практика, особенно учитывая постоянно меняющиеся угрозы информационной безопасности. 

Если речь идет о зарубежных продуктах, никто не сможет гарантировать стабильность их функционирования в условиях санкций или ухода компаний с российского рынка. Например, выпуск обновления для операционной системы Windows мог бы привести к полному отключению защитных функций для российских пользователей, оставляя миллионы компьютеров уязвимыми перед угрозами.

Популярные бесплатные решения, скачанные пользователями из сети, часто имеют ограниченный функционал и могут в любой момент перестать обновляться или поддерживаться производителем. Если для домашних пользователей такое решение еще может подойти (хотя я бы задумался, можно ли безоговорочно доверять «бесплатному сыру»), то для бизнеса нужны другие решения, у которых будут иметь расширенный функционал и более гибкие настройки. 

Open-source решения — это не панацея от высоких затрат к бесплатному, стабильному и защищенному будущему. Как показала практика, в условиях санкций даже они уходят из России. Это значит, что техническая поддержка для нашей страны может отсутствовать, а обновления могут перестать выпускаются.

Не стоит забывать, что компании, использующие open-source решения, всегда дополнительно оплачивают работу специалистов, поддерживающих такие системы. Получается, что расходы могут быть существенно выше, чем при покупке готового программного обеспечения — деньги расходуются на зарплаты сотрудникам и внешних специалистов. Ведь open-source-решения это совсем не «коробочные» решения. Требуется серьезная настройка и доработка таких решений именно под задачи организации. 

Как быть? Важно выбирать качественные и современные российские антивирусные программы, способные обеспечить надежную защиту от киберугроз. Отечественные продукты обладают интеллектуальным функционалом и включают:

• анализ сетевого трафика;
• выявление вредоносных сценариев на посещаемых веб-сайтах. 

Такие инструменты обеспечивают высокий уровень защиты персональных данных и предотвращают несанкционированный доступ злоумышленников.

Нелицензионное ПО — шаг в пропасть

Малый и средний бизнес не всегда может позволить себе дорогие IT-продукты, поэтому использует пиратские версии, надеясь, что ничего страшного не случится. Однако нужно осознавать два риска:

• Заражение вирусами. Нелицензионные решения могут быть заражены вредоносными программами, поскольку распространяются через сомнительные источники.
• Отсутствие технической поддержки. Владельцы нелицензионного софта лишены доступа к официальной техподдержке, обновлениям и устранению багов.

Отсутствие защиты от DDoS-атак — открытые ворота для мошенников

DDoS-атаки представляют собой серьезную угрозу информационной безопасности компаний, поскольку направлены на вывод из строя:

• веб-сайтов;
• мониторинговых систем;
• онлайн-сервисов.

Мошеннические системы массово рассылают вредоносные запросы. Цель злоумышленников проста — перегрузить инфраструктуру жертвы таким образом, чтобы сервисы перестали функционировать должным образом.

Владельцы небольших компаний часто думают, что их ресурсы не интересны хакерам, и из-за этого не уделяют должного внимания защите от DDoS-атак. Некоторые выбирают недорогие зарубежные сервисы. Ранее Роскомнадзор обращал внимание бизнеса на возможные сложности при взаимодействии с подобными зарубежными платформами.

Таким образом, выбор надежного отечественного поставщика услуг защиты от DDoS является критически важным фактором устойчивого развития бизнеса. 

Где на самом деле можно сэкономить на информационных системах

Компании часто задаются вопросом, как оптимизировать расходы на информационные системы без ущерба для безопасности. Существует множество решений, но все они основаны на том, какие задачи ставит перед собой компания. Для кого-то подойдет вариант замены нескольких разрозненных систем на одну интегрированную. Это позволит сэкономить на техподдержке и обновлениях. Однако для других компаний выгоднее будет сделать противоположный шаг. Единого ответа здесь нет, а все случаи рассматриваются в индивидуальном порядке.

Кроме того внедрение новых информационных систем часто выходит за рамки запланированного бюджета. Причина кроется в скрытых расходах, поэтому компаниям нужно критически оценивать свои потребности и осознанно подходить к выбору систем безопасности, а также понимать, какие сотрудники будут их обслуживать. Вспомним пример с open-source решением. Устанавливая бесплатные системы, компания сталкивается с проблемой технического обслуживания и вынуждена нанимать специалистов, которые будут поддерживать их в рабочем состоянии. В то время как лицензионное ПО включает в себя штат техподдержки от вендора, а в ряде случаев, вендор предлагает более расширенную поддержку.

Тогда возникает вопрос: неужели сэкономить не получится? Получится! Если правильно все рассчитать. Сделать это можно во время аудита.

Аудит IT-инфраструктуры: ключ к оптимизации

Чтобы избежать неприятных сюрпризов, важно заранее определить полный объем предстоящих вложений, включая обслуживание и поддержку новых технологий. Для этого лучше всего обратиться к профессионалам, способным провести комплексный аудит вашей инфраструктуры.

Профильная компания проведет аудит IT-систем предприятия, который включает:

• полное обследование имеющейся инфраструктуры;
• выявление уязвимых мест;
• разработку рекомендаций по оптимизации процессов;
• подбор систем защиты, подходящих для конкретных задач.

Эксперты детально изучают архитектуру сетей, программное обеспечение и оборудование, выявляют слабые места и разрабатывают оптимальную стратегию модернизации и интеграции информационных систем.

Ответственность за информационную безопасность

За информационную безопасность компании отвечает исключительно руководство. Руководители должны понимать потенциальные угрозы, которые могут возникнуть, если предупредить кибератаки не получится:

• финансовые риски;
• угрозы утраты важных данных;
• возможность полной остановки деятельности фирмы.

Особенно остро этот вопрос встает перед организациями, работающими в сфере национальной обороны или обладающими конфиденциальной информацией. О кадровом голоде в сфере кибербезопасности можно прочитать здесь.

Поэтому важно тщательно выбирать подрядчика, который сможет профессионально оценить соответствие компании требованиям законодательства и международных стандартов. Грамотный специалист обладает знаниями обо всех нормативных актах, регулирующих сферу информационной безопасности, таких как Федеральный закон №152-ФЗ («О персональных данных») и Федеральный закон №187-ФЗ («Об обеспечении информационной безопасности»).

Правильно проведенный аудит позволит вам не только минимизировать риски, но и эффективно распорядиться бюджетом, исключив ненужные траты и защитив ваш бизнес от возможных угроз.