Menú
Está libre
registro
hogar  /  Instalacion y configuracion/ Contabilización de los costes de protección de la información. Costos directos e indirectos de proteger la información de los medios de comunicación empresarial

Contabilización de los costos de protección de la información. Costos directos e indirectos de proteger la información de los medios de comunicación empresarial

2018-08-21T12: 03: 34 + 00: 00

Las grandes empresas comerciales gastan alrededor del 1% de sus ingresos anuales en garantizar la seguridad física de sus negocios. La seguridad empresarial es un recurso tanto como las tecnologías y los medios de producción. Pero cuando se trata de la protección digital de datos y servicios, resulta difícil calcular los riesgos financieros y los costos necesarios. Te decimos cuánto dinero del presupuesto de TI es razonable destinar a la ciberseguridad, hay un conjunto mínimo de herramientas de las que se puede prescindir.

Los costos de seguridad están aumentando

Organizaciones comerciales de todo el mundo, según reporte Gartner, gastó alrededor de $ 87 mil millones en necesidades de ciberseguridad en 2017, incluidos software, servicios especializados y hardware. Esto es un 7% más que en 2016. Este año, se espera que la cifra alcance los 93 mil millones, y el próximo año cruzará la marca de los 100.

Según los expertos, el mercado de servicios de seguridad de la información en Rusia es de alrededor de 55 a 60 mil millones de rublos (alrededor de 900 mil dólares). 2/3 de él está cerrado por órdenes gubernamentales. En el sector empresarial, la participación de dichos costos depende en gran medida de la forma de la empresa, la geografía y el campo de actividad.

Bancos y estructuras financieras nacionales en promedio invertir en su ciberseguridad 300 millones de rublos al año, industriales - hasta 50 millones, empresas de redes (minoristas) - de 10 a 50 millones.

Pero las cifras de crecimiento del mercado ruso de ciberseguridad desde hace varios años son 1,5-2 veces más altas que a escala mundial. En 2017, el crecimiento fue del 15% (en términos de dinero de los clientes) en relación con 2016. A finales de 2018, puede resultar aún más impresionante.

Las altas tasas de crecimiento se deben a la reactivación general del mercado y a la gran atención de las organizaciones a la seguridad real de su infraestructura de TI y la seguridad de los datos. Costos de construcción del sistema protección de la información ahora se consideran inversiones, se planifican con anticipación y no solo se toman como sobrantes.

Tecnologías positivasseñala a tres motores de crecimiento:

  1. Los incidentes de alto perfil de los últimos 1,5-2 años han llevado al hecho de que hoy en día solo los perezosos no comprenden el papel de la seguridad de la información para la estabilidad financiera de una empresa. Uno de cada cinco altos ejecutivos se interesa por la seguridad práctica en el contexto de su negocio.

El año pasado ha sido instructivo para las empresas que ignoran la primaria. ... Ausencia actualizaciones reales y la costumbre de trabajar sin tener en cuenta las vulnerabilidades llevó al cierre de las plantas de Renault en Francia, Honda y Nissan en Japón; bancos, energía, empresas de telecomunicaciones se vieron afectadas. Maersk, por ejemplo, costó $ 300 millones a la vez.

  1. Epidemias Virus ransomware WannaCry, NotPetya, Bad Rabbit enseñó a las empresas nacionales que la instalación de antivirus y cortafuegos no es suficiente para sentirse seguros. Necesita una estrategia integral, un inventario de sus activos de TI, recursos dedicados, una estrategia de respuesta a amenazas.
  2. En cierto sentido, el tono lo marca el Estado, que ha anunciado un rumbo hacia una economía digital que abarca todos los ámbitos (desde la salud y la educación hasta el transporte y las finanzas). Esta política afecta directamente al crecimiento del sector de las tecnologías de la información en general y de la seguridad de la información en particular.

El costo de las vulnerabilidades de seguridad

Todo esto es instructivo, pero cada negocio es una historia única. La cuestión de cuánto gastar en seguridad de la información del presupuesto general de TI de la empresa, aunque no es correcta, pero, desde el punto de vista del cliente, es la más urgente.

La empresa internacional de investigación IDC sobre el ejemplo del mercado canadiense llamadas óptimo 9,8-13,7% de las inversiones en ciberseguridad del presupuesto total de TI en la organización. Es decir, ahora el negocio canadiense gasta en promedio alrededor del 10% para estas necesidades (se cree que esto es un indicador de una empresa sana), pero, a juzgar por las encuestas, le gustaría estar más cerca del 14%.

Las empresas no tienen por qué preguntarse cuánto deben gastar en la seguridad de su información para sentirse tranquilas. Hoy en día, evaluar los riesgos de los incidentes de ciberseguridad no es más difícil que calcular las pérdidas por amenazas físicas. Hay un mundial Estadísticas , según la cual:

  • Los ataques de piratas informáticos cuestan a la economía mundial más de 110.000 millones de dólares anuales.
  • Para las pequeñas empresas, cada incidente cuesta un promedio de $ 188,000.
  • El 51% de los ataques en 2016 fueron dirigidos, es decir, grupos delictivos organizados contra una empresa específica.
  • El 75% de los ataques se llevan a cabo con el objetivo de causar daños materiales, por motivos económicos.

En la primavera de 2018, Kaspersky Lab llevó a cabo su gran estudio ... Según una encuesta a 6 mil especialistas de empresas de todo el mundo, el daño provocado por la piratería de redes corporativas y las fugas de datos ha aumentado entre un 20% y un 30% en los últimos años.

El costo promedio de los daños para febrero de 2018 para las organizaciones comerciales, independientemente del tamaño y el alcance de la actividad, fue de $ 1.23 millones. Para las pymes, un error del personal o las acciones exitosas de los piratas informáticos cuestan 120 mil dólares.

Estudio de viabilidad para la seguridad de la información

Para evaluar correctamente los recursos financieros necesarios para organizar la seguridad de la información en la empresa, es necesario realizar un estudio de viabilidad.

  1. Realizamos un inventario de infraestructura de TI y evaluamos riesgos, compilamos una lista de vulnerabilidades en orden descendente de importancia. Las pérdidas de reputación (un aumento en las tarifas de seguros, una disminución en la calificación crediticia, el costo del tiempo de inactividad de los servicios), el costo de restaurar el sistema (actualización de equipos y software) también se incluyen aquí.
  2. Enumeramos las tareas que debe resolver el sistema de seguridad de la información.
  3. Seleccionamos equipos, herramientas para resolver problemas y determinamos su costo.

Si la empresa no tiene las competencias para evaluar las amenazas y los riesgos de seguridad cibernética, siempre puede solicitar una auditoría de seguridad de la información adicional. Hoy en día, este procedimiento es de corta duración, económico e indoloro.

Empresas industriales con un alto nivel de expertos en automatización de procesos recomendar utilizar un modelo de arquitectura de seguridad adaptativa (Arquitectura de seguridad adaptable), propuesto en 2014 por Gartner. Le permite reasignar adecuadamente los costos de seguridad de la información, prestando más atención a las herramientas para detectar y responder a las amenazas, e implica la implementación de un sistema de monitoreo y análisis de la infraestructura de TI.

Cuánto cuesta la ciberseguridad para las pequeñas empresas

Los autores del blog de Capterra decidieron contar hasta cuánto cuesta el sistema de seguridad de la información en promedio para las pequeñas y medianas empresas en el primer año de uso. Por esto fue elegido lista de 50 ofertas populares de "caja" en el mercado.

Resultó que el rango de precios es bastante grande: desde $ 50 por año (incluso hay 2-3 soluciones gratuitas para pequeñas empresas) hasta 6 mil dólares (hay paquetes individuales y 24 mil cada uno, pero no se incluyeron en el cálculo). En promedio, una pequeña empresa puede contar con $ 1,400 para construir sistema elemental protección contra las amenazas cibernéticas.

Las soluciones técnicas más baratas, como una VPN empresarial o protección de correo electrónico, pueden ayudar a proteger contra tipos específicos de amenazas (como el phishing).

En el otro extremo del espectro se encuentran los sistemas de monitoreo completos con respuesta a eventos “avanzada” y herramientas de protección integrales. Ayudan a proteger red corporativa de ataques a gran escala y, en ocasiones, incluso permiten predecir su aparición, deteniéndolos en las primeras etapas.

La empresa puede elegir varios modelos de pago para el sistema de seguridad de la información:

  • Precio por licencia, precio promedio: $ 1000-2000, o $ 26 a $ 6000 por licencia.
  • Precio por usuario. El costo promedio de un sistema de seguridad de la información por usuario en una empresa es de $ 37; el rango es de $ 4 a $ 130 por persona por mes.
  • El precio del dispositivo conectado. El costo promedio de este modelo es de $ 2.25 por dispositivo. El precio oscila entre $ 0,96 y $ 4,5 por mes.

Para calcular correctamente el costo de la seguridad de la información, incluso una pequeña empresa tendrá que implementar los conceptos básicos de la gestión de riesgos. El primer incidente (caída del sitio, servicio, sistema de pago), que no se puede corregir en 24 horas, puede provocar el cierre de la empresa.

"Diario financiero. Edición regional", 2008, N 41

En las condiciones modernas, no se puede subestimar la importancia de garantizar la seguridad de la información. La más mínima filtración de información confidencial a la competencia puede generar grandes pérdidas económicas para la empresa, paros de producción e incluso la quiebra.

Los objetivos de la seguridad de la información son: prevención de fugas, robos, pérdidas, distorsiones, falsificaciones de información; prevención de acciones no autorizadas para destruir, modificar, distorsionar, copiar, bloquear información; Prevención de otras formas de interferencia ilícita con los recursos de información y Sistemas de información Organizaciones.

El costo de proteger la información incluye principalmente la adquisición de medios para asegurar su protección contra el acceso no autorizado. Hay muchos medios para garantizar la protección de la información; condicionalmente, se pueden dividir en dos grandes grupos. El primero son los fondos que tienen una base material, como cajas fuertes, cámaras de videovigilancia, sistemas de seguridad, etc. En contabilidad, se contabilizan como activos fijos. El segundo son los medios que no tienen una base material, como software antivirus, programas para restringir el acceso a la información en en formato electrónico etc. Considere las características de la contabilidad de tales herramientas de seguridad de la información.

Al comprar un programa para garantizar la protección de la información, los derechos exclusivos del mismo no pasan al comprador; solo se compra una copia protegida del programa, que el comprador no puede copiar ni distribuir. Por lo tanto, al considerar tales programas, uno debe guiarse por el Cap. VI "Contabilización de operaciones relacionadas con el otorgamiento (obtención) del derecho de uso de activos intangibles" del nuevo PBU 14/2007 "Contabilidad de activos intangibles".

En raras ocasiones, al adquirir programas de seguridad de la información, la empresa adquiere derechos exclusivos para este producto... En este caso, el programa se contabilizará contablemente como activos intangibles (activos intangibles).

Según PBU 14/2007 en contabilidad, los activos intangibles previstos para su uso en virtud de un contrato de licencia, los pagos por el derecho de uso que se realizan en forma de pago único fijo y los derechos exclusivos que no se transfieren al comprador , el receptor debe contabilizarlos como gastos diferidos y reflejarse en una cuenta fuera de balance (cláusula 39). En este caso, el período durante el cual estos gastos se cancelarán en cuentas de gastos se establece en el contrato de licencia. En la contabilidad fiscal, los costos de adquirir un software de protección de la información para fines fiscales se contabilizan como otros gastos y se cancelan de la misma manera: a partes iguales dentro del período establecido en el contrato de licencia (subpárrafo 26 del párrafo 1 del artículo 264 del Código Fiscal de la Federación de Rusia).

Si el pago por el derecho a utilizar un producto de software que proporciona protección de la información se realiza en forma de pagos periódicos, entonces, de acuerdo con la cláusula 39 de PBU 14/2007, el usuario los incluye en los gastos del período de informe en el que fueron hechos.

En la práctica, el acuerdo de licencia no siempre indica el término de uso del software. Cuando la relación entre ingresos y gastos no puede determinarse claramente, en la contabilidad fiscal, los costos de adquisición de programas de protección de la información son asignados por el contribuyente de forma independiente con el fin de calcular el impuesto a las ganancias, teniendo en cuenta el principio de uniformidad de reconocimiento de ingresos y gastos (cláusula 1 del artículo 272 del Código Fiscal de la Federación de Rusia). En contabilidad, el período durante el cual estos gastos se debitarán de la cuenta 97 lo establece la administración de la empresa con base en el tiempo esperado de uso del programa.

Ejemplo 1... OJSC "Alpha" adquirió una copia con licencia del programa antivirus de LLC "Betta" por 118.000 rublos, IVA incluido (18%). El contrato de licencia establece un período de uso del programa de 9 meses.

En la contabilidad de OJSC "Alpha", el programa debe tenerse en cuenta de la siguiente manera:

D-t 60, K-t 51 - 118,000 rublos. - el costo del software se ha pagado al proveedor;

D-t 60, K-t 97 - 100.000 rublos. - el programa recibido se refleja como gastos diferidos;

D-t 002 - 100.000 rublos. - el programa recibido se refleja en la cuenta fuera de balance;

D-t 19, K-t 60 - 18.000 rublos. - IVA asignado;

D-t 68, K-t 19 - 18.000 rublos. - aceptado para la deducción del IVA;

D-t 26 (44), K-t 97 - 11,111.11 rublos. (100,000 rublos: 9 meses): todos los meses durante 9 meses, el costo del programa antivirus se cancela en gastos en partes iguales.

Cambiemos las condiciones del ejemplo 1: digamos que OJSC "Alpha" realiza el pago no en una suma global, sino en cuotas iguales durante todo el período de vigencia del contrato de licencia. Los pagos ascenderán a 11.800 rublos. por cada mes, IVA incluido.

En este caso, se realizarán las siguientes entradas en la contabilidad:

D-t 002 - 90.000 rublos. (10,000 rublos x 9 meses): el programa recibido se refleja en la cuenta fuera de balance;

D-t 60, K-t 51-11 800 rublos. - mensualmente dentro de los 9 meses al proveedor se le paga el costo del producto de software;

D-t 19, K-t 60-1800 rublos. - IVA asignado;

D-t 26 (44), K-t 60 - 10,000 rublos. - el costo del programa se ha cancelado como gastos;

D-t 68, K-t 19-1800 rublos. - aceptado para deducción de IVA.

A menudo, antes de la expiración del contrato de licencia, la empresa, el desarrollador del software de seguridad de la información, lanza su actualización. En este caso, los gastos en contabilidad y contabilidad fiscal se aceptarán a la vez al momento de la actualización.

También es una práctica común cuando una empresa desarrolladora proporciona su software a organizaciones durante un breve período de tiempo para su revisión. Para reflejar correctamente el programa de seguridad de la información recibido de forma gratuita, se debe tener en cuenta como parte de los ingresos diferidos a valor de mercado.

Ejemplo 2... Betta LLC proporcionó a OJSC Alfa un software de seguridad de la información durante un período de 3 meses sin cargo. El precio de mercado de este producto de software es de 3300 rublos.

Las siguientes entradas deben realizarse en los registros contables de OJSC "Alpha":

D-t 97, K-t 98 - 3300 rublos. - tenido en cuenta el software recibido de forma gratuita;

D-t 98, K-t 91-1100 rublos. - mensualmente durante tres meses, una parte de los ingresos diferidos se acepta como otros ingresos.

En contabilidad fiscal, los ingresos de un programa recibido de forma gratuita también se aceptarán dentro de los tres meses (cláusula 2 del artículo 271 del Código Fiscal de la Federación de Rusia).

Los costos de protección de la información incluyen no solo la adquisición de herramientas de seguridad de la información, sino también el costo de los servicios de consultoría (información) para la protección de la información (no relacionados con la adquisición de activos intangibles, activos fijos u otros activos de la organización). De acuerdo con la cláusula 7 de PBU 10/99 "Gastos de organización", los costos de los servicios de consultoría en contabilidad se incluyen en la composición de los gastos de las actividades ordinarias en el período de informe en el que se incurrieron. En contabilidad fiscal, se refieren a otros gastos asociados con la producción y venta de productos (subpárrafo 15 del párrafo 1 del artículo 264 del Código Tributario de la Federación de Rusia).

Ejemplo 3... Betta LLC brindó servicios de consultoría en seguridad de la información a Alfa OJSC por un monto total de 59,000 rublos, incluido el IVA: 9,000 rublos.

Las siguientes entradas deben realizarse en los registros contables de OJSC "Alpha":

D-t 76, K-t 51 - 59,000 rublos. - pagado por servicios de consultoría;

D-t 26 (44), CT 76 - 50,000 rublos. - Los servicios de consultoría en seguridad de la información se cancelan como gastos de actividades ordinarias;

D-t 19, K-t 76 - 9.000 rublos. - IVA asignado;

D-t 68, K-t 19 - 9000 rublos. - aceptado para deducción de IVA.

Empresas que utilizan el sistema tributario simplificado como gastos que reducen la base imponible del impuesto a las ganancias, de acuerdo con los párrafos. 19 p. 1 art. 346.16 del Código Fiscal de la Federación de Rusia solo podrá aceptar los costos de compra de software de seguridad de la información. Costos de consultoría en seguridad de la información en el art. 346.16 del Código Tributario de la Federación de Rusia no se mencionan, por lo tanto, a los efectos de la tributación de los beneficios de la organización, no tienen derecho a aceptarlos.

V.Schanikov

Asistente de auditor

departamento de auditoria

Baker Tilly Rusaudit LLC

Objeto del estudio: analizar y determinar las principales tendencias en el mercado ruso de seguridad de la información.
Se utilizaron los datos de Rosstat (formularios de informes estadísticos No. 3-Inform, P-3, P-4), estados financieros de empresas, etc.

Uso de tecnologías de la información y las comunicaciones y herramientas de seguridad de la información por parte de las organizaciones.

  • Para preparar esta sección, se utilizaron divisiones y oficinas de representación agregadas y separadas geográficamente (Formulario 3-Informar "Información sobre el uso de tecnologías de la información y las comunicaciones y la producción de computadoras, software y servicios en estas áreas".

Se ha analizado el período 2012-2016. Los datos no pretenden ser completos (ya que se recopilan para un número limitado de empresas), pero, en nuestra opinión, se pueden utilizar para evaluar tendencias. El número de empresas que respondieron durante el período examinado osciló entre 200 y 210 mil. Es decir, la muestra es bastante estable e incluye a los consumidores más probables (empresas grandes y medianas), que representan el grueso de las ventas.

Disponibilidad de computadoras personales en organizaciones

Según el formulario de informe estadístico 3-Inform, en 2016 en las organizaciones rusas que proporcionaron información en este formulario, había alrededor de 12,4 millones de unidades Computadoras personales(ORDENADOR PERSONAL). Por PC, en este caso, nos referimos a escritorio y computadoras portatiles, este concepto no incluye móvil Celulares y computadoras de bolsillo.

Durante los últimos 5 años, el número de unidades de PC en las organizaciones, en Rusia en su conjunto, ha crecido un 14,9%. El distrito federal más equipado es el Distrito Federal Central, representa el 30,2% de las PC en las empresas. El líder indiscutible en este indicador es la ciudad de Moscú; según datos de 2016, las empresas de Moscú tienen alrededor de 1,8 millones de PC. El valor más bajo del indicador se observó en el Distrito Federal del Cáucaso Norte, en las organizaciones del distrito solo hay alrededor de 300 mil unidades de PC, el número más pequeño en la República de Ingushetia: 5.45 mil unidades.

Arroz. 1. Número de computadoras personales en organizaciones, Rusia, millones.

Gasto en tecnología de la información y las comunicaciones por parte de las organizaciones

En el período 2014-2015. Debido al entorno económico desfavorable, las empresas rusas se vieron obligadas a minimizar sus costos, incluido el costo de la información y tecnología de la comunicación... En 2014, la reducción de costes para el sector de las TIC fue del 5,7%, pero ya a finales de 2015 había una ligera tendencia positiva. En 2016, los costos de las empresas rusas en tecnologías de la información y la comunicación ascendieron a 1,25 billones. rublos, superando el indicador de la precrisis de 2013 en un 0,3%.

La mayor parte de los costos recae en empresas ubicadas en Moscú: más de 590 mil millones de rublos, o el 47,2% del total. Los mayores volúmenes de gastos de organizaciones en tecnologías de la información y la comunicación en 2016 se registraron en: región de Moscú - 76,6 mil millones de rublos, San Petersburgo - 74,4 mil millones de rublos, región de Tyumen - 56,0 mil millones de rublos, la República de Tartaristán - 24,7 mil millones de rublos, el Región de Nizhny Novgorod - 21,4 mil millones de rublos. Los gastos más bajos se registraron en la República de Ingushetia: 220,3 millones de rublos.

Arroz. 2. El volumen de los gastos de las empresas en tecnologías de la información y la comunicación, Rusia, mil millones de rublos.

Uso de medios de protección de la información por parte de las organizaciones

Recientemente, se puede observar un aumento significativo en el número de empresas que utilizan herramientas de protección de la seguridad de la información. Las tasas de crecimiento anual de su número son bastante estables (con la excepción de 2014) y ascienden a alrededor del 11-19% por año.

Según datos oficiales de Rosstat, Los medios de protección más demandados actualmente son medios tecnicos autenticación de usuario (tokens, llaves USB, tarjetas inteligentes). De más de 157 mil empresas, 127 mil empresas (81%) señalaron el uso de estos medios particulares como protección de la información.

Arroz. 3. Distribución de organizaciones por el uso de herramientas de seguridad de la información, en 2016, Rusia,%.

Según estadísticas oficiales, en 2016, 161.421 empresas utilizaron Internet global con fines comerciales. Entre las organizaciones que utilizan Internet con fines comerciales y han indicado el uso de herramientas de seguridad de la información, la firma digital electrónica es la más popular. Más de 146 mil empresas, o el 91% del total, señalaron esta herramienta como medio de protección. Según el uso de herramientas de seguridad de la información, las empresas se distribuyeron de la siguiente manera:

    • Medios de firma electrónica digital: 146.887 empresas;
    • Programas antivirus actualizados periódicamente: 143.095 empresas;
    • Software o hardware que previene el acceso no autorizado de programas maliciosos de información global o redes de área local (Firewall) - 101,373 empresas;
    • Filtro de spam: 86,292 empresas;
    • Herramientas de cifrado: 86 074 empresas;
    • Sistemas de detección de intrusos informáticos o de red: 66.745 empresas;
    • Herramientas de software para la automatización de procesos de análisis y control de seguridad sistemas informáticos- 54409 empresas.

Arroz. 4. Distribución de empresas que utilizan Internet con fines comerciales, mediante la protección de la información transmitida por redes globales, en 2016, Rusia,%.

En el período 2012-2016, el número de empresas que utilizan Internet con fines comerciales aumentó un 34,9%. En 2016, 155.028 empresas utilizaron Internet para comunicarse con los proveedores y 110.421 empresas para comunicarse con los consumidores. De las empresas que utilizan Internet para comunicarse con proveedores, se indicó la finalidad de uso:

  • obtener información sobre los bienes necesarios (obras, servicios) y sus proveedores - 138,224 empresas;
  • suministro de información sobre las necesidades de la organización en bienes (obras, servicios) - 103 977 empresas;
  • realizar pedidos de bienes (obras, servicios) necesarios para las organizaciones (excepto los pedidos enviados por correo electrónico) - 95 207 empresas;
  • pago por los bienes suministrados (obras, servicios) - 89,279;
  • recepción de productos electrónicos - 62,940 empresas.

Del número total de empresas que utilizan Internet para comunicarse con los consumidores, la finalidad de uso indica:

  • suministro de información sobre la organización, sus bienes (obras, servicios) - 101,059 empresas;
  • (obras, servicios) (excluidos los pedidos enviados por correo electrónico) - 44 193 empresas;
  • liquidaciones electrónicas con consumidores: 51.210 empresas;
  • distribución de productos electrónicos: 12.566 empresas;
  • servicio postventa (servicio) - 13 580 empresas.

El volumen y dinámica de los presupuestos de las autoridades ejecutivas federales para tecnologías de la información en 2016-2017

Según el Tesoro de la Federación, el monto total de los límites de las obligaciones presupuestarias para 2017, fue puesto en conocimiento de las autoridades ejecutivas federales (en adelante, el órgano ejecutivo federal) de acuerdo con el código de tipo de gasto 242 "Compra de bienes, obras, servicios en el campo de las tecnologías de la información y la comunicación "en términos de información que no constituye secreto de estado, al 1 de agosto de 2017 ascendía a 115,2 mil millones de rublos, que es aproximadamente un 5,1% más que el volumen total de los presupuestos para las autoridades ejecutivas federales de tecnología de la información en 2016 (109,6 mil millones de rublos, según el Ministerio de Telecomunicaciones y Comunicaciones Masivas). Por lo tanto, con el crecimiento continuo del volumen total de presupuestos de TI de los departamentos federales de año en año, la tasa de crecimiento disminuyó (en 2016, el volumen total de presupuestos de TI aumentó en un 8,3% en comparación con 2015). Donde Existe una estratificación cada vez mayor de "ricos" y "pobres" en términos de gasto en departamentos de tecnología de la información y las comunicaciones. El líder indiscutible no solo en términos del tamaño del presupuesto, sino también en términos del nivel de logros en el campo de las TI es el Servicio de Impuestos Federales. Su presupuesto de TIC este año es de más de 17,6 mil millones de rublos, que es más del 15% del presupuesto de todas las autoridades ejecutivas federales. La participación total de los cinco primeros (FTS, Fondo de Pensiones, Tesoro, Ministerio del Interior, Ministerio de Telecomunicaciones y Comunicaciones Masivas) - más del 53%.

Arroz. 5. Estructura de los gastos presupuestarios para la compra de bienes, obras y servicios en el campo de las tecnologías de la información y las comunicaciones en el contexto de los órganos ejecutivos federales en 2017,%

Regulación legislativa en el campo de la adquisición de software para necesidades estatales y municipales

Desde el 1 de enero de 2016, todos los organismos estatales y municipales, corporaciones estatales Rosatom y Roskosmos, órganos rectores de fondos estatales extrapresupuestarios, así como instituciones estatales y presupuestarias que realizan compras de acuerdo con los requisitos de la Ley Federal No. 44 de abril. 5, 2013 -FZ "Sobre el sistema contractual en el campo de la adquisición de bienes, obras, servicios para satisfacer las necesidades estatales y municipales" están obligados a cumplir con la prohibición de admisión de software originario de países extranjeros con el fin de realizar compras para satisfacer las necesidades estatales y municipales. La prohibición fue introducida por el Decreto del Gobierno de la Federación de Rusia de 16 de noviembre de 2015 No. 1236 "Sobre el establecimiento de una prohibición sobre la admisión de software procedente de países extranjeros con el fin de realizar compras para satisfacer las necesidades estatales y municipales . " Al comprar software, los clientes anteriores deben indicar explícitamente la prohibición de comprar software importado en el aviso de compra. La prohibición se aplica a la adquisición de software para computadoras y bases de datos electrónicas, implementado independientemente del tipo de contrato en un medio tangible y (o) en forma electrónica a través de canales de comunicación, así como los derechos exclusivos sobre dicho software y los derechos para usarlo. software.

Hay algunas excepciones en las que los clientes pueden comprar software importado.

  • compras de software y (o) derechos sobre el mismo por misiones diplomáticas y oficinas consulares de la Federación de Rusia, misiones comerciales de la Federación de Rusia con organizaciones internacionales para garantizar sus actividades en el territorio de un estado extranjero;
  • adquisición de software y (o) derechos sobre el mismo, información sobre la cual y (o) la adquisición de la cual constituye un secreto de estado.

En todos los demás casos, el cliente, antes de comprar el software, deberá trabajar con un registro unificado de programas rusos para computadoras y bases de datos electrónicas y un clasificador de programas para computadoras y bases de datos electrónicas.
El Ministerio de Telecomunicaciones y Comunicaciones Masivas de Rusia participa en la formación y mantenimiento del registro como organismo ejecutivo federal autorizado.
A finales de agosto de 2017, el registro contiene 343 productos de software que pertenecen a la clase de "herramientas de seguridad de la información" de 98 empresas de desarrollo rusas. Entre ellos se encuentran productos de software de importantes desarrolladores rusos como:

  • Sistemas de comunicación y tecnologías de la información (Infotecs) de la OJSC: 37 productos de software;
  • AO Kaspersky Lab: 25 productos de software;
  • Security Code LLC: 19 productos de software;
  • Crypto-Pro LLC: 18 productos de software;
  • Doctor WEB LLC - 12 productos de software;
  • LLC "S-Terra CSP" - 12 productos de software;
  • CJSC "Aladdin R.D." - 8 productos de software;
  • Infovatch JSC - 6 productos de software.

Análisis de las actividades de los mayores actores en el campo de la seguridad de la información

  • Como información principal para el análisis de las actividades de los mayores actores del mercado de la seguridad de la información, para la elaboración de este estudio se utilizó información sobre contratación pública en el ámbito de las actividades de información y comunicación y, en particular, la seguridad de la información.

Para analizar las tendencias, seleccionamos 18 empresas que se encuentran entre los líderes en el mercado de seguridad de la información y están involucradas activamente en la contratación pública. La lista incluye tanto a los desarrolladores de software y sistemas de protección de hardware y software, como a los integradores de sistemas más grandes. Los ingresos totales de estas empresas en 2016 ascendieron a 162,3 mil millones de rublos, superando el indicador de 2015 en un 8,7%.
A continuación se muestra una lista de empresas seleccionadas para el estudio.

Pestaña. 1. Empresas seleccionadas para la investigación

Nombre POSADA Tipo de actividad (OKVED 2014)
1 I-Teco, JSC 7736227885 Actividades relacionadas con el uso de computadoras y tecnología de la información, otras (62.09)
2 Croc Incorporated, JSC 7701004101
3 "Informzashita", CJSC NIP 7702148410 Investigación y desarrollo en ciencias sociales y humanidades (72.20)
4 Softline Trade JSC 7736227885
5 Technoserv AS, LLC 7722286471 Comercio al por mayor de otra maquinaria y equipo (46.69)
6 Elvis-plus, JSC 7735003794
7 Asteros, JSC 7721163646 Comercio al por mayor de ordenadores, periféricos a computadoras y software (46.51
8 "Compañía de producción Aquarius", LLC 7701256405
9 Lanit, JSC 7727004113 Comercio al por mayor de otra maquinaria y equipo de oficina (46.66)
10 Jet Infosystems ", JSC 7729058675 Comercio al por mayor de ordenadores, periféricos y software (46.51)
11 JSC "Dialogue Science" 7701102564 Desarrollo de software informático (62.01)
12 "Factor-TS", LLC 7716032944 Fabricación de ordenadores y equipos periféricos (26.20)
13 "InfoTeKS", OJSC 7710013769 Desarrollo de software informático (62.01)
14 "Ural Center for Security Systems", LLC 6672235068 Actividades en el campo de la arquitectura, la investigación en ingeniería y la prestación de asesoramiento técnico en estas áreas (71.1)
15 "ICEl-KPO VS", JSC 1660014361 Desarrollo de software informático (62.01)
16 NVision Group, JSC 7703282175 Comercio al por mayor no especializado (46,90)
17 "Integración segura", LLC 7811512250 Procesamiento de datos, hospedaje y actividades relacionadas (63.11)
18 "Kaluga astral", JSC 4029017981 Actividades de asesoramiento y trabajos en el campo de la tecnología informática (62,02

A fines de octubre de 2017, las empresas de la muestra presentada han celebrado 1.034 contratos con agencias gubernamentales por un monto de 24.6 mil millones de rublos. I-Teco es el líder en esta lista en términos de volumen de contratos concluidos: 74 contratos por valor de 7.5 mil millones de rublos.
En los últimos años, a excepción del año de crisis 2014, se puede observar un aumento constante en el volumen total de contratos de las empresas seleccionadas. La dinámica más significativa recae en el período 2015-2016. Entonces, en 2015, el volumen de contratos aumentó en más de 3.5 veces, en 2016, en 1.5 veces. Según los datos disponibles sobre las actividades contractuales de las empresas para el período de enero a octubre de 2017, se puede suponer que en 2017 el volumen total de contratos con agencias gubernamentales será de aproximadamente 37-38 mil millones de rublos, es decir, una disminución de alrededor Se espera un 40%.

La Encuesta global de riesgos de seguridad de TI corporativa de Kaspersky Lab es un análisis anual de las tendencias en la seguridad de la información corporativa en todo el mundo. Consideramos aspectos tan importantes de la ciberseguridad como el costo de la seguridad de la información, los tipos actuales de amenazas para varios tipos de empresas y las consecuencias financieras de enfrentar estas amenazas. Además, al obtener información de los ejecutivos sobre el presupuesto de seguridad de la información, podemos ver cómo las empresas de todo el mundo están respondiendo a los cambios en el panorama de amenazas.

En 2017, intentamos comprender si las empresas ven la ciberseguridad como una fuente de costos (un mal necesario por el que tienen que gastar dinero), o están comenzando a verlo como una inversión estratégica (es decir, un medio para asegurar la continuidad del negocio que proporciona beneficios significativos en una era de amenazas cibernéticas de rápido desarrollo).

Este es un tema muy importante, especialmente porque el presupuesto de TI ha disminuido en la mayoría de las regiones del mundo.

En Rusia, sin embargo, 2017 vio un ligero aumento en el presupuesto de seguridad promedio: 2%. El presupuesto medio de seguridad de la información en Rusia fue de unos 15,4 millones de rublos.

Este informe detalla los tipos de amenazas que enfrentan las empresas de todos los tamaños, así como los patrones en cómo se asignan los costos de TI.

Información general y metodología de la investigación

La Encuesta de riesgos de seguridad de TI corporativa global de Kaspersky Lab es una encuesta de los gerentes de TI en sus organizaciones que se ha realizado anualmente desde 2011.

Los datos más recientes se recopilaron en marzo y abril de 2017. Se entrevistó a un total de 5.274 encuestados de más de 30 países, empresas de diversos tamaños participaron en el estudio.

En ocasiones, en el informe se utilizan las siguientes designaciones: pequeña empresa: menos de 50 empleados, PYME (mediana y pequeña empresa: de 50 a 250 empleados) y gran empresa (empresas con una plantilla de 250 personas). El informe actual presenta un análisis de los parámetros más indicativos de la encuesta.

Principales conclusiones:

A las empresas de todos los tamaños les resulta más difícil hacer frente a las amenazas cibernéticas y los costos de protección también están aumentando. En Rusia, en el segmento de medianas y pequeñas empresas, el costo promedio de eliminar las consecuencias de un solo incidente cibernético es de 1,6 millones de rublos, mientras que para el segmento de grandes empresas los costos son de 16,1 millones de rublos.

La parte del presupuesto de TI dedicada a la seguridad de la información está creciendo. Esto es cierto para empresas de todos los tamaños. Al mismo tiempo, el monto total del presupuesto sigue siendo bajo, y en Rusia el crecimiento fue solo del 2%, por lo que los especialistas se ven obligados a realizar sus tareas con pocos recursos.

El daño causado por un solo incidente está creciendo, y las empresas que no priorizan los costos de seguridad de la información pueden enfrentar pronto desafíos importantes. El estudio mostró que en el segmento de las PYMES, las empresas gastan alrededor de RUB 300.000 por cada incidente de seguridad en beneficios adicionales para los empleados, mientras que las grandes corporaciones pueden gastar RUB 2,7 millones para reducir el daño a la marca.

Daños por incidentes de seguridad

El daño de los incidentes de ciberseguridad continúa creciendo, ya que las empresas tienen que lidiar con una gran cantidad de consecuencias, desde la divulgación pública adicional hasta la contratación de nuevos empleados. En 2017, hubo un aumento adicional de las pérdidas financieras en caso de violaciones de la integridad de los datos. Esto debería influir en el enfoque de este tema: las empresas dejarán de ver los costos de la ciberseguridad como un mal necesario y comenzarán a verlos como inversiones que evitarán pérdidas monetarias importantes en caso de un ataque.

Las violaciones graves de la integridad de los datos son cada vez más caras

La mayor preocupación de los CTO son los ataques masivos que filtran millones de registros. Estos fueron los ataques al Servicio Nacional de Salud del Reino Unido (NHS), Sony o el hack de HBO con la liberación de datos confidenciales relacionados con la serie "Juego de Tronos". En realidad, sin embargo, estos incidentes importantes son la excepción y no la regla. La mayoría de los ataques cibernéticos no aparecieron en los titulares hasta el año pasado y siguieron siendo dominio de informes especiales para especialistas. Por supuesto, las epidemias de ransomware han cambiado un poco la situación, pero aún el segmento corporativo del negocio no comprende el panorama completo.

El número relativamente pequeño de ciberataques conocidos a gran escala no significa que el daño de la mayoría de los ataques sea insignificante. Entonces, ¿cuánto gastan las empresas en promedio para corregir una infracción "típica" de la integridad de los datos? Les pedimos a los participantes de la encuesta que estimen cuánto gastó / perdió su empresa como resultado de cualquier incidente de seguridad ocurrido el año pasado.

Todas las empresas con 50 o más empleados debían estimar los costos incurridos en cada una de las siguientes categorías:

Para cada una de las categorías, calculamos los costos promedio incurridos por las empresas que enfrentan incidentes de seguridad de la información, y la suma de todas las categorías nos permitió estimar la cantidad de daño total causado por un incidente de seguridad de la información.

Los resultados para el segmento PYME y las grandes empresas se muestran a continuación por separado, ya que sus estadísticas difieren en muchos aspectos. Por ejemplo, el daño promedio para las pequeñas y medianas empresas rusas es de casi 1,6 millones de rublos, mientras que para las grandes empresas es casi diez veces mayor: 16,1 millones de rublos. Esto demuestra que los ciberataques son costosos para empresas de todos los tamaños.

No es de extrañar que las grandes empresas, en promedio, sufran más pérdidas cuando se viola la integridad de los datos, pero es interesante analizar la distribución de los daños por categoría.

El año pasado, los beneficios para empleados fueron el mayor gasto tanto para las PYMES como para las grandes empresas. Sin embargo, este año el panorama ha cambiado, con diferentes tipos de gastos convirtiéndose en los principales para empresas de distintos tamaños. Las pequeñas y medianas empresas siguen siendo las que más pierden en beneficios para empleados. Pero las grandes empresas comenzaron a invertir en relaciones públicas adicionales para reducir el daño a la reputación de la marca. Además, un elemento de costo significativo para las grandes empresas fue el costo de mejorar el equipo técnico y comprar software adicional.

Para todas las empresas, el costo de la formación de los empleados ha aumentado. Los incidentes de seguridad a menudo hacen que las empresas se den cuenta de la importancia de aumentar la alfabetización cibernética y mejorar la inteligencia sobre amenazas.

Los recursos internos más amplios de las grandes empresas y los detalles de la regulación de sus actividades determinan un equilibrio diferente entre los costos de eliminar la amenaza en sí y los costos de compensación por daños. El aumento de las primas de seguros, el deterioro de las calificaciones crediticias y el debilitamiento de la confianza en la empresa fueron una partida de gasto importante: en promedio, después de cada incidente grandes compañias perder alrededor de 2,3 millones de rublos en esto.

Nuestra investigación mostró que gran parte de los aumentos de costos se debieron a la necesidad de prevenir, o al menos reducir, las pérdidas de reputación en forma de calificación crediticia, imagen de marca y compensación.

Debido a la implementación generalizada de nuevas regulaciones, es probable que el daño promedio continúe creciendo, ya que las empresas tendrán que informar públicamente todos los incidentes y aumentar la transparencia de la protección de datos.

Tales tendencias son típicas, por ejemplo, en Japón, donde el costo promedio de eliminar las consecuencias de una violación de seguridad se ha más que duplicado: de $ 580,000 en 2016 a $ 1.3 millones en 2017. El gobierno japonés ha tomado medidas para endurecer los requisitos regulatorios en respuesta al aumento de las amenazas a la seguridad cibernética. En 2017 entraron en vigor nuevas leyes, lo que provocó un aumento repentino de los costes.

Sin embargo, el desarrollo y la implementación de leyes lleva tiempo. Con el panorama de TI corporativo en rápida evolución y la amenaza cibernética en evolución, el retraso regulatorio se está convirtiendo en un desafío importante. Por ejemplo, en 2015 se acordaron nuevas normas japonesas, pero su entrada en vigor tuvo que posponerse dos años completos. Para muchos, la demora tuvo un costo: durante los últimos dos años, varias grandes empresas japonesas fueron víctimas de costosos ataques. Un ejemplo es la empresa de viajes JTB Corp., que se enfrentó a una gran filtración en 2016. Se robaron 8 millones de datos de clientes, incluidos nombres, direcciones y números de pasaporte.

Este es uno de los síntomas de un problema global: las amenazas se están desarrollando rápidamente y la inercia de los gobiernos y las empresas es demasiado alta. Otro ejemplo de apretar los tornillos es el Reglamento Europeo de Protección de Datos (GDPR), que entra en vigor en mayo de 2018 y limita significativamente las formas aceptables de procesamiento y almacenamiento de datos de los ciudadanos de la UE.

Las leyes están cambiando en todo el mundo, pero no pueden mantenerse al día con las amenazas cibernéticas: tres oleadas de ransomware en 2017 recordaron esto en Rusia. Por lo tanto, las empresas deben tener en cuenta las imperfecciones legales y fortalecer la protección de acuerdo con las circunstancias reales, o tolerar el daño a la reputación y a los clientes con anticipación. Vale la pena prepararse para los nuevos requisitos reglamentarios sin esperar los plazos. Al cambiar las políticas después de que se hayan aprobado las leyes pertinentes, las empresas se arriesgan no solo a recibir multas, sino también a la seguridad de sus datos y de los de sus clientes.

No hay vulnerabilidades extrañas: los agujeros de protección de los socios son costosos

Para protegerse contra las fugas de datos, es muy importante comprender qué vectores de ataque utilizan los atacantes. A su vez, esta información lo ayudará a comprender qué tipos de ataques son los más costosos.

La encuesta mostró que los siguientes incidentes tuvieron las consecuencias financieras más graves para las empresas medianas y pequeñas:

  • Incidentes que afectan a la infraestructura alojada en equipos de terceros (17,2 millones de rublos)
  • Incidencias que afecten a terceros servicios en la nube utilizado por la empresa (3,6 millones de rublos)
  • Intercambio de datos inadecuado a través de dispositivos móviles (RUB 2,5 millones)
  • Pérdida física de dispositivos móviles, que expone a la organización a riesgos (2,1 millones de rublos)
  • Incidentes relacionados con dispositivos no informáticos conectados a Internet (por ejemplo, sistemas de control industrial, Internet de las cosas) (1,7 millones de rublos)

La situación con las grandes empresas es algo diferente:

  • Ataques dirigidos (75 millones de rublos)
  • Incidentes que afectan a servicios en la nube de terceros (19 millones de rublos)
  • Virus y malware (9 millones de rublos)
  • Intercambio de datos inadecuado a través de dispositivos móviles (7,3 millones de rublos)
  • Incidentes que afectan a proveedores con los que las empresas intercambian datos (4,4 millones de rublos)

A partir de estos datos, se puede ver que, muy a menudo, los ataques causados ​​por problemas de seguridad con socios comerciales cuestan a las empresas de todos los tamaños las más caras. Esto se aplica tanto a las organizaciones que alquilan la nube u otra infraestructura de proveedores externos como a las empresas que intercambian sus datos con socios.

Una vez que le da a otra empresa acceso a sus datos o infraestructura, sus debilidades se convierten en su problema. Sin embargo, ya hemos observado que la mayoría de las organizaciones no le dan suficiente importancia a esto. Por tanto, no es de extrañar que los incidentes de este tipo sean los más costosos: cualquier boxeador te dirá que es el golpe inesperado el que suele dejar fuera de combate.

También se nota inmediatamente otro vector que ha entrado inesperadamente en las 5 principales amenazas para las empresas medianas: los ataques relacionados con dispositivos conectados que no sean computadoras. Hoy en día, el tráfico de Internet de las cosas (IoT) está creciendo mucho más rápido que el tráfico generado por cualquier otra tecnología. Este es otro ejemplo de cómo los nuevos desarrollos están aumentando el número de vulnerabilidades potenciales en la infraestructura empresarial. En particular, el uso generalizado de contraseñas predeterminadas de fábrica y las funciones de seguridad débiles en los dispositivos de IoT los ha convertido en una trampa ideal para botnets como Mirai, malware que puede unir una gran cantidad de dispositivos vulnerables en una sola red para lanzar ataques DDoS a gran escala. contra objetivos seleccionados.

Se llama la atención sobre la cantidad de pérdida por ataques dirigidos en el segmento de grandes empresas; esta amenaza es extremadamente difícil de contrarrestar. En los últimos años, se han conocido una serie de ataques dirigidos de alto perfil contra los bancos, lo que también refuerza estas estadísticas decepcionantes.

Invertir en la reducción de riesgos

Como ha demostrado nuestra investigación, las amenazas a la seguridad de la información se están volviendo más serias. En estas condiciones, uno no puede dejar de preocuparse por el estado de los propios presupuestos de seguridad de la información. Al analizar sus cambios, podemos decidir si las organizaciones ven su seguridad como una fuente de costos o si el equilibrio está cambiando lentamente y están comenzando a ver un campo para las inversiones que brindan una ventaja competitiva real.

El tamaño del presupuesto muestra la actitud de la empresa hacia la seguridad informática, la importancia del papel del sistema de seguridad desde el punto de vista de la dirección y la disposición de la organización a asumir riesgos.

Presupuesto de seguridad de la información: la participación está creciendo, el "pastel" está disminuyendo

Este año, estamos viendo ahorros y la subcontratación ha llevado a reducir los presupuestos de TI. A pesar de esto (y quizás debido a esto), la proporción de seguridad de la información en estos presupuestos de TI ha aumentado. En Rusia, se puede observar una tendencia positiva en empresas de todos los tamaños. Incluso entre las microempresas que operan en condiciones de falta de recursos, la proporción de los presupuestos de TI dedicados a la seguridad de la información ha aumentado, aunque en una fracción de un porcentaje.

Esto significa que las empresas finalmente están comenzando a comprender la importancia de la seguridad de la información. Quizás esto muestre que la seguridad de la información comenzó a ser percibida por muchos como una inversión potencialmente útil y no como una fuente de costos.

Estamos viendo que en el mundo, los presupuestos de TI se reducen significativamente. Mientras que la seguridad cibernética está ganando una porción más grande del pastel, el pastel en sí se está reduciendo. La tendencia es preocupante, especialmente teniendo en cuenta lo mucho que está en juego en esta área y lo caro que es cada ataque.

En Rusia, el presupuesto promedio de seguridad de la información para las grandes empresas en 2017 alcanzó los 400 millones de rublos, y para las PYMES, 4,6 millones de rublos.

Muestra: 694 encuestados en Rusia capaces de evaluar el presupuesto

Como era de esperar, los proveedores de servicios gubernamentales (incluido el sector de defensa) y las instituciones financieras de todo el mundo reportan el gasto más alto en seguridad de la información este año. Las empresas de ambos sectores gastaron un promedio de más de 5 millones de dólares estadounidenses en seguridad. Cabe señalar que el sector de las tecnologías de la información y las telecomunicaciones, así como las empresas de la industria energética, también gastaron más que el promedio en seguridad de la información, aunque sus presupuestos resultaron estar más cerca de los $ 3 millones, y no de los $ 5.

Sin embargo, si divide el costo total por el número de empleados, las organizaciones gubernamentales se mueven hacia el final de la lista. En promedio, TI y telecomunicaciones gastan $ 1258 per cápita en ciberseguridad, mientras que el sector energético gasta $ 1344 y las compañías financieras $ 1436. En comparación, las agencias gubernamentales asignan solo US $ 959 por persona para la ciberseguridad.

Tanto en el segmento de TI y telecomunicaciones como en la industria de suministro de energía, los altos costos por empleado probablemente estén asociados con la necesidad de proteger la propiedad intelectual, que es especialmente urgente en estos sectores de la economía. En el caso de las empresas de servicios públicos, los altos costos de protección también pueden deberse al hecho de que estas empresas son cada vez más vulnerables a los ataques dirigidos por grupos malintencionados.

En esta industria, la inversión en seguridad de la información es esencial para la supervivencia porque la continuidad del negocio es fundamental para el suministro de energía. Las consecuencias de un ciberataque exitoso en esta industria son especialmente difíciles, por lo que las inversiones en seguridad de la información adquieren beneficios muy tangibles.

En Rusia, las TI y las telecomunicaciones se invierten principalmente en seguridad de la información, así como en empresas industriales: el costo promedio para el primero alcanza los 300 millones de rublos, para el segundo, 80 millones de rublos. Las empresas industriales y de fabricación tienden a confiar en sistemas automatizados sistema de gestión (ICS) para garantizar la continuidad de los procesos de producción. Al mismo tiempo, los ataques a ICS están aumentando en número: durante los últimos 12 meses, su número ha crecido en un 5%.

Razones para invertir en seguridad de la información

La distribución de los montos de las inversiones en seguridad de la información entre sectores es muy grande. Por tanto, es especialmente importante conocer las razones que inducen a las empresas a gastar recursos limitados en seguridad de la información. Sin conocer los motivos, es imposible entender si la empresa considera que el dinero gastado en la seguridad de la infraestructura de TI es un desperdicio o lo considera una inversión rentable.

En 2017, muchas más empresas de todo el mundo admitieron que iban a invertir en ciberseguridad independientemente del rendimiento esperado de la inversión: 63%, frente al 56% en 2016. Esto demuestra que cada vez más empresas comprenden la importancia de la seguridad de la información.

Las principales razones del aumento del presupuesto de seguridad de la información, Rusia

No todas las empresas esperan un rápido retorno de la inversión, pero muchas empresas globales citaron la presión de las partes interesadas clave, incluida la alta dirección de la empresa (32%), como la razón del aumento en los presupuestos de seguridad de la información. Esto demuestra que las empresas están comenzando a ver su ventaja estratégica en el crecimiento de los costos de seguridad de la información: las medidas de seguridad permiten no solo protegerse en caso de un ataque, sino también demostrar a los clientes que sus datos están en buenas manos, también. como para asegurar la continuidad del negocio, en el que está interesada la dirección de la empresa. ...

La razón más popular para aumentar el costo de la seguridad de la información la mayoría de las empresas nacionales mencionó la necesidad de proteger una infraestructura de TI cada vez más compleja (46%), y la necesidad de mejorar las calificaciones de los expertos en seguridad de la información señaló un 30%. Estos números indican la necesidad de mejorar el nivel de experiencia disponible para la empresa mediante el desarrollo de las habilidades de sus propios empleados. De hecho, tanto las pequeñas como las medianas y grandes empresas están invirtiendo cada vez más en apoyar a su fuerza laboral interna en la lucha contra las amenazas cibernéticas.

Al mismo tiempo, la necesidad de aumentar los costos de seguridad de la información debido a las nuevas operaciones comerciales o la expansión de la empresa entre las empresas rusas ha disminuido: del 36% el año pasado al 30% en 2017. Quizás refleje los factores macroeconómicos que nuestras empresas han tenido que afrontar recientemente.

Conclusión

Los ataques masivos como WannaCry, exPetr y BadRabbit causaron daños masivos en 2017. El daño también es grande debido a los ataques dirigidos, en particular a los bancos rusos. Todo esto demuestra que el panorama de las amenazas cibernéticas está cambiando rápida e inevitablemente. Las empresas tienen que adaptar sus defensas o quedar fuera del negocio.

Un factor cada vez más significativo en la toma de decisiones comerciales es la diferencia entre el costo de prepararse para defenderse de los ciberataques y los costos en los que incurre la víctima.

El informe muestra que incluso las brechas de datos relativamente pequeñas que no son de interés para el público en general pueden ser muy costosas para una empresa y afectar seriamente sus operaciones. Otro motivo del aumento de costes en caso de incidentes de seguridad son los cambios en la legislación en todo el mundo. Las empresas tienen que adaptarse o arriesgarse tanto al incumplimiento como a una posible piratería.

En estas circunstancias, se vuelve especialmente importante considerar todas las consecuencias y costos. Quizás por eso cada vez más empresas de diferentes paises aumentar la participación de la seguridad de la información en sus presupuestos de TI. En 2017, muchas más empresas de todo el mundo admitieron que iban a invertir en ciberseguridad independientemente del rendimiento esperado de la inversión: 63%, frente al 56% en 2016.

Lo más probable es que, debido al daño creciente de los incidentes de ciberseguridad, aquellas organizaciones que consideran los costos de TI como inversiones en seguridad y están listas para gastar fondos significativos en ellos, estarán mejor preparadas para posibles problemas. ¿Cuál es la situación en su empresa?

¿Cómo justificar el costo de la seguridad de la información?

Reproducido con amable permiso. Confianza en Internet de OJSC InfoTeKS
El texto original se encuentra aquí.

Niveles de madurez de la empresa

El Grupo Gartner identifica 4 niveles de madurez empresarial en términos de seguridad de la información (SI):

  • Nivel 0:
    • Nadie está involucrado en la seguridad de la información en la empresa, la gerencia de la empresa no se da cuenta de la importancia de los problemas de seguridad de la información;
    • No hay financiación disponible;
    • IB está implementado medios regulares sistemas operativos, DBMS y aplicaciones (protección por contraseña, diferenciación de acceso a recursos y servicios).
  • 1er nivel:
    • El SI es considerado por la gerencia como un problema puramente "técnico", no existe un programa único (concepto, política) para el desarrollo del sistema de seguridad de la información (ISS) de la empresa;
    • La financiación está dentro del presupuesto general de TI;
    • IS se implementa mediante nivel cero + medios Reserva copia, herramientas antivirus, cortafuegos, medios de organización de VPN (medios tradicionales de protección).
  • 2do nivel:
    • El SI es considerado por la gerencia como un complejo de medidas organizativas y técnicas, existe un entendimiento de la importancia del SI para los procesos productivos, existe un programa para el desarrollo del ISIB de la empresa aprobado por la gerencia;
    • IS se implementa mediante el primer nivel + medios de autenticación fuerte, medios de análisis de mensajes de correo y contenido web, IDS (sistemas de detección de intrusos), herramientas de análisis de seguridad, SSO (medio de autenticación única), PKI (infraestructura claves públicas) y medidas organizativas (auditoría interna y externa, análisis de riesgos, política de seguridad de la información, normativas, procedimientos, normativas y directrices).
  • Nivel 3:
    • SI es parte de la cultura corporativa, designado por CISA (oficial senior de seguridad de la información);
    • La financiación se proporciona con un presupuesto separado;
    • El SI se implementa mediante el segundo nivel + sistemas de gestión de SI, CSIRT (equipo de respuesta a violaciones de SI), SLA (acuerdo de nivel de servicio).

Según el Grupo Gartner (datos de 2001), el porcentaje de empresas en relación a los 4 niveles descritos es el siguiente:
Nivel 0 - 30%,
1er nivel - 55%,
2do nivel - 10%,
3er nivel - 5%.

La perspectiva para 2005 del Grupo Gartner es la siguiente:
Nivel 0 - 20%,
1er nivel - 35%,
2do nivel - 30%,
Nivel 3 - 15%.

Las estadísticas muestran que la mayoría de las empresas (55%) en en la actualidad introdujo el conjunto mínimo requerido de medios técnicos tradicionales de protección (nivel 1).

Al implementar diversas tecnologías y medios de protección, a menudo surgen preguntas. ¿Qué implementar primero, sistema de detección de intrusos o infraestructura PKI? ¿Qué será más efectivo? Stephen Ross, director de Deloitte & Touche, propone el siguiente enfoque para evaluar la eficacia de las medidas y los medios de seguridad individuales.

En base al gráfico anterior se puede apreciar que las más caras y menos efectivas son las herramientas especializadas (desarrollos propios o personalizados).

Los más caros, pero al mismo tiempo, los más efectivos son la protección de la 4ª categoría (nivel 2 y 3 según el Grupo Gartner). Para implementar esta categoría de fondos, es necesario utilizar el procedimiento de análisis de riesgo. El análisis de riesgos en este caso permitirá garantizar la adecuación de los costos de implementación a las amenazas existentes de violación de SI.

Las más económicas, pero con un alto nivel de eficiencia, son las medidas organizativas (auditoría interna y externa, análisis de riesgos, política de seguridad de la información, plan de continuidad del negocio, normativas, procedimientos, normativas y lineamientos).

La introducción de medios de protección adicionales (transición a los niveles 2 y 3) requiere importantes inversiones financieras y, en consecuencia, una justificación. La ausencia de un programa unificado para el desarrollo del SGSI, aprobado y firmado por la dirección, agrava el problema de justificar las inversiones en seguridad.

Análisis de riesgo

Los resultados del análisis de riesgo y las estadísticas acumuladas sobre incidentes pueden servir como tal justificación Los mecanismos para implementar el análisis de riesgo y acumular estadísticas deben estar detallados en la política de seguridad de la información de la empresa.

El proceso de análisis de riesgos consta de 6 pasos secuenciales:

1. Identificación y clasificación de objetos de protección (recursos de la empresa a proteger);

3. Construir un modelo del atacante;

4. Identificación, clasificación y análisis de amenazas y vulnerabilidades;

5. Evaluación de riesgos;

6. La elección de medidas organizativas y medios técnicos de protección.

En el escenario identificación y clasificación de objetos protegidos es necesario realizar un inventario de los recursos de la empresa en las siguientes áreas:

  • Recursos informativos(información confidencial y crítica de la empresa);
  • Recursos de software (SO, DBMS, aplicaciones críticas, como ERP);
  • Recursos físicos (servidores, estaciones de trabajo, equipos de redes y telecomunicaciones);
  • Recursos de servicio ( Correo electrónico, www, etc.).

Categorización es determinar el nivel de confidencialidad y criticidad del recurso. La confidencialidad se refiere al nivel de secreto de la información que almacena, procesa y transmite el recurso. Se entiende por criticidad el grado de influencia del recurso en la eficiencia del funcionamiento de los procesos productivos de la empresa (por ejemplo, en caso de parada de los recursos de telecomunicaciones, la empresa proveedora puede quebrar). Al asignar ciertos valores cualitativos a los parámetros de confidencialidad y criticidad, se puede determinar el nivel de importancia de cada recurso en términos de su participación en los procesos productivos de la empresa.

Para determinar la importancia de los recursos de la empresa desde el punto de vista de la seguridad de la información, se puede obtener la siguiente tabla:

Por ejemplo, los archivos con información sobre el nivel salarial de los empleados de la empresa tienen el valor "estrictamente confidencial" (parámetro de confidencialidad) y el valor "insignificante" (parámetro de criticidad). Sustituyendo estos valores en la tabla, puede obtener un indicador integral de la importancia de este recurso. En la norma internacional ISO TR 13335 se dan diferentes variantes de métodos de categorización.

Construyendo un modelo de atacante es el proceso de clasificar a los infractores potenciales por los siguientes parámetros:

  • Tipo de atacante (competidor, cliente, desarrollador, empleado de la empresa, etc.);
  • La posición del atacante en relación con los objetos de protección (internos, externos);
  • El nivel de conocimiento sobre los objetos de protección y el medio ambiente (alto, medio, bajo);
  • El nivel de oportunidades de acceso a los objetos protegidos (máximo, promedio, mínimo);
  • Tiempo de acción (constantemente, en determinados intervalos de tiempo);
  • Ubicación (ubicación asumida del atacante durante el ataque).

Al asignar valores cualitativos a los parámetros enumerados del modelo del atacante, es posible determinar el potencial del atacante (una característica integral de las capacidades del atacante para implementar amenazas).

Identificación, clasificación y análisis de amenazas y vulnerabilidades le permiten determinar las formas de implementar ataques a los objetos de protección. Las vulnerabilidades son propiedades de un recurso o su entorno que un atacante utiliza para implementar amenazas. La lista de vulnerabilidades de los recursos de software se puede encontrar en Internet.

Las amenazas se clasifican de acuerdo con los siguientes criterios:

  • nombre de la amenaza;
  • tipo de atacante;
  • medios de implementación;
  • vulnerabilidades explotadas;
  • acciones realizadas;
  • frecuencia de implementación.

El parámetro principal es la frecuencia de implementación de la amenaza. Depende de los valores de los parámetros "potencial atacante" y "seguridad de los recursos". El valor del parámetro "seguridad de los recursos" se determina mediante evaluaciones de expertos. Al determinar el valor del parámetro, se tienen en cuenta los parámetros subjetivos del atacante: motivación para la implementación de la amenaza y estadísticas de intentos de implementar amenazas de este tipo (si las hubiera). El resultado de la etapa de análisis de amenazas y vulnerabilidades es una evaluación del parámetro de "frecuencia de implementación" para cada una de las amenazas.

En el escenario evaluaciones de riesgo Se determina el daño potencial de las amenazas de violaciones a la seguridad de la información para cada recurso o grupo de recursos.

El indicador cualitativo de daño depende de dos parámetros:

  • La importancia del recurso;
  • La frecuencia de la amenaza a este recurso.

Sobre la base de las evaluaciones de daños obtenidas, se seleccionan razonablemente las medidas organizativas adecuadas y los medios técnicos de protección.

Acumulación de estadísticas de incidentes

La única vulnerabilidad en la metodología propuesta para evaluar el riesgo y, en consecuencia, que justifica la necesidad de introducir nuevas tecnologías de protección o cambiar las existentes, es la definición del parámetro "frecuencia de realización de la amenaza". La única forma de obtener valores objetivos para este parámetro es acumular estadísticas sobre incidentes. Las estadísticas acumuladas, por ejemplo, durante un año nos permitirán determinar el número de amenazas (de cierto tipo) por recurso (de cierto tipo). Es recomendable trabajar en la acumulación de estadísticas en el marco del procedimiento de manejo de incidentes.