5 способов обосновать бюджет на ИБ
21 сентября, 2022 по
5 способов обосновать бюджет на ИБ
Кот ИБ
| Комментариев пока нет

Бюджет на информационную безопасность – одна из центральных тем обсуждения с руководством. Запланировать расходы на ИБ и обосновать их – это только половина дела. Далеко не все факторы, принимаемые в расчет финансовым руководством, поддаются влиянию руководителя службы ИБ. Поэтому важно правильно подать правильно информацию руководству и учитывать некоторые тонкости и культуру бюджетирования, сформировавшуюся в компании.

Что же такое бюджет на информационную безопасность и что он в себя обычно включает?

В большинстве IT-компаний бюджетирование — это культурный процесс. Культура бюджетирования в компаниях разная, и особенности сильно зависят от специфики компании и сложившихся отношений между отделами.

Как правило, планирование бюджета начинается осенью, хотя некоторые компании имеют другие отчетные периоды, например, работающие на государственный сектор подстраиваются под сроки принятия решений по проектам со своими особенностями.

У опытного CISO планы по тратам расписаны на 5 лет вперед, причем в нескольких вариантах. В бюджет обычно входит:

  • Продление лицензий, поддержки, подписок на те средства защиты, которые уже куплены. Как правило, обосновать продление гораздо проще, чем закупить новое.

  • На основе прогнозов о том, сколько в реальности могут выделить, определяется, сколько останется «на развитие», и на основе этой суммы и планов расставляются приоритеты по наиболее эффективному использованию средств.

Чем руководствуется финансовый менеджмент, принимая решение о формировании бюджета по количественному признаку (например, +10% от прошлогоднего)? Меняется модель угроз, поверхность атак, риски. Насколько обосновано выделение бюджета не по качественным критериям, а по отношению к прошлому периоду? Проблема как обычно в том, что информационная безопасность оперирует вещами, малопонятными для собственников бизнеса. В случае, когда бюджет запрашивает отдел продаж, результат увеличения бюджета относительно легко измерим и поэтому объясним, особенно когда он выражается в показателях операционной деятельности компании. Если в компании нет высокой степени «зарегулированности», напрямую влияющей на результаты в форме, например, штрафов, то объяснить изменение бюджет бывает весьма сложно.

Какую цену включать в бюджет – от производителя или уже цену интегратора со всеми скидками и акциями? Первое позволяет продемонстрировать «экономию» средств, второе – упростит согласование суммы. В любом случае, даже при планировании по ценам вендора возможны скидки и уступки, рассрочки.

Эффективное бюджетирование – это искусство. В нем есть свои тонкости:

  • Как правило, если бюджет составлен и одобрен, то чем раньше деньги будут потрачены, тем лучше. После 2 и 3 квартала в компании могут появиться боле срочные и важные расходы, на которые пустят уже одобренный бюджет.

  • В тот момент, когда придет необходимость в действительности тратить выделенные средства, необходимость придется доказывать снова.

  • Попытки сократить бюджет, начиная со 2 квартала, со стороны финансовых подразделений. Как правило, с этим борются, закладывая бюджетный «люфт». Но постепенно бизнес к этому привыкает.

При обосновании бюджета следует принимать в расчет и аргументацию то, что происходит с другими компаниями, имеющиеся тенденции в ландшафте безопасности.

При обосновании бюджета на каждую позицию расходов желательно иметь по несколько резервных вариантов для обеспечения свободы действий.

Как происходит процедура бюджетирования?

В разных компаниях процедура своя. Где-то необходима презентация для руководства, где-то утверждение происходит формально и в аргументацию никто не вникает. Работа с лицами, принимающими решения по бюджету индивидуальна. Необходимо учитывать, какой метод подачи информации предпочитает руководство и подстраиваться под него.

При планировании трат следует учитывать, что даже бесплатные решения (open source) требуют ресурсов на внедрение, настройку, сопровождение, интеграцию, причем часто большие по сравнению с коммерческими продуктами, хотя и они в этом отношении не бесплатны.

При рассмотрении бюджета финансовое руководство принимает во внимание множество факторов, помимо аргументации руководителя ИБ: прогнозируемые финансовые потоки, риски, планы развития. Многое из этого находится вне области контроля отдела безопасности и при всей стройности обоснования бюджета он может быть все равно не одобрен вследствие других факторов.

Как обосновать бизнесу необходимость вложений в IT и ИБ?

Если спросить у бизнес-подразделений, какие риски у них есть по информационной безопасности, то любое скажет, что никаких рисков нет. При аргументации следует исходить из проблем и рисков приостановки деятельности, а не инцидентов ИБ, их вызвавших.  Лучше предлагать бизнесу решение проблем и выгоды, а не запугивать рисками.

Для усиления своих позиций при обосновании бюджетов необходимо найти единомышленников со схожими интересами и потребностями. ИБ оказывает некие корпоративные услуги, и потребителями этих услуг могут быть самые разные подразделения, с которыми желательно «дружить». Без этого служба ИБ быстро превратится в источник негативных новостей, постоянно требующий денег.

Как доказывать эффективность произведенных расходов?

Стратегия «залить» информационную безопасность деньгами не работает. Эффективность защиты далеко не всегда находится в прямой зависимости от размера выделенных на нее средств.

В целом, информировать руководство о ходе дел в информационной безопасности – хорошая и полезная практика. Бюджет здесь – не исключение. В оценке эффективности внедрения средств снижения рисков (что обычно имеет место в ИБ) следует быть очень осторожными. Поскольку риски невозможно снизить до нуля, этот момент необходимо каждый раз при отчетах руководству подчеркивать. Если в компании есть работающая система оценки рисков, задача упрощается, и руководству это понятно. Для бизнеса важно, чтобы вложения приносили результат больший, чем сами вложения.

Что в итоге?

Для того, чтобы повысить шансы на успешное согласование бюджета,

  • говорите с бизнесом на одном языке. Не все умеют это делать, но это важно. Это soft skill, которыми должен обладать хороший руководитель по ИБ.

  • ищите союзников в других подразделениях, которым будет выгодно внедрение выбранного решения. Это усилит позиции перед руководством.

  • составьте понятную модель угроз. Понятную – это значит, что угрозы должны быть сформулированы в терминах негативных последствий для бизнеса, а не в абстрактных терминах нарушения конфиденциальность, целостности, доступности.

  • не занимайтесь исключительно запугиванием. Бизнес ищет в первую очередь возможности и выгоды, а не уход от рисков. Стратегия запугивания заманчива, но к ней бизнес быстро приобретает иммунитет и начинает избегать взаимодействия.

  • презентуйте результаты, готовьте отчеты, кейсы, разборы инцидентов. Бизнес должен видеть, что вы работаете и это приносит какие-то результаты. «Продавать» ИБ бизнесу, используя стратегии маркетинга, часто является выигрышной стратегией.

  • обучайте лиц, принимающих решения, основам ИБ. Делать это можно в формате очень коротких презентаций, раскрывающих отдельные темы, но это очень упрощает взаимопонимание.

  • повышайте значимость и авторитет ИБ, чтобы повышать доверие к себе. Без этого бюджет согласовывать будет очень тяжело.

Смотрите запись эфира и подписывайтесь на наш канал Полосатый ИНФОБЕЗ

 
 

5 способов обосновать бюджет на ИБ
Кот ИБ 21 сентября 2022 г.
Поделиться этой записью
Войти оставить комментарий