Как сокращение бюджетов повлияет на ИБ в условиях пандемии?

Пандемия коронавируса и всеобщий режим самоизоляции сильно ударили по бизнесу: доходы падают, зарплаты платить надо, внеплановый перевод всех бизнес-процессов в удалённый режим сильно ударил по карману и безопасности. Как сокращение бюджета может сказаться на ИБ рассказал бизнес-консультант по безопасности Cisco Алексей Лукацкий в эфире программы «ИБшник на удалёнке». 

По словам Алексея, пока нет сильных сокращений бюджета на ИБ, но в некоторых компаниях безопасникам всё же руководство дало понять, что нужно подтянуть пояса, так как безопасность в явном виде не является доходогенерирующим направлением. И многие проекты откладываются на полгода или на год, до лучших времён. 

С другой стороны, многие компании сейчас начинают активно инвестировать в тему удалённого доступа — это не только VPN функциональность, но и защита корпоративных домашних ноутбуков. Сейчас эти инвестиции не очень значительные, потому что многие вендора предоставляют свои решения бесплатно на 3-6 месяцев. Но когда эти триальные лицензии закончатся, встанет вопрос о продолжении работы и покупки лицензии. «Я не думаю, что за 3 месяца ситуация сильно изменится — многие будут сидеть до конца лета на такого рода удалённой работе. Безопасникам придётся задумываться о том, что надо уже выбивать деньги именно на продление этих лицензий для удалённого доступа. И, соотвественно, это такой новый блок задач, который раньше далеко не все обеспечили. Потому что когда генеральный директор со своего айфона подключается к почте, это не совсем удалённый доступ, то есть это неполноценный проект. Вот когда бухгалтер, работая из дома, подключается к 1С и делает всё то же самое, что он делал из офиса, в том числе и электронная подпись и так далее, вот это полноценный проект. И он немного меняет приоритеты и технологические решения. Вот это, наверно, сейчас такой проект номер один для многих», — отметил Алексей Лукацкий. 

Вторая тема, которую он затронул в связи с урезанием бюджетов, — безопасники начинают спрашивать, как им обосновать свою работу, как им обосновать свою необходимость для компании. Потому что сокращают не только бюджеты, сокращают ещё непрофильные активы, непрофильные виды бизнеса, в том числе людей, которые только тратят, а не приносят денег. И безопасники, к сожалению, выполняя очень важную роль внутри компании, делают это как правило незаметно. То есть чем незаметнее роль безопасника, тем он считает, что он работает лучше. «Но сейчас в условиях кризиса эта незаметность играет против безопасника. То есть безопаснику надо показывать, что он не просто тратит деньги на что-то, не просто выполняет требования регуляторов, а он реально приносит компании деньги либо экономит эти деньги. Если безопасник не научится этому, то его сократят, и вопрос о бюджете у него даже никогда и не встанет», — считает эксперт. 

Ну и третий блок — начинает подниматься тема веб-безопасности. Она и раньше была достаточно активной, но сейчас в условиях перехода на дистанционную работу, на дистанционные продажи сервисов и услуг возникает задача бесперебойного функционирования веб-сайтов, чтобы потребитель, клиент мог всегда днём и ночью заказать товар, оплатить его и оформить доставку. Соответственно безопасность веб-сайтов становится важной темой для многих. 

Вместе с тем вопрос о бюджетах на новые решения уже известен компаниям сейчас, потому что они сами вместе с ИБ-специалистами и ИТ-специалистами принимали решение о переходе на удалёнку и использовании бесплатных триальных ключей. «Поэтому такого экстренного перераспределения нет, надо просто уже сейчас задумываться о том, как надо будет оплачивать эти ключи и другие решения, когда закончатся триалки в конце года. И поскольку это конец года, для многих есть возможность уже сейчас начать прорабатывать этот бюджет: что будет в следующем году», — отметил Алексей Лукацкий. 

Ссылаясь на мнение ряда экспертов-эпидемиологов, он также добавил, что в 2021 году будет какая-нибудь очередная версия этого коронавируса. Поэтому компании не должны это рассматривать как экстренную ситуацию, которая не повторится, а скорее — как некий элемент business continuity. И они должны быть готовы к нему в следующем году, может быть, через год. Это коренным образом будет менять бюджетирование вообще и архитектуру безопасности в компании, ИТ-шную архитектуру и так далее.

20 апреля, 2020