«Есть в графском парке чёрный пруд…» или Один раз внедри, пять раз поддержи

BIS Journal №2(49)2023

28 апреля, 2023

«Есть в графском парке чёрный пруд…» или Один раз внедри, пять раз поддержи

У большинства компаний постоянно появляются новые идеи и проекты, и от подразделений ИТ и ИБ как от инструментов бизнеса ожидается всецелая их поддержка. Если инициатива по-настоящему серьёзна и имеет большую важность для компании, на её реализацию могут быть выделены огромные средства, часть от которых, безусловно, идёт и на выполнение требований информационной безопасности.

Как это часто бывает, большие и серьёзные проекты нужно закончить «ещё вчера», и руководство готово к серьёзным затратам, чтобы это «вчера» наступило как можно быстрее: выделяются деньги на железо, софт, новую команду (или подрядчика), призванных обеспечить должный уровень проектирования и внедрения. Порой в результате подобных грандиозных усилий получается создать действительно неплохую ИT-систему. Что же может пойти не так?

К сожалению, очень часто «что-то не так» оказывается с поддержкой. Астрономические бюджеты без проблем тратятся на начальные стадии проекта, а после внедрения его просто кидают на плечи существующих ИТ- и ИБ-команд по принципу «Ну, мы тут внедрили, а вы там как-нибудь разбирайтесь». Практика показывает, что «как-то разбираться» в лучшем случае получается с трудом, а в худшем — не получается вообще.

При этом нужно отдавать себе отчёт в том, что поддержка — «удовольствие» весьма дорогое и продолжительное по времени. Нельзя просто выкопать большой пруд, засадить его лилиями и ожидать, что он всегда будет опрятным и цветущим: без регулярного обслуживания очень скоро цвести в нём будут только малоприятного вида водоросли. Точно так же и ИT-системы без регулярной поддержки довольно быстро превращаются в болото. И задачи ИБ не исключение.

При планировании проекта часто учитываются расходы на поддержку оборудования и приложений у сторонних вендоров, гораздо реже — затраты собственных ИT-подразделений на обслуживание дополнительной инфраструктуры, и почти никогда — затраты подразделений ИБ на обеспечение требований безопасности. А между тем каждый новый источник данных и каждое новое правило в SIEM, каждый новый хост в сканере уязвимостей, каждый новый подключённый к средствам защиты информации элемент сети требует регулярной проверки и, при необходимости, исправления обнаруженных проблем. И если проверка часто довольно хорошо поддаётся автоматизации, то вот анализ и исправление выявленных проблем обычно требуют человеческого вмешательства и могут занимать ощутимое время. А взять эти человеко-часы (а то и человеко-дни!) негде, потому что при планировании проекта эти затраты нигде не были учтены.

Вот и получается, что в проектных документах у нас нарисован красивый пруд, который спустя полгода после внедрения превращается в яму с водой, а спустя один-два года — в цветущую лужу с характерным болотным запахом. И как же так получилось? Удивительный вопрос — настоящая загадка, которая так и будет переходить из проекта в проект, пока затраты на поддержку и ИТ, и ИБ его составляющих не начнут учитываться на этапе планирования его бюджета. И затраты эти, к слову, весьма немаленькие: их оценивают от 5 до 20 (а то и больше!) процентов в год от изначальной стоимости внедрения.

Стать автором BIS Journal

Смотрите также

Подписаться на новости BIS Journal / Медиа группы Авангард

Подписаться
Введите ваш E-mail

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных

04.10.2024
Ответственен ли TikTok за влияние на выборы? Узнаем в ноябре
04.10.2024
Банки смогут блокировать вызывающие подозрение операции с цифровым рублём
04.10.2024
Роскомнадзор присмотрится к серийной передаче ПДн россиян за рубеж
04.10.2024
Банк России: НСПК — арбитр в системе универсального QR-кода
04.10.2024
Технология NASA позволит обмениваться HD-видео с марсианами
03.10.2024
ООО на смарт-контрактах. Минфин даст дорогу киберпредпринимателям
03.10.2024
Банк России прописал требования по работе с ГИС электронного правительства
03.10.2024
В госсекторе удвоился спрос на серверы для работы с ИИ
03.10.2024
Банкиры будут проверять ментальное состояние потенциальных заёмщиков?
03.10.2024
Девиз кибергода в Европе — ThinkB4UClick. На повестке — борьба с социнженерами

Стать автором BIS Journal

Поля, обозначенные звездочкой, обязательные для заполнения!

Отправляя данную форму вы соглашаетесь с политикой конфиденциальности персональных данных