Исследование: несоблюдение правил безопасности намного дороже, чем соблюдение

02.02.2011

Вернуться к списку новостей Исследование Ponemon Institute показывает, что общая стоимость несоблюдения правил безопасности в два с половиной раза превышает стоимость их соблюдения.

Если ты сомневаешься в том, выгодно ли с финансовой точки зрения соблюдать правила безопасности, или нет, подумай дважды, потому что расходы организаций, не соблюдающих правила безопасности, в среднем превышают расходы организаций, их соблюдающих, в 2.65 раза.

Исследование Ponemon Institute, которое было проведено по заказу Tripwire и в котором участвовали 46 крупных фирм на протяжении 12 месяцев выяснило, что соблюдение правил безопасности стоит в среднем 3.5 миллиона долларов, а несоблюдение правил может привести к увеличению затрат до 9.4 миллионов долларов, включая повышение расходов из-за разрушения бизнеса, снижения продуктивности и штрафов. Ponemon провели сравнительное исследование организаций, принадлежащих разным индустриям (ни одна из которых не являлась клиентом Tripwire) и опросили около 160 руководителей данных организаций.

Согласно докладу, компании потратили от 446 тысяч до 16 миллионов долларов за этот период, самые большие затраты пришлись на защиту данных. Технологии защиты данных и ответная реакция на происшествия вылились для предприятий в самые большие счета.

При несоблюдении предприятиями безопасности, затраты на восстановление бизнеса и из-за снижения продуктивности привели к наибольшим затратам – в среднем 3.2 миллиона и 2.4 миллиона долларов соответственно.

"Затраты при несоблюдении нужных мер безопасности все еще выше, чем при их соблюдении", - сказал вице-президент по разработке стратегий Tripwire Река Шеной. "И цена за несоблюдение правил безопасности растет вместе с ростом компаний".

Глава и основатель Ponemon Institute Ларри Понемон сказал, что он надеется, что статистика затрат, приведенная в докладе, улучшит безопасность в сфере информационных технологий и даст специалистам больше денег для обеспечения безопасности в своих организациях. "Компании, которые инвестируют в свои системы обеспечения безопасности - в такие, как регулярные проверки, применение технологий, обучение персонала и операционные процессы, добьются успеха в снижении риска и поймут, что расходы на предотвращение и снижение угроз окупаются", - сказал он.

Согласно данным доклада, организации, которые проводят от 3 до 5 проверок в год, тратят меньше всего – примерно 154 доллара на человека, в то время как фирмы, не проводящие внутренних проверок, тратят больше всех – 341 доллар на человека. В общем, 28 процентов организаций сказали, что не проводят внутренних проверок, а 11 процентов предприятий проводят более 5 проверок в год.

"Вопрос состоит не в том, должен ли я соблюдать правила безопасности, а в том, как я могу снизить расходы на то, чтобы соблюдать правила безопасности", -  говорит Джошуа Корман, директор по исследованиям практической безопасности The 451 Group. "Как могу я сократить расходы на соблюдение безопасности и при этом сэкономить деньги и время, чтобы сфокусироваться на том, что выходит за рамки соблюдения безопасности?... Атакующий будет знать, что вы соблюдаете меры, и вы будете ему неинтересны".

В Ponemon измерили силы и средства обеспечения безопасности предприятий по шкале эффективности этих самых средств, и результаты показали, что предприятия с лучшим уровнем безопасности или лучшим результатом по шкале реже не соблюдают условия обеспечения безопасности, чем другие. Поэтому чем больше тратится на соблюдение правил безопасности в соотношении с общими затратами на информационные технологии, тем меньше затраты будут в будущем, подводит итог доклад.

Ни одну из организаций не обошли стороной взломы с утечкой данных, говорит Шеной. "Те, кто не соблюдал правила безопасности, подвергались атакам с последующей утечкой данных чаще всего", - говорит Шеной. "А предприятия с высокой эффективностью системы безопасности несли гораздо меньшие убытки".

Сложной задачей для компаний является проведение нескольких программ по обеспечению безопасности. "Сложно иметь дело с такими программами, потому что предприятия вынуждены проводить проверку за проверкой", - говорит Шеной.

И стоимость соблюдения правил безопасности различается для различных отраслей промышленности: в сфере энергетики расходы составляют 24 миллиона долларов, в сфере образования и исследований – 6.8 миллионов долларов, в сфере здравоохранения – 8.86 миллионов долларов, а в сфере розничной торговли – 9.24 миллионов долларов.

Корман говорит, что показанное в докладе соотношение стоимости соблюдения правил безопасности с общим бюджетом информационных технологий предприятия – поразительно. Согласно отчету Ponemon, 39 процентов организаций тратят от 6 до 10 процентов на соблюдение правил безопасности; 39 процентов организаций тратят от 11 до 15 процентов; 11 процентов организаций тратят от 16 до 20 процентов и 7 процентов организаций тратят колоссальные от 21 до 25 процентов их бюджета информационных технологий на соблюдение правил безопасности. "Цифра оказалась очень большой", - говорит Корман.