Perusahaan komersial besar menghabiskan sekitar 1% dari pendapatan tahunan mereka untuk memastikan keamanan fisik bisnis mereka. Keamanan perusahaan adalah sumber daya yang sama dengan teknologi dan alat produksi. Namun ketika menyangkut perlindungan data dan layanan digital, menghitung risiko finansial dan biaya yang diperlukan menjadi sulit. Kami akan memberi tahu Anda berapa banyak anggaran TI yang dapat dialokasikan secara wajar untuk keamanan siber, dan apakah ada seperangkat alat minimum yang dapat Anda gunakan.

Biaya keamanan informasi meningkat

Organisasi bisnis di seluruh dunia, menurut laporan Gartner, menghabiskan sekitar $87 miliar untuk kebutuhan keamanan siber pada tahun 2017, termasuk perangkat lunak, layanan khusus, dan perangkat keras. Angka ini 7% lebih tinggi dibandingkan tahun 2016. Tahun ini angkanya diperkirakan mencapai 93 miliar, dan tahun depan akan melebihi angka 100.

Menurut para ahli, di Rusia volume pasar layanan keamanan informasi adalah sekitar 55-60 miliar rubel (sekitar 900 ribu dolar). 2/3 darinya ditanggung oleh perintah pemerintah. Di sektor korporasi, porsi biaya tersebut sangat bergantung pada bentuk perusahaan, geografi dan bidang kegiatan.

Rata-rata bank dan lembaga keuangan dalam negeri menginvestasikan dalam keamanan siber mereka 300 juta rubel per tahun, industrialis - hingga 50 juta, perusahaan jaringan (ritel) - dari 10 hingga 50 juta.

Namun selama beberapa tahun terakhir, angka pertumbuhan pasar keamanan siber Rusia 1,5-2 kali lebih tinggi dibandingkan skala global. Pada tahun 2017, pertumbuhannya sebesar 15% (dalam uang nasabah) dibandingkan tahun 2016. Di penghujung tahun 2018, mungkin akan semakin solid.

Tingkat pertumbuhan yang tinggi disebabkan oleh kebangkitan pasar secara umum dan peningkatan tajam perhatian organisasi terhadap keamanan nyata infrastruktur TI dan keamanan data mereka. Biaya pembangunan sistem keamanan informasi kini dianggap sebagai investasi; biaya tersebut telah direncanakan sebelumnya, dan tidak hanya diambil secara sisa.

Teknologi Positifhighlight tiga pendorong pertumbuhan:

1. Insiden-insiden besar yang terjadi dalam 1,5-2 tahun terakhir telah menyebabkan fakta bahwa saat ini hanya orang-orang malas yang tidak memahami peran keamanan informasi terhadap stabilitas keuangan suatu perusahaan. Satu dari lima manajer puncak menyatakan minatnya terhadap keamanan praktis dalam konteks bisnis mereka.

Setahun terakhir telah menjadi tahun pelajaran bagi bisnis yang mengabaikan hal-hal mendasar . Kurangnya update terkini dan kebiasaan bekerja tanpa memperhatikan kerentanan menyebabkan penutupan pabrik Renault di Perancis, Honda dan Nissan di Jepang; Bank, perusahaan energi dan telekomunikasi menderita. Untuk Maersk, misalnya, biayanya $300 juta sekaligus.

1. Epidemi virus ransomware WannaCry, NotPetya, Bad Rabbit mengajarkan perusahaan dalam negeri bahwa memasang antivirus dan firewall saja tidak cukup untuk membuat mereka merasa aman. Anda memerlukan strategi yang komprehensif, inventarisasi aset TI Anda, sumber daya khusus, dan strategi respons ancaman.
2. Dalam arti tertentu, hal ini ditentukan oleh negara, yang telah mengumumkan arah menuju ekonomi digital, yang mencakup semua bidang (mulai dari layanan kesehatan dan pendidikan hingga transportasi dan keuangan). Kebijakan ini berdampak langsung terhadap pertumbuhan sektor TI pada umumnya dan keamanan informasi pada khususnya.

Biaya kerentanan dalam keamanan informasi

Ini semua bersifat instruktif, namun setiap bisnis memiliki kisah yang unik. Pertanyaan tentang berapa banyak biaya yang harus dibelanjakan untuk keamanan informasi dari keseluruhan anggaran TI perusahaan, meskipun tidak benar, dari sudut pandang pelanggan, adalah pertanyaan yang paling mendesak.

Perusahaan riset internasional IDC menggunakan contoh pasar Kanada panggilan optimalnya adalah 9,8-13,7% investasi keamanan siber dari total anggaran TI dalam organisasi. Artinya, kini dunia usaha di Kanada membelanjakan rata-rata sekitar 10% untuk kebutuhan ini (diyakini bahwa ini merupakan indikator perusahaan yang sehat), namun berdasarkan survei, mereka ingin angka tersebut mendekati 14%.

Tidak ada gunanya perusahaan menebak-nebak berapa banyak yang perlu mereka keluarkan untuk keamanan informasi agar bisa merasa tenang. Saat ini, menilai risiko dari insiden keamanan siber tidak lebih sulit daripada menghitung kerugian akibat ancaman fisik. Ada yang mendunia statistik , yg mana:

• Serangan peretas merugikan perekonomian global lebih dari $110 miliar setiap tahunnya.
• Untuk usaha kecil, setiap insiden menelan biaya rata-rata $188.000.
• 51% peretasan pada tahun 2016 ditargetkan, yaitu diorganisir oleh kelompok kriminal terhadap perusahaan tertentu.
• 75% serangan terjadi dengan tujuan menimbulkan kerusakan material dan bermotif finansial.

Kaspersky Lab mengadakannya secara besar-besaran belajar . Menurut survei terhadap 6.000 spesialis perusahaan di seluruh dunia, kerusakan akibat peretasan jaringan perusahaan dan kebocoran data telah meningkat 20-30% selama beberapa tahun terakhir.

Biaya rata-rata kerusakan pada bulan Februari 2018 untuk organisasi komersial, terlepas dari ukuran atau bidang kegiatannya, adalah $1,23 juta. Bagi UKM, kesalahan personel atau tindakan peretas yang berhasil memerlukan biaya $120 ribu.

Studi kelayakan untuk keamanan informasi

Untuk menilai dengan benar sumber daya keuangan yang diperlukan untuk mengatur keamanan informasi di suatu perusahaan, perlu dilakukan studi kelayakan.

1. Kami melakukan inventarisasi infrastruktur TI dan menilai risiko, menyusun daftar kerentanan berdasarkan tingkat kepentingannya. Hal ini juga mencakup kerugian reputasi (peningkatan tarif asuransi, penurunan peringkat kredit, biaya penghentian layanan), dan biaya pemulihan sistem (pembaruan perangkat keras dan perangkat lunak).
2. Kami meresepkan tugas-tugas yang harus diselesaikan oleh sistem keamanan informasi.
3. Kami memilih peralatan dan perkakas untuk memecahkan masalah dan menentukan biayanya.

Jika perusahaan tidak memiliki kompetensi untuk menilai ancaman dan risiko keamanan siber, Anda selalu dapat memerintahkan audit keamanan informasi secara eksternal. Saat ini prosedur ini singkat, murah dan tidak menimbulkan rasa sakit.

Tenaga ahli untuk perusahaan industri dengan otomatisasi proses tingkat tinggi menyarankan menggunakan model arsitektur keamanan adaptif (Arsitektur Keamanan Adaptif), diusulkan pada tahun 2014 oleh Gartner. Hal ini memungkinkan Anda untuk mendistribusikan kembali biaya keamanan informasi dengan benar, lebih memperhatikan deteksi ancaman dan alat respons, dan menyiratkan penerapan sistem pemantauan dan analitik untuk infrastruktur TI.

Berapa biaya keamanan siber bagi perusahaan kecil?

Penulis blog Capterra memutuskan menghitung , berapa rata-rata biaya sistem keamanan informasi untuk usaha kecil dan menengah pada tahun pertama penggunaan. Untuk tujuan ini dipilih daftar dari 50 penawaran “kotak” populer di pasar.

Ternyata kisaran harganya cukup besar: dari 50 dolar per tahun (bahkan ada 2-3 solusi gratis untuk perusahaan kecil) hingga 6 ribu dolar (ada paket tunggal seharga 24 ribu, tetapi tidak termasuk dalam perhitungan. ). Rata-rata, sebuah usaha kecil akan menghabiskan $1.400 untuk membangun sistem pertahanan keamanan siber dasar.

Solusi teknis termurah, seperti VPN bisnis atau perlindungan email, akan membantu melindungi terhadap jenis ancaman tertentu (misalnya, phishing)

Di ujung lain spektrum terdapat sistem pemantauan lengkap dengan alat “canggih” untuk merespons kejadian dan perlindungan komprehensif. Mereka membantu melindungi jaringan perusahaan dari serangan skala besar dan terkadang bahkan memungkinkan untuk memprediksi kejadiannya dan menghentikannya pada tahap awal.

Sebuah perusahaan dapat memilih beberapa model pembayaran untuk sistem keamanan informasi:

• Harga per lisensi, Harga rata-rata – $1000-2000, atau dari $26 hingga $6000 per lisensi.
• Harga per pengguna. Biaya rata-rata sistem keamanan informasi per pengguna di sebuah perusahaan adalah $37, kisarannya antara $4 hingga $130 per orang per bulan.
• Harga per perangkat yang terhubung. Biaya rata-rata untuk model ini adalah $2,25 per perangkat. Harga berkisar dari $0,96 hingga $4,5 per bulan.

Untuk menghitung biaya keamanan informasi dengan benar, bahkan perusahaan kecil pun harus menerapkan dasar-dasar manajemen risiko. Insiden pertama (situs web, layanan, sistem pembayaran mogok) yang tidak dapat diperbaiki dalam waktu 24 jam dapat menyebabkan penutupan bisnis.

“Surat kabar keuangan. Edisi Daerah”, 2008, N 41

Dalam kondisi modern, pentingnya menjamin keamanan informasi tidak dapat dianggap remeh. Kebocoran informasi rahasia sekecil apa pun kepada pesaing dapat mengakibatkan kerugian ekonomi yang besar bagi perusahaan, penghentian produksi, dan bahkan kebangkrutan.

Tujuan keamanan informasi adalah: mencegah kebocoran, pencurian, kehilangan, distorsi, dan pemalsuan informasi; pencegahan tindakan tidak sah untuk menghancurkan, memodifikasi, mengubah, menyalin, memblokir informasi; pencegahan bentuk-bentuk campur tangan ilegal lainnya terhadap sumber informasi dan sistem informasi organisasi.

Biaya perlindungan informasi terutama mencakup perolehan sarana untuk memastikan perlindungannya dari akses yang tidak sah. Ada banyak cara untuk menjamin keamanan informasi; mereka dapat dibagi menjadi dua kelompok besar. Yang pertama adalah dana yang bersifat material, seperti brankas, kamera CCTV, sistem keamanan, dll. Dalam akuntansi mereka dicatat sebagai aset tetap. Yang kedua adalah alat yang tidak mempunyai dasar material, seperti program anti virus, program untuk membatasi akses informasi dalam bentuk elektronik, dll. Mari kita pertimbangkan fitur akuntansi untuk sarana keamanan informasi tersebut.

Saat membeli suatu program untuk memastikan keamanan informasi, hak eksklusif atas program tersebut tidak diberikan kepada pembeli; hanya salinan program yang dilindungi yang dibeli, yang tidak dapat disalin atau didistribusikan oleh pembeli. Oleh karena itu, ketika memperhitungkan program semacam itu, seseorang harus dipandu oleh Bab. VI “Akuntansi transaksi yang berkaitan dengan pemberian (penerimaan) hak pakai harta tak berwujud” PBU baru 14/2007 “Akuntansi Aktiva Tak Berwujud”.

Dalam kasus yang jarang terjadi, ketika membeli program keamanan informasi, perusahaan memperoleh hak eksklusif atas produk tersebut. Dalam hal ini, program tersebut akan diperhitungkan dalam akuntansi sebagai aset tidak berwujud (intangible assets).

Menurut PBU 14/2007, dalam akuntansi, aset tidak berwujud yang disediakan untuk digunakan berdasarkan persyaratan perjanjian lisensi, pembayaran hak pakai yang dilakukan dalam bentuk pembayaran tetap satu kali dan hak eksklusif yang tidak dialihkan kepada pembeli, harus diperhitungkan oleh penerima sebagai bagian dari biaya yang ditangguhkan dan dicatat dalam rekening administratif (klausul 39). Dalam hal ini, jangka waktu di mana biaya-biaya ini akan dihapuskan ke rekening biaya ditentukan oleh perjanjian lisensi. Dalam akuntansi perpajakan, biaya pembelian program untuk melindungi informasi untuk tujuan perpajakan laba diperhitungkan sebagai biaya lain-lain dan dihapuskan dengan cara yang sama - dalam jumlah yang sama selama jangka waktu yang ditentukan dalam perjanjian lisensi (klausul 26, ayat 1, pasal 264 UU Kode Pajak Federasi Rusia).

Jika pembayaran atas hak penggunaan produk perangkat lunak yang menjamin keamanan informasi dilakukan dalam bentuk pembayaran berkala, maka menurut pasal 39 PBU 14/2007, pembayaran tersebut dimasukkan oleh pengguna ke dalam biaya periode pelaporan di mana mereka dibuat.

Dalam praktiknya, perjanjian lisensi tidak selalu menunjukkan jangka waktu penggunaan perangkat lunak. Apabila hubungan antara penghasilan dan pengeluaran tidak dapat ditentukan dengan jelas, dalam akuntansi perpajakan biaya pembelian program perlindungan informasi didistribusikan oleh Wajib Pajak secara mandiri untuk keperluan penghitungan pajak penghasilan, dengan memperhatikan prinsip pengakuan penghasilan yang seragam dan pengeluaran (klausul 1 pasal 272 Kode Pajak Federasi Rusia). Dalam akuntansi, jangka waktu penghapusan biaya-biaya ini dari akun 97 ditentukan oleh manajemen perusahaan berdasarkan perkiraan waktu penggunaan program.

Contoh 1. OJSC Alfa membeli salinan berlisensi program anti-virus dari LLC Betta seharga 118.000 rubel, termasuk PPN (18%). Perjanjian lisensi menetapkan jangka waktu penggunaan program selama 9 bulan.

Dalam pencatatan akuntansi OJSC "Alfa" program harus diperhatikan sebagai berikut:

Dt 60, Kt 51 - 118.000 gosok. - pemasok telah dibayar biaya perangkat lunak;

Dt 60, Kt 97 - 100.000 gosok. - program yang diterima tercermin sebagai biaya yang ditangguhkan;

D-t 002 - 100.000 gosok. - program yang diterima tercermin dalam rekening administratif;

D-t 19, K-t 60 - 18.000 gosok. - PPN dialokasikan;

Dt 68, Kt 19 - 18.000 gosok. - diterima untuk pengurangan PPN;

Dt 26 (44), Kt 97 - 11.111,11 gosok. (RUB 100.000: 9 bulan) - bulanan selama 9 bulan biaya program anti virus dihapuskan dalam jumlah yang sama dengan pengeluaran.

Mari kita ubah ketentuan contoh 1: misalkan Alfa OJSC melakukan pembayaran tidak sekaligus, tetapi dengan angsuran yang sama sepanjang masa perjanjian lisensi. Jumlah pembayarannya adalah 11.800 rubel. untuk setiap bulan, termasuk PPN.

Dalam hal ini, entri berikut akan dibuat dalam akuntansi:

Dt 002 - 90.000 gosok. (RUB 10.000 x 9 bulan) - program yang diterima tercermin dalam rekening administratif;

Dt 60, Kt 51 - 11.800 gosok. - biaya produk perangkat lunak dibayarkan kepada pemasok setiap bulan selama 9 bulan;

D-t 19, K-t 60 - 1800 gosok. - PPN dialokasikan;

Dt 26 (44), Kt 60 - 10.000 gosok. - biaya program dihapuskan sebagai biaya;

Dt 68, Kt 19 - 1800 gosok. - diterima untuk pengurangan PPN.

Seringkali, sebelum perjanjian lisensi berakhir, perusahaan yang mengembangkan program keamanan informasi merilis pembaruan. Dalam hal ini, biaya-biaya di bidang akuntansi dan akuntansi pajak akan diterima pada saat perpanjangan.

Ini juga merupakan praktik umum bagi perusahaan pengembang untuk menyediakan perangkat lunaknya kepada organisasi dalam jangka waktu singkat untuk dievaluasi. Untuk mencerminkan dengan benar program keamanan informasi yang diterima secara gratis, program tersebut harus diperhitungkan sebagai bagian dari pendapatan ditangguhkan sebesar nilai pasar.

Contoh 2. LLC "Betta" memberi OJSC "Alfa" perangkat lunak keamanan informasi secara gratis untuk ditinjau selama jangka waktu 3 bulan. Harga pasar produk perangkat lunak ini adalah 3300 rubel.

Entri berikut harus dibuat dalam catatan akuntansi Alfa OJSC:

Dt 97, Kt 98 - 3300 gosok. - perangkat lunak yang diterima secara gratis telah diterima untuk akuntansi;

D-t 98, K-t 91 - 1100 gosok. - setiap bulan selama tiga bulan, sebagian pendapatan yang ditangguhkan diterima sebagai pendapatan lain-lain.

Dalam akuntansi pajak, pendapatan dari program yang diterima secara cuma-cuma juga akan diterima dalam waktu tiga bulan (klausul 2 pasal 271 Kode Pajak Federasi Rusia).

Biaya perlindungan informasi tidak hanya mencakup perolehan alat keamanan informasi, tetapi juga biaya layanan konsultasi (informasi) untuk perlindungan informasi (tidak terkait dengan perolehan aset tidak berwujud, aset tetap, atau aset organisasi lainnya). Menurut klausul 7 PBU 10/99 “Beban organisasi”, biaya jasa konsultasi di bidang akuntansi termasuk dalam beban untuk aktivitas biasa pada periode pelaporan saat terjadinya. Dalam akuntansi pajak, mereka diklasifikasikan sebagai pengeluaran lain yang terkait dengan produksi dan penjualan produk (klausul 15, klausa 1, pasal 264 Kode Pajak Federasi Rusia).

Contoh 3. LLC "Betta" memberikan layanan konsultasi tentang keamanan informasi kepada OJSC "Alpha" dengan jumlah total 59.000 rubel, termasuk PPN - 9.000 rubel.

Entri berikut harus dibuat dalam catatan akuntansi Alfa OJSC:

Dt 76, Kt 51 - 59.000 gosok. - dibayar untuk layanan konsultasi;

Dt 26 (44), Kt 76 - 50.000 gosok. - jasa konsultasi keamanan informasi dihapuskan sebagai biaya kegiatan biasa;

Dt 19, Kt 76 - 9000 gosok. - PPN dialokasikan;

Dt 68, Kt 19 - 9000 gosok. - diterima untuk pengurangan PPN.

Perusahaan yang menggunakan sistem perpajakan yang disederhanakan sebagai pengeluaran yang mengurangi dasar pengenaan pajak penghasilan, menurut paragraf. 19 ayat 1 seni. 346.16 Kode Pajak Federasi Rusia hanya akan dapat menerima biaya pembelian program yang menjamin keamanan informasi. Biaya jasa konsultasi keamanan informasi di bidang seni. 346.16 Kode Pajak Federasi Rusia tidak disebutkan, oleh karena itu, untuk tujuan perpajakan laba, organisasi tidak berhak menerimanya.

V.Shchanikov

Asisten Auditor

departemen audit

Baker Tilly Rusaudit LLC

Survei Risiko Keamanan TI Korporat Global Kaspersky Lab adalah analisis tahunan mengenai tren keamanan informasi perusahaan di seluruh dunia. Kami melihat aspek-aspek penting dari keamanan siber seperti besarnya biaya keamanan informasi, jenis ancaman yang ada saat ini terhadap berbagai jenis perusahaan, dan konsekuensi finansial dari menghadapi ancaman-ancaman ini. Selain itu, dengan belajar dari para eksekutif tentang prinsip-prinsip penganggaran keamanan informasi, kita dapat melihat bagaimana perusahaan di berbagai wilayah di dunia merespons perubahan lanskap ancaman.

Pada tahun 2017, kami berupaya memahami apakah perusahaan memandang keamanan informasi sebagai faktor biaya (suatu hal yang mengharuskan mereka mengalokasikan uang) atau mulai melihatnya sebagai investasi strategis (yaitu, sarana untuk memastikan kelangsungan bisnis). yang memberikan manfaat signifikan di era ancaman siber yang berkembang pesat).

Ini merupakan pertanyaan yang sangat penting, terutama karena anggaran TI telah menurun di sebagian besar wilayah di dunia.

Namun di Rusia, pada tahun 2017 terjadi sedikit peningkatan rata-rata anggaran yang dialokasikan untuk keamanan – sebesar 2%. Anggaran rata-rata keamanan informasi di Rusia adalah sekitar 15,4 juta rubel.

Laporan ini melihat lebih dekat jenis-jenis ancaman yang dihadapi perusahaan-perusahaan dari semua ukuran, serta pola umum pembelanjaan TI.

Informasi umum dan metodologi penelitian

Survei Risiko Keamanan TI Korporat Kaspersky Lab global adalah survei terhadap para eksekutif yang mengelola layanan TI di organisasi mereka, yang dilakukan setiap tahun sejak tahun 2011.

Data terbaru dikumpulkan pada bulan Maret dan April 2017. Sebanyak 5.274 responden dari lebih dari 30 negara disurvei, mencakup perusahaan-perusahaan dari semua ukuran.

Laporan terkadang menggunakan sebutan berikut: usaha kecil - kurang dari 50 karyawan, UKM (usaha menengah dan kecil - dari 50 hingga 250 karyawan) dan bisnis besar (perusahaan dengan lebih dari 250 karyawan). Laporan saat ini menyajikan analisis parameter survei yang paling mengungkap.

Temuan utama:

Kini semakin sulit bagi perusahaan-perusahaan besar dan kecil untuk memerangi ancaman dunia maya, dan biaya pertahanan juga meningkat. Di Rusia, pada segmen usaha menengah dan kecil, biaya rata-rata untuk menghilangkan konsekuensi dari satu insiden dunia maya saja adalah 1,6 juta rubel, dan untuk segmen bisnis besar biayanya adalah 16,1 juta rubel.

Porsi anggaran TI yang dialokasikan untuk keamanan informasi semakin meningkat. Hal ini biasa terjadi pada perusahaan dengan ukuran berapa pun. Total anggaran masih rendah, dan di Rusia pertumbuhannya hanya 2%, sehingga para spesialis terpaksa melaksanakan tugas mereka dengan sumber daya yang sedikit.

Kerugian akibat satu insiden saja semakin besar, dan perusahaan yang tidak memprioritaskan biaya keamanan informasi akan segera menghadapi masalah serius. Studi menunjukkan bahwa di segmen UKM, perusahaan menghabiskan sekitar 300 ribu rubel untuk setiap insiden keamanan untuk pembayaran tambahan kepada staf, dan perusahaan besar dapat menghabiskan 2,7 juta rubel untuk mengurangi kerusakan pada merek.

Kerusakan akibat insiden keamanan

Jumlah korban akibat insiden keamanan siber terus meningkat, dan perusahaan harus menghadapi berbagai konsekuensi, mulai dari penambahan hubungan masyarakat hingga perekrutan karyawan baru. Pada tahun 2017, terjadi peningkatan kerugian finansial jika terjadi pelanggaran integritas data. Hal ini seharusnya mengubah cara perusahaan menghadapi masalah ini: perusahaan tidak akan lagi memandang biaya keamanan siber sebagai hal yang tidak perlu dan akan mulai melihatnya sebagai investasi yang akan memungkinkan mereka menghindari kerugian finansial yang signifikan jika terjadi serangan.

Pelanggaran data yang serius semakin merugikan

Kekhawatiran terbesar bagi CTO adalah serangan besar-besaran yang mengakibatkan jutaan catatan bocor. Seperti serangan terhadap National Health Service (NHS) Inggris Raya, Sony, atau peretasan saluran televisi HBO dengan dirilisnya data rahasia terkait serial “Game of Thrones”. Namun, pada kenyataannya, insiden-insiden besar tersebut merupakan pengecualian dan bukan suatu aturan. Hingga tahun lalu, sebagian besar serangan siber tidak menjadi berita utama dan hanya menjadi laporan khusus bagi para spesialis. Tentu saja, epidemi ransomware telah sedikit mengubah situasi, namun segmen korporasi masih belum memahami gambaran keseluruhannya.

Jumlah serangan siber berskala besar yang diketahui relatif kecil tidak berarti bahwa kerusakan yang ditimbulkan sebagian besar serangan tidak signifikan. Jadi, berapa rata-rata biaya yang dikeluarkan perusahaan untuk mengatasi pelanggaran data yang “umum”? Kami meminta peserta penelitian untuk memperkirakan berapa banyak pengeluaran/kerugian yang ditanggung perusahaan mereka akibat insiden keamanan yang terjadi pada tahun lalu.

Semua perusahaan dengan 50 karyawan atau lebih diharuskan memperkirakan biaya yang dikeluarkan untuk setiap kategori berikut:

Untuk masing-masing kategori, kami menghitung biaya rata-rata yang dikeluarkan oleh perusahaan yang menghadapi insiden keamanan informasi, dan jumlah seluruh kategori memungkinkan kami memperkirakan jumlah total kerusakan yang disebabkan oleh insiden keamanan informasi.

Di bawah ini kami menyajikan secara terpisah hasil untuk segmen UKM dan bisnis besar, karena statistiknya berbeda dalam banyak hal. Misalnya, kerusakan rata-rata di perusahaan UKM Rusia hampir 1,6 juta rubel, dan di perusahaan besar hampir sepuluh kali lipat - 16,1 juta rubel. Hal ini menunjukkan bahwa serangan siber menimbulkan kerugian bagi perusahaan dengan segala ukuran.

Fakta bahwa bisnis besar, rata-rata, menderita lebih banyak kerugian ketika integritas data dilanggar tidaklah mengejutkan, namun menarik untuk menganalisis distribusi kerusakan berdasarkan kategori.

Tahun lalu, tunjangan tambahan karyawan merupakan item pengeluaran yang paling signifikan baik bagi UKM maupun usaha besar. Namun, tahun ini gambarannya telah berubah, dan perusahaan dengan ukuran berbeda memiliki item pengeluaran utama yang berbeda. Usaha kecil dan menengah terus mengalami kerugian terbesar dalam hal tunjangan karyawan. Namun bisnis besar mulai berinvestasi pada PR tambahan untuk mengurangi kerusakan pada reputasi merek. Selain itu, item biaya yang signifikan bagi usaha besar adalah biaya peningkatan peralatan teknis dan pembelian perangkat lunak tambahan.

Bagi semua perusahaan, biaya pelatihan karyawan mengalami peningkatan. Insiden keamanan sering kali membuat perusahaan menyadari pentingnya meningkatkan literasi siber dan meningkatkan intelijen ancaman.

Sumber daya internal yang lebih luas dari perusahaan besar dan kekhasan pengaturan kegiatan mereka menentukan keseimbangan yang berbeda antara biaya menghilangkan ancaman itu sendiri dan biaya kompensasi atas kerusakan. Item pengeluaran yang serius adalah kenaikan premi asuransi, penurunan peringkat kredit, dan terkikisnya kepercayaan terhadap perusahaan: rata-rata, setelah setiap insiden, perusahaan besar kehilangan sekitar 2,3 juta rubel karenanya.

Penelitian kami menunjukkan bahwa sebagian besar kenaikan biaya perusahaan didorong oleh kebutuhan untuk mencegah - atau setidaknya mengurangi - kerugian reputasi dalam bentuk peringkat kredit, citra merek, dan kompensasi.

Ketika peraturan baru semakin meluas, biaya rata-rata kemungkinan akan terus meningkat, sehingga mengharuskan perusahaan untuk melaporkan semua insiden secara publik dan meningkatkan transparansi keamanan data.

Tren seperti ini biasa terjadi, misalnya di Jepang, di mana biaya rata-rata untuk menghilangkan konsekuensi pelanggaran keamanan meningkat lebih dari dua kali lipat: dari $580 ribu pada tahun 2016 menjadi $1,3 juta pada tahun 2017. Pemerintah Jepang telah mengambil langkah untuk memperketat peraturan sebagai respons terhadap peningkatan ancaman keamanan siber. Pada tahun 2017, undang-undang baru mulai berlaku, yang menyebabkan kenaikan biaya secara tiba-tiba.

Namun, mengembangkan dan menerapkan undang-undang membutuhkan waktu. Dengan pesatnya perkembangan lanskap TI perusahaan dan evolusi ancaman dunia maya, kelambanan dalam langkah-langkah regulasi menjadi masalah yang serius. Misalnya, standar baru Jepang disepakati pada tahun 2015, tetapi pemberlakuannya harus ditunda selama dua tahun penuh. Bagi banyak orang, penundaan ini sangat merugikan: selama dua tahun ini, sejumlah perusahaan besar Jepang menjadi korban serangan yang merugikan. Salah satu contohnya adalah perusahaan perjalanan JTB Corp., yang mengalami kebocoran besar pada tahun 2016. Data 8 juta pelanggan dicuri, termasuk nama, alamat, dan nomor paspor.

Ini adalah salah satu gejala permasalahan global: ancaman berkembang dengan cepat, dan kelambanan pemerintah dan perusahaan terlalu tinggi. Contoh lain dari pengetatan kebijakan adalah Standar Perlindungan Data Umum Eropa (GDPR), yang mulai berlaku pada Mei 2018 dan secara signifikan membatasi cara pemrosesan dan penyimpanan data warga negara Uni Eropa yang dapat diterima.

Peraturan di seluruh dunia mengalami perubahan, namun mereka tidak mampu mengimbangi ancaman dunia maya – tiga gelombang ransomware di Rusia mengingatkan kita akan hal ini pada tahun 2017. Oleh karena itu, dunia usaha harus menyadari ketidaksempurnaan hukum dan memperkuat perlindungan sesuai dengan keadaan sebenarnya - atau menerima terlebih dahulu kerusakan reputasi dan pelanggan. Ada baiknya mempersiapkan persyaratan peraturan baru tanpa menunggu tenggat waktu. Dengan mengubah kebijakan setelah undang-undang terkait dikeluarkan, perusahaan tidak hanya berisiko terkena denda, namun juga keamanan data mereka sendiri dan data klien.

Tidak ada yang namanya kerentanan orang lain: kesenjangan dalam perlindungan mitra sangat merugikan

Untuk melindungi dari kebocoran data, sangat penting untuk memahami vektor serangan apa yang digunakan penyerang. Pada gilirannya, informasi ini akan membantu Anda memahami jenis serangan mana yang paling memakan biaya.

Survei tersebut menunjukkan bahwa insiden-insiden berikut ini mempunyai dampak keuangan yang paling parah bagi usaha menengah dan kecil:

• Insiden yang mempengaruhi infrastruktur yang dihosting pada peralatan pihak ketiga (RUB 17,2 juta)
• Insiden yang mempengaruhi layanan cloud pihak ketiga yang digunakan oleh perusahaan (RUB 3,6 juta)
• Pertukaran data yang tidak pantas melalui perangkat seluler (RUB 2,5 juta)
• Hilangnya perangkat seluler secara fisik, sehingga menimbulkan risiko bagi organisasi (RUB 2,1 juta)
• Insiden yang terkait dengan perangkat non-komputasi yang terhubung ke Internet (misalnya, sistem kontrol industri, Internet of Things) (RUB 1,7 juta)

Situasi dengan usaha besar agak berbeda:

• Serangan yang ditargetkan (RUB 75 juta)
• Insiden yang memengaruhi layanan cloud vendor pihak ketiga (RUB 19 juta)
• Virus dan malware (RUB 9 juta)
• Pertukaran data yang tidak pantas melalui perangkat seluler (RUB 7,3 juta)
• Insiden yang mempengaruhi pemasok yang bertukar data dengan perusahaan (RUB 4,4 juta)

Data ini menunjukkan bahwa serangan yang disebabkan oleh masalah keamanan terhadap mitra bisnis seringkali merupakan serangan yang paling merugikan perusahaan dengan ukuran berapa pun. Hal ini berlaku untuk organisasi yang menyewa cloud atau infrastruktur lainnya dari penyedia pihak ketiga, dan perusahaan yang berbagi datanya dengan mitra.

Begitu Anda memberi perusahaan lain akses ke data atau infrastruktur Anda, kelemahan mereka akan menjadi masalah Anda. Namun, kami telah mengamati sebelumnya bahwa sebagian besar organisasi tidak terlalu mementingkan hal ini. Oleh karena itu, tidak mengherankan jika insiden semacam ini menimbulkan kerugian terbesar: petinju mana pun akan memberi tahu Anda bahwa biasanya pukulan tak terdugalah yang menyebabkan KO.

Yang juga patut diperhatikan adalah vektor lain yang secara tak terduga masuk ke dalam 5 ancaman teratas bagi bisnis skala menengah: serangan yang terkait dengan perangkat yang terhubung selain komputer. Saat ini, lalu lintas di Internet of Things (IoT) tumbuh jauh lebih cepat dibandingkan lalu lintas yang dihasilkan oleh teknologi lainnya. Ini adalah contoh lain bagaimana perkembangan baru meningkatkan potensi kerentanan dalam infrastruktur bisnis. Secara khusus, meluasnya penggunaan kata sandi bawaan pabrik dan fitur keamanan yang lemah pada perangkat IoT menjadikannya target ideal bagi botnet seperti Mirai - malware yang dapat menghubungkan sejumlah besar perangkat rentan ke dalam satu jaringan untuk meluncurkan serangan DDoS skala besar pada target yang dipilih.

Jumlah kerugian akibat serangan yang ditargetkan pada segmen bisnis besar patut diperhatikan - ancaman ini sangat sulit untuk diatasi. Selama beberapa tahun terakhir, sejumlah serangan besar-besaran yang ditargetkan terhadap bank telah diketahui, yang juga memperkuat statistik yang mengecewakan ini.

Berinvestasi dalam Pengurangan Risiko

Sebagaimana ditunjukkan oleh penelitian kami, ancaman terhadap keamanan informasi menjadi semakin serius. Dalam kondisi seperti ini, kita tidak bisa tidak mengkhawatirkan kondisi anggaran keamanan informasi itu sendiri. Dengan menganalisis perubahannya, kita dapat memutuskan apakah organisasi memandang keamanan mereka sebagai pemicu biaya, atau apakah keseimbangan tersebut secara bertahap bergeser dan dilihat sebagai peluang investasi yang memberikan keunggulan kompetitif yang nyata.

Besar kecilnya anggaran menunjukkan sikap perusahaan terhadap keamanan TI, pentingnya peran sistem pelindung dari sudut pandang manajemen, dan kesediaan organisasi untuk mengambil risiko.

Anggaran keamanan informasi: porsinya meningkat, “kuenya” menyusut

Tahun ini kita telah melihat bahwa penghematan dan outsourcing telah menyebabkan pengurangan anggaran TI. Meskipun demikian (atau mungkin sebagai dampaknya), porsi keamanan informasi dalam anggaran TI telah meningkat. Di Rusia, tren positif dapat dilihat pada perusahaan-perusahaan dari semua ukuran. Bahkan di antara usaha mikro yang beroperasi dalam kondisi sumber daya yang tidak mencukupi, porsi anggaran TI yang dialokasikan untuk keamanan informasi telah meningkat, meskipun hanya sepersekian persen.

Artinya, perusahaan akhirnya mulai memahami pentingnya keamanan informasi. Mungkin hal ini menunjukkan bahwa keamanan informasi mulai dianggap oleh banyak orang sebagai investasi yang berpotensi bermanfaat, bukan sebagai sumber biaya.

Kami melihat anggaran TI di seluruh dunia berkurang secara signifikan. Meskipun keamanan informasi semakin mendapat porsi yang besar, namun manfaatnya sendiri semakin kecil. Tren ini mengkhawatirkan, terutama mengingat tingginya risiko yang ada di wilayah ini dan besarnya biaya yang harus dikeluarkan untuk setiap serangan.

Di Rusia, anggaran rata-rata keamanan informasi untuk usaha besar pada tahun 2017 mencapai 400 juta rubel, dan untuk usaha kecil dan menengah – 4,6 juta rubel.

Sampel: 694 responden di Rusia mampu menilai anggaran

Tidak mengherankan jika organisasi layanan pemerintah (termasuk sektor pertahanan) dan lembaga keuangan di seluruh dunia melaporkan biaya keamanan informasi tertinggi pada tahun ini. Bisnis di kedua sektor ini menghabiskan rata-rata lebih dari $5 juta untuk keamanan. Perlu juga dicatat bahwa sektor TI dan telekomunikasi, serta perusahaan-perusahaan di industri energi, juga mengeluarkan dana lebih dari rata-rata untuk keamanan informasi, meskipun anggaran mereka mendekati $3 juta, bukan $5.

Namun, jika Anda membagi total biaya dengan jumlah karyawan, organisasi pemerintah berada di urutan paling bawah. Rata-rata, sektor TI dan telekomunikasi menghabiskan $1.258 per kapita untuk keamanan informasi, sementara sektor energi menghabiskan $1.344 dan perusahaan jasa keuangan menghabiskan $1.436. Sebagai perbandingan, lembaga pemerintah hanya mengalokasikan $959 per orang untuk keamanan informasi.

Baik di segmen TI dan telekomunikasi serta industri pasokan energi, tingginya biaya per karyawan kemungkinan besar disebabkan oleh kebutuhan untuk melindungi kekayaan intelektual, yang sangat relevan dalam sektor ekonomi ini. Dalam kasus organisasi pemasok energi, biaya keamanan yang tinggi mungkin juga disebabkan oleh fakta bahwa perusahaan-perusahaan ini semakin rentan terhadap serangan yang ditargetkan yang dilakukan oleh kelompok penyerang.

Dalam industri ini, investasi pada keamanan informasi menjadi penting untuk kelangsungan hidup karena menjamin kelangsungan bisnis, yang merupakan faktor penting bagi pasokan energi. Konsekuensi dari serangan siber yang berhasil di industri ini sangatlah parah, sehingga investasi pada keamanan informasi mempunyai manfaat yang sangat nyata.

Di Rusia, TI dan telekomunikasi, serta perusahaan industri, banyak berinvestasi pada keamanan informasi. Biaya rata-rata untuk keamanan informasi mencapai 300 juta rubel, dan untuk keamanan informasi – 80 juta rubel. Perusahaan industri dan manufaktur biasanya mengandalkan sistem kendali berbantuan komputer (ICS) untuk menjamin kelangsungan proses produksi. Pada saat yang sama, jumlah serangan terhadap ICS meningkat: selama 12 bulan terakhir jumlahnya meningkat sebesar 5%.

Alasan berinvestasi dalam keamanan informasi

Penyebaran jumlah investasi keamanan informasi antar sektor sangat besar. Oleh karena itu, sangat penting untuk memahami alasan yang memotivasi perusahaan untuk menghabiskan sumber daya yang terbatas pada keamanan informasi. Tanpa mengetahui motifnya, mustahil untuk memahami apakah sebuah perusahaan menganggap uang yang dikeluarkan untuk keamanan infrastruktur TI-nya dibuang begitu saja atau menganggapnya sebagai investasi yang menguntungkan.

Pada tahun 2017, secara signifikan lebih banyak perusahaan di seluruh dunia yang mengakui bahwa mereka akan berinvestasi dalam keamanan siber, berapa pun laba atas investasi yang diharapkan: 63% dibandingkan dengan 56% pada tahun 2016. Hal ini menunjukkan semakin banyak perusahaan yang memahami pentingnya keamanan informasi.

Alasan utama peningkatan anggaran keamanan informasi, Rusia

Tidak semua perusahaan mengharapkan pengembalian investasi yang cepat, namun banyak perusahaan global menyebutkan tekanan dari pemangku kepentingan utama, termasuk manajemen puncak perusahaan (32%) sebagai alasan untuk meningkatkan anggaran keamanan informasi. Hal ini menunjukkan bahwa perusahaan mulai melihat keuntungan strategis mereka dalam pertumbuhan belanja keamanan informasi: langkah-langkah keamanan tidak hanya memungkinkan untuk melindungi diri mereka sendiri jika terjadi serangan, namun juga untuk menunjukkan kepada pelanggan bahwa data mereka juga berada di tangan yang aman. sebagai menjamin keberlangsungan usaha yang menjadi kepentingan manajemen perusahaan.

Alasan paling populer untuk meningkatkan belanja keamanan informasi disebutkan oleh sebagian besar perusahaan dalam negeri sebagai kebutuhan untuk melindungi infrastruktur TI yang semakin kompleks (46%), dan kebutuhan untuk meningkatkan keterampilan para ahli keamanan informasi tercatat sebesar 30%. Angka-angka ini menyoroti perlunya meningkatkan tingkat keahlian yang tersedia bagi perusahaan dengan mengembangkan keterampilan karyawannya sendiri. Memang benar bahwa UKM dan perusahaan besar semakin banyak berinvestasi dalam mendukung tenaga kerja internal mereka dalam melawan ancaman dunia maya.

Pada saat yang sama, kebutuhan untuk meningkatkan pengeluaran untuk keamanan informasi karena adanya operasi bisnis baru atau ekspansi perusahaan di kalangan bisnis Rusia telah menurun: dari 36% pada tahun lalu menjadi 30% pada tahun 2017. Mungkin hal ini mencerminkan faktor makroekonomi yang harus dihadapi perusahaan kita akhir-akhir ini.

Kesimpulan

Kerusakan besar terjadi pada tahun 2017 oleh serangan besar-besaran seperti WannaCry, exPetr dan BadRabbit. Kerugian dari serangan yang ditargetkan, khususnya terhadap bank-bank Rusia, juga besar. Semua ini menunjukkan bahwa lanskap ancaman dunia maya berubah dengan cepat dan tidak dapat dielakkan. Perusahaan terpaksa menyesuaikan pertahanan mereka atau tetap gulung tikar.

Faktor yang semakin signifikan dalam pengambilan keputusan bisnis adalah perbedaan antara biaya persiapan menghadapi serangan siber dan biaya yang ditanggung oleh korban.

Laporan tersebut menunjukkan bahwa pelanggaran data yang relatif kecil dan tidak begitu menarik perhatian masyarakat umum dapat sangat merugikan perusahaan dan berdampak serius pada operasionalnya. Alasan lain meningkatnya biaya insiden keamanan adalah perubahan peraturan di seluruh dunia. Perusahaan harus beradaptasi atau menghadapi risiko ketidakpatuhan dan kemungkinan peretasan.

Dalam keadaan seperti ini, menjadi sangat penting untuk mempertimbangkan semua konsekuensi dan biayanya. Mungkin inilah sebabnya semakin banyak perusahaan dari berbagai negara meningkatkan porsi keamanan informasi dalam anggaran TI mereka. Pada tahun 2017, secara signifikan lebih banyak perusahaan di seluruh dunia yang mengakui bahwa mereka akan berinvestasi dalam keamanan siber, berapa pun laba atas investasi yang diharapkan: 63% dibandingkan dengan 56% pada tahun 2016.

Kemungkinan besar, seiring dengan meningkatnya kerusakan akibat insiden keamanan siber, organisasi-organisasi yang menganggap biaya TI sebagai investasi dalam keamanan dan bersedia mengeluarkan sejumlah besar uang untuk hal tersebut akan lebih siap menghadapi kemungkinan masalah. Bagaimana situasi di perusahaan Anda?

Sebagaimana telah disebutkan, keamanan suatu perusahaan dijamin melalui serangkaian tindakan di semua tahap siklus hidupnya, sistem informasinya dan, secara umum, terdiri dari biaya:

• - pekerjaan desain;
• - pengadaan dan konfigurasi alat perlindungan perangkat lunak dan perangkat keras;
• - biaya untuk memastikan keamanan fisik;
• - pelatihan personel;
• - manajemen dan dukungan sistem;
• - audit keamanan informasi;
• - modernisasi berkala sistem keamanan informasi, dll.

Indikator biaya efisiensi ekonomi dari sistem keamanan informasi terintegrasi adalah jumlah biaya langsung dan tidak langsung untuk pengorganisasian, pengoperasian dan pemeliharaan sistem keamanan informasi sepanjang tahun.

Hal ini dapat dianggap sebagai indikator kuantitatif utama efektivitas organisasi keamanan informasi di suatu perusahaan, karena tidak hanya memungkinkan untuk memperkirakan total biaya perlindungan, namun juga mengelola biaya-biaya ini untuk mencapai tingkat keamanan perusahaan yang diperlukan. Namun biaya langsung mencakup komponen biaya modal dan biaya tenaga kerja, yang termasuk dalam kategori operasi dan manajemen administrasi. Ini juga termasuk biaya layanan pengguna jarak jauh, dll., yang terkait dengan mendukung aktivitas organisasi.

Pada gilirannya, biaya tidak langsung mencerminkan dampak sistem keamanan terintegrasi dan subsistem perlindungan informasi terhadap karyawan melalui indikator terukur seperti waktu henti dan terhentinya sistem keamanan informasi perusahaan dan sistem keamanan terintegrasi secara keseluruhan, biaya operasional dan dukungan.

Seringkali, biaya tidak langsung memainkan peran penting, karena biasanya biaya tersebut pada awalnya tidak tercermin dalam anggaran untuk sistem keamanan yang komprehensif, namun kemudian terungkap secara eksplisit selama analisis biaya, yang pada akhirnya menyebabkan peningkatan biaya “tersembunyi” perusahaan. Mari kita pertimbangkan bagaimana Anda dapat menentukan biaya langsung dan tidak langsung dari sistem keamanan yang komprehensif. Mari kita asumsikan bahwa manajemen suatu perusahaan sedang berupaya menerapkan sistem keamanan informasi yang komprehensif di perusahaan tersebut. Objek dan tujuan perlindungan, ancaman terhadap keamanan informasi dan langkah-langkah untuk melawannya telah diidentifikasi, sarana yang diperlukan untuk melindungi informasi telah dibeli dan dipasang.

Biasanya, biaya keamanan informasi terbagi dalam kategori berikut:

• - biaya pembentukan dan pemeliharaan tautan manajemen sistem keamanan informasi;
• - biaya pengendalian, yaitu menentukan dan memastikan tingkat keamanan sumber daya perusahaan yang dicapai;
• - biaya internal untuk menghilangkan konsekuensi pelanggaran keamanan informasi - biaya yang dikeluarkan oleh organisasi karena tidak tercapainya tingkat keamanan yang diperlukan;
• - biaya eksternal untuk menghilangkan konsekuensi dari pelanggaran keamanan informasi - kompensasi atas kerugian akibat pelanggaran kebijakan keamanan dalam kasus-kasus yang berkaitan dengan kebocoran informasi, hilangnya citra perusahaan, hilangnya kepercayaan mitra dan konsumen, dll.;
• - biaya pemeliharaan sistem keamanan informasi dan tindakan untuk mencegah pelanggaran kebijakan keamanan perusahaan.

Dalam hal ini, biaya satu kali dan biaya sistematis biasanya dibedakan.

Biaya satu kali untuk menciptakan keamanan perusahaan: biaya organisasi dan biaya perolehan dan pemasangan peralatan pelindung.

Biaya sistematis, pengoperasian dan pemeliharaan. Klasifikasi biaya bersifat kondisional, karena pengumpulan, klasifikasi, dan analisis biaya untuk keamanan informasi adalah kegiatan internal perusahaan, dan pengembangan rinci daftar tersebut bergantung pada karakteristik organisasi tertentu.

Hal utama ketika menentukan biaya sistem keamanan adalah saling pengertian dan kesepakatan mengenai item biaya dalam perusahaan.

Selain itu, kategori biaya harus konsisten dan tidak saling menduplikasi. Tidak mungkin menghilangkan biaya keamanan sepenuhnya, namun biaya tersebut dapat dikurangi hingga tingkat yang dapat diterima.

Beberapa jenis biaya keamanan mutlak diperlukan, dan beberapa jenis lainnya dapat dikurangi atau dihilangkan secara signifikan. Yang terakhir adalah yang mungkin hilang jika tidak ada pelanggaran keamanan atau akan menurun jika jumlah dan dampak destruktif dari pelanggaran berkurang.

Dengan menjaga keselamatan dan mencegah pelanggaran, biaya-biaya berikut dapat dihilangkan atau dikurangi secara signifikan:

• - untuk memulihkan sistem keamanan untuk memenuhi persyaratan keamanan;
• - untuk memulihkan sumber daya lingkungan informasi perusahaan;
• - untuk perubahan dalam sistem keamanan;
• - untuk sengketa hukum dan pembayaran kompensasi;
• - untuk mengidentifikasi penyebab pelanggaran keamanan.

Biaya yang diperlukan adalah biaya yang diperlukan meskipun tingkat ancaman keamanan cukup rendah. Ini adalah biaya untuk mempertahankan tingkat keamanan lingkungan informasi perusahaan yang dicapai.

Biaya yang tidak dapat dihindari mungkin termasuk:

• a) pemeliharaan alat pelindung teknis;
• b) pengelolaan arsip rahasia;
• c) pengoperasian dan audit sistem keamanan;
• d) tingkat minimum inspeksi dan pengendalian dengan keterlibatan organisasi khusus;
• e) pelatihan personel tentang metode keamanan informasi.

Namun, ada biaya lain yang cukup sulit ditentukan. Diantaranya:

• a) biaya penelitian tambahan dan pengembangan strategi pasar baru;
• b) kerugian akibat diturunkannya prioritas penelitian ilmiah dan ketidakmampuan mematenkan dan menjual lisensi pencapaian ilmiah dan teknis;
• c) biaya yang terkait dengan penghapusan kemacetan dalam pasokan, produksi dan pemasaran produk;
• d) kerugian akibat kompromi produk yang diproduksi oleh perusahaan dan penurunan harga produk tersebut;
• e) terjadinya kesulitan dalam memperoleh peralatan atau teknologi, termasuk kenaikan harga, terbatasnya volume persediaan.

Biaya yang tercantum dapat disebabkan oleh tindakan personel dari berbagai departemen, misalnya departemen desain, teknologi, perencanaan ekonomi, hukum, ekonomi, pemasaran, kebijakan tarif, dan penetapan harga.

Karena karyawan di semua departemen ini kemungkinan besar tidak akan sibuk penuh waktu dengan masalah kerugian eksternal, penetapan jumlah biaya harus dilakukan dengan mempertimbangkan waktu aktual yang dihabiskan. Salah satu elemen kerugian eksternal tidak dapat dihitung secara akurat - ini adalah kerugian yang terkait dengan penurunan citra perusahaan, penurunan kepercayaan konsumen terhadap produk dan layanan perusahaan. Karena alasan inilah banyak perusahaan menyembunyikan fakta bahwa layanan mereka tidak aman. Korporasi bahkan lebih takut terhadap pengungkapan informasi tersebut daripada takut terhadap serangan dalam satu atau lain bentuk.

Namun, banyak bisnis mengabaikan biaya-biaya ini dengan alasan bahwa biaya-biaya tersebut tidak dapat ditentukan dengan tingkat keakuratan apa pun - biaya-biaya tersebut hanya merupakan perkiraan saja. Biaya tindakan pencegahan. Biaya-biaya ini mungkin yang paling sulit diperkirakan karena kegiatan pencegahan dilakukan di berbagai departemen dan mempengaruhi banyak layanan. Biaya-biaya ini dapat muncul di semua tahapan siklus hidup sumber daya lingkungan informasi perusahaan:

• - perencanaan dan pengorganisasian;
• - akuisisi dan commissioning;
• - pengiriman dan dukungan;
• - pemantauan proses yang membentuk teknologi informasi.

Selain itu, sebagian besar biaya dalam kategori ini berkaitan dengan personel keamanan. Biaya pencegahan terutama mencakup upah dan overhead. Namun keakuratan penentuannya sangat bergantung pada keakuratan penentuan waktu kerja setiap karyawan secara individu. Beberapa biaya pencegahan mudah diidentifikasi secara langsung. Hal ini, khususnya, dapat mencakup pembayaran untuk berbagai karya pihak ketiga, misalnya:

• - pemeliharaan dan konfigurasi alat perlindungan perangkat lunak dan perangkat keras, sistem operasi dan peralatan jaringan yang digunakan;
• - melaksanakan pekerjaan teknik dan teknis untuk memasang sistem alarm, melengkapi fasilitas penyimpanan dokumen rahasia, melindungi jalur komunikasi telepon, peralatan komputer, dll.;
• - penyampaian informasi rahasia;
• - konsultasi;
• - kursus pelatihan.

Sumber informasi tentang biaya yang dipertimbangkan. Saat menentukan biaya penyediaan keamanan informasi, perlu diingat bahwa:

• - biaya perolehan dan commissioning perangkat lunak dan perangkat keras dapat diperoleh dari analisis faktur, catatan dalam dokumentasi gudang, dll.;
• - pembayaran kepada staf dapat diambil dari laporan;
• - jumlah pembayaran upah harus diperhitungkan dengan mempertimbangkan waktu aktual yang dihabiskan untuk melaksanakan pekerjaan untuk memastikan keamanan informasi; jika hanya sebagian dari waktu karyawan yang dihabiskan untuk kegiatan untuk memastikan keamanan informasi, maka kelayakan penilaian masing-masing komponen; mengenai penggunaan waktunya tidak perlu dipertanyakan;
• - klasifikasi biaya keamanan dan distribusinya antar elemen harus menjadi bagian dari pekerjaan sehari-hari dalam perusahaan.

Bagaimana membenarkan biaya keamanan informasi?

Dicetak ulang dengan izin baik OJSC InfoTex Internet Trust
Teks sumber berada Di Sini.

Tingkat kematangan perusahaan

Gartner Group mengidentifikasi 4 tingkat kematangan perusahaan dalam hal keamanan informasi (IS):

• tingkat 0:
• Tidak ada seorang pun yang terlibat dalam keamanan informasi di perusahaan; manajemen perusahaan tidak menyadari pentingnya masalah keamanan informasi;
• Tidak ada pendanaan;
• Keamanan informasi diterapkan melalui sarana standar sistem operasi, DBMS dan aplikasi (perlindungan kata sandi, kontrol akses ke sumber daya dan layanan).
• tingkat 1:
• Keamanan informasi dianggap oleh manajemen sebagai masalah “teknis” murni; tidak ada program terpadu (konsep, kebijakan) untuk pengembangan sistem keamanan informasi perusahaan (ISMS);
• Pendanaan disediakan sesuai anggaran TI secara keseluruhan;
• Keamanan informasi diterapkan oleh alat tingkat nol + alat cadangan, alat anti-virus, firewall, alat VPN (alat keamanan tradisional).
• tingkat 2:
• Keamanan informasi dianggap oleh manajemen sebagai seperangkat tindakan organisasi dan teknis, ada pemahaman tentang pentingnya keamanan informasi untuk proses produksi, ada program pengembangan SMKI perusahaan yang disetujui oleh manajemen;
• Keamanan informasi diterapkan oleh alat tingkat pertama + alat otentikasi yang ditingkatkan, alat untuk menganalisis pesan email dan konten web, IDS (sistem deteksi intrusi), alat analisis keamanan, SSO (alat otentikasi satu kali), PKI (infrastruktur kunci publik) dan langkah-langkah organisasi (audit internal dan eksternal, analisis risiko, kebijakan keamanan informasi, peraturan, prosedur, peraturan dan pedoman).
• tingkat 3:
• Keamanan informasi adalah bagian dari budaya perusahaan, dan CISA (petugas keamanan informasi senior) telah ditunjuk;
• Pendanaan disediakan dalam anggaran tersendiri;
• Keamanan informasi diterapkan melalui sistem manajemen keamanan informasi tingkat kedua +, CSIRT (tim respons insiden keamanan informasi), SLA (perjanjian tingkat layanan).

Menurut Gartner Group (data tahun 2001), persentase perusahaan dalam kaitannya dengan 4 level yang dijelaskan adalah sebagai berikut:
Tingkat 0 - 30%,
Tingkat 1 - 55%,
Tingkat 2 - 10%,
Tingkat 3 - 5%.

Perkiraan Gartner Group untuk tahun 2005 adalah sebagai berikut:
Tingkat 0 - 20%,
Tingkat 1 - 35%,
Tingkat 2 - 30%,
Tingkat 3 - 15%.

Statistik menunjukkan bahwa sebagian besar perusahaan (55%) saat ini telah menerapkan serangkaian langkah keamanan teknis tradisional minimum yang disyaratkan (level 1).

Ketika menerapkan berbagai teknologi dan langkah-langkah keamanan, pertanyaan sering muncul. Apa yang harus diterapkan terlebih dahulu, sistem deteksi intrusi atau infrastruktur PKI? Mana yang lebih efektif? Stephen Ross, direktur Deloitte&Touche, mengusulkan pendekatan berikut untuk menilai efektivitas tindakan dan alat keamanan informasi individual.

Berdasarkan grafik di atas, terlihat bahwa yang paling mahal dan paling tidak efektif adalah alat khusus (in-house atau custom-made).

Yang paling mahal, namun sekaligus paling efektif, adalah produk perlindungan kategori 4 (level 2 dan 3 menurut Gartner Group). Untuk mengimplementasikan alat dalam kategori ini, perlu menggunakan prosedur analisis risiko. Analisis risiko dalam hal ini akan memastikan bahwa biaya implementasi memadai terhadap ancaman pelanggaran keamanan informasi yang ada.

Yang termurah, tetapi dengan tingkat efektivitas yang tinggi, mencakup langkah-langkah organisasi (audit internal dan eksternal, analisis risiko, kebijakan keamanan informasi, rencana kelangsungan bisnis, peraturan, prosedur, peraturan dan manual).

Pengenalan sarana perlindungan tambahan (transisi ke tingkat 2 dan 3) memerlukan investasi finansial yang besar dan, oleh karena itu, pembenaran. Tidak adanya program pengembangan SMKI terpadu yang disetujui dan ditandatangani oleh manajemen memperburuk masalah pembenaran investasi dalam bidang keselamatan.

Analisis Risiko

Pembenaran tersebut dapat berupa hasil analisis risiko dan statistik yang dikumpulkan mengenai insiden. Mekanisme untuk menerapkan analisis risiko dan pengumpulan statistik harus ditentukan dalam kebijakan keamanan informasi perusahaan.

Proses analisis risiko terdiri dari 6 tahap berurutan:

1. Identifikasi dan klasifikasi objek yang dilindungi (sumber daya perusahaan yang akan dilindungi);

3. Membangun model penyerang;

4. Identifikasi, klasifikasi dan analisis ancaman dan kerentanan;

5. Penilaian risiko;

6. Pemilihan tindakan organisasi dan sarana teknis perlindungan.

Di atas panggung identifikasi dan klasifikasi objek perlindungan Penting untuk melakukan inventarisasi sumber daya perusahaan di bidang-bidang berikut:

• Sumber daya informasi (informasi rahasia dan penting perusahaan);
• Sumber daya perangkat lunak (OS, DBMS, aplikasi penting, seperti ERP);
• Sumber daya fisik (server, workstation, jaringan dan peralatan telekomunikasi);
• Sumber daya layanan (email, www, dll.).

Kategorisasi adalah untuk menentukan tingkat kerahasiaan dan kekritisan sumber daya. Kerahasiaan mengacu pada tingkat kerahasiaan informasi yang disimpan, diproses, dan dikirimkan oleh suatu sumber daya. Kekritisan mengacu pada tingkat pengaruh suatu sumber daya terhadap efisiensi proses produksi perusahaan (misalnya, jika terjadi downtime sumber daya telekomunikasi, perusahaan penyedia dapat bangkrut). Dengan menetapkan nilai kualitatif tertentu pada parameter kerahasiaan dan kekritisan, Anda dapat menentukan tingkat signifikansi setiap sumber daya dalam hal partisipasinya dalam proses produksi perusahaan.

Untuk mengetahui pentingnya sumber daya perusahaan dari sudut pandang keamanan informasi, Anda dapat memperoleh tabel berikut:

Misalnya, file dengan informasi tentang tingkat gaji karyawan perusahaan memiliki nilai “sangat rahasia” (parameter kerahasiaan) dan nilai “tidak signifikan” (parameter kekritisan). Dengan memasukkan nilai-nilai ini ke dalam tabel, Anda bisa mendapatkan indikator integral tentang pentingnya sumber daya ini. Berbagai pilihan metode kategorisasi diberikan dalam standar internasional ISO TR 13335.

Membangun model penyerang adalah proses mengklasifikasikan calon pelanggar berdasarkan parameter berikut:

• Jenis penyerang (pesaing, klien, pengembang, karyawan perusahaan, dll.);
• Posisi penyerang dalam kaitannya dengan objek perlindungan (internal, eksternal);
• Tingkat pengetahuan tentang objek yang dilindungi dan lingkungan hidup (tinggi, sedang, rendah);
• Tingkat kemampuan mengakses objek yang dilindungi (maksimum, rata-rata, minimum);
• Durasi tindakan (terus-menerus, pada interval waktu tertentu);
• Lokasi tindakan (lokasi yang diharapkan dari penyerang selama serangan).

Dengan menetapkan nilai kualitatif pada parameter model penyerang yang tercantum, seseorang dapat menentukan potensi penyerang (karakteristik integral dari kemampuan penyerang untuk menerapkan ancaman).

Identifikasi, klasifikasi dan analisis ancaman dan kerentanan memungkinkan Anda menentukan cara untuk menerapkan serangan terhadap objek yang dilindungi. Kerentanan adalah properti sumber daya atau lingkungannya yang digunakan oleh penyerang untuk menerapkan ancaman. Daftar kerentanan sumber daya perangkat lunak dapat ditemukan di Internet.

Ancaman diklasifikasikan berdasarkan kriteria berikut:

• nama ancaman;
• jenis penyerang;
• sarana pelaksanaan;
• kerentanan yang dieksploitasi;
• tindakan yang diambil;
• frekuensi implementasi.

Parameter utamanya adalah frekuensi penerapan ancaman. Itu tergantung pada nilai parameter “potensi penyerang” dan “keamanan sumber daya”. Nilai parameter “keamanan sumber daya” ditentukan melalui penilaian ahli. Saat menentukan nilai parameter, parameter subjektif penyerang diperhitungkan: motivasi untuk melakukan ancaman dan statistik dari upaya untuk menerapkan ancaman jenis ini (jika ada). Hasil dari tahap analisis ancaman dan kerentanan adalah penilaian terhadap parameter “frekuensi implementasi” untuk setiap ancaman.

Di atas panggung penilaian risiko potensi kerusakan akibat ancaman pelanggaran keamanan informasi ditentukan untuk setiap sumber daya atau kelompok sumber daya.

Indikator kualitatif kerusakan bergantung pada dua parameter:

• Pentingnya sumber daya;
• Frekuensi penerapan ancaman pada sumber daya ini.

Berdasarkan penilaian kerusakan yang diperoleh, tindakan organisasi yang memadai dan sarana perlindungan teknis dipilih secara wajar.

Akumulasi statistik insiden

Satu-satunya titik lemah dalam metodologi yang diusulkan untuk menilai risiko dan, oleh karena itu, membenarkan perlunya memperkenalkan teknologi perlindungan baru atau mengubah yang sudah ada adalah penentuan parameter “frekuensi terjadinya ancaman.” Satu-satunya cara untuk mendapatkan nilai obyektif dari parameter ini adalah dengan mengumpulkan statistik insiden. Akumulasi statistik, misalnya, selama setahun akan memungkinkan Anda menentukan jumlah penerapan ancaman (jenis tertentu) per sumber daya (jenis tertentu). Dianjurkan untuk melakukan pekerjaan pengumpulan statistik sebagai bagian dari prosedur pemrosesan insiden.