Как информационная безопасность влияет на доход компании
07.08.2018
При описании проблем информационной безопасности чаще всего обращают внимание на ущерб, который может понести компания от кражи данных или штрафа, выставленного регулирующим органом. Однако только ли негативные последствия указывают на необходимость иметь надежную защиту? Какова связь между успешностью бизнеса и информационной безопасностью? Поговорим об этом в нашей статье Falcongaze.
Статистика
Исследование по вопросу кибербезопасности, проведенное Vodafone в 8 странах среди более чем 1400 компаний, выявило прочную связь между внедрением стандартов информационной безопасности и успехами в бизнесе. Оказалось, что 86% быстрорастущих компаний воспринимают информационную безопасность не просто как средство защиты данных, а в качестве источника новых возможностей для бизнеса.
Исследование указало на ряд преимуществ, которые возникают во взаимоотношениях между организациями и ее клиентами благодаря надежной информационной защите:
- 89% компаний заявили, что улучшение безопасности повышает лояльность и доверие клиентов;
- 90% сообщили, что безопасность усилила их репутацию на рынке;
- 89% указали, что безопасность стала важным конкурентным отличием.
Можно сказать, что сегодня компании всего мира делятся на тех, кто уже пережил инцидент, и на тех, кто принимает меры, позволяющие не допустить или минимизировать такой сценарий.
Однако не все географические регионы имеют одинаковое отношение к вероятности информационных угроз. Так, только 55% итальянского бизнеса беспокоятся о защите, в то время как в США и Сингапуре это число достигает 73% респондентов. При этом успешность компаний из этих стран обратно пропорциональна. Совпадение?
Недостаток информации как негативный фактор, влияющий на информационную безопасность
Согласно статистике, существует фактор, серьёзно влияющий на принятие решений – недостаточная осведомленность о том, как защитить компанию.
41% лиц, ответственных за принятие решений в сфере промышленности, не знают, где найти оптимальную помощь в создании контура безопасности. Инженерно-строительная отрасль показала себя самой неуверенной, поскольку 52% организаций не знали, куда обратиться за советом.
Исследование также показало, насколько остро стоит проблема для небольших предприятий – 60% компаний считают себя плохо осведомленными об информационной безопасности.
Недостаток информации ведет к выбору технологии, которая не будет соответствовать специфике бизнеса. В результате компания понесет только расходы – в лучшем случае на внедрение, а в худшем – на предотвращение последствий инцидента безопасности. При этом разочаруется в системе, а на переосмысление и изменение такой тенденции потребуется время и дополнительные расходы.
Часто упускается из виду необходимость защитить организацию от внутренних утечек. В то же время инсайдеры способны причинить компании куда более серьезный ущерб, чем злоумышленники за пределами организации, поскольку у них гораздо больше возможностей получить доступ к конфиденциальным данным.
Расходы
Повышение запросов клиентов и осознание растущих информационных угроз приводят к увеличению бюджетов на безопасность. Причем ожидают увеличения расходов на кибербезопасность в ближайшие три года 87% предприятий, из них 10% заявляют, что бюджеты удвоятся.
Малые предприятия больше всего обеспокоены потерей данных, в то время как крупные организации в первую очередь озабочены вопросами соблюдения требований регуляторов (например, GDPR), что неудивительно, учитывая размер прописанных в нормах штрафов.
Естественно, всякое внедрение новой технологии потребует привлечения дополнительных средств на ее покупку, имплементацию, а также обслуживание. В организации появится новая должность сотрудника информационной безопасности или возникнет необходимость возложить дополнительные обязанности на работников, занимающихся информационным обеспечением компании.
Все эти пункты говорят скорее о минусах систем безопасности. Однако это не так. В моменте это затраты, но окупить их можно буквально одним предотвращенным событием.
Экономические выгоды от защиты информации в компании
Тремя основными экономическими плюсами от внедрения надежного контура обеспечения информационной безопасности являются:
- Расширение круга клиентов и бизнес-партнеров.
- Минимизация ущерба от утечек.
- Оптимизация трудовых ресурсов и бизнес-процессов.
Рассмотрим подробнее.
Как видим из исследования (см. выше по тексту), повышение безопасности информации на предприятии положительно влияет на клиентов. Растет уровень доверия к компании, ведь конечный клиент отдает предпочтение более безопасному продукту, а значит более качественному.
Для бизнес-партнеров, подрядчиков, корпоративных клиентов это тоже «белый флаг», поскольку снижается риск утечки данных и возможности попасть под финансовые, репутационные или регуляторские риски по вине партнеров.
С финансовой точки зрения оценить ущерб от вероятной утечки очень трудно, ведь сюда входят как прямые денежные потери, выраженные в нанесенном ущербе от недополученной выгоды, так и сопутствующие репутационные ущербы, которые могут иметь долгосрочные последствия, затраты на восстановление и оптимизацию контура безопасности, возможные затраты на дополнительное оборудование и обучение персонала правилам ИБ. Однако даже не смотря на трудность подсчета, этот пункт является самым затратным для компании, в том случае, если угроза ИБ все же осуществилась.
Оптимизация трудовых ресурсов и бизнес-процессов также возможна благодаря наладке надежного обеспечения процессов информационной безопасности. В рамках этих мероприятий проводится аудит системы безопасности, во время которого могут быть обнаружены недостатки системы и возможности ее оптимизации. Также некоторые программные продукты в ИБ обладают дополнительным функционалом в виде мониторинга рабочего времени, что позволяет выявить безучастность сотрудников и провести кадровую перестановку и оптимизацию работы персонала.
Выводы
Falcongaze напоминает о необходимости комплексного подхода, развивая в свою очередь защиту компаний от внутренних угроз – DLP-технологию SecureTower. Это система, которая анализирует по своим алгоритмам информацию в организации и блокирует ее несанкционированную передачу и/или уведомляет о ней ответственного сотрудника безопасности.