Безопасность – это другое дело. Убедить руководство в необходимости приобретений, связанных с безопасностью, уже не так сложно, как раньше, но все же непросто. Слишком часто единственный способ доказать, что вложения в систему безопасности окупились, – это избежать атаки; а такой аргумент не кажется неопровержимым, когда бюджет компании и без того является очень жестким.

При любом обсуждении бюджета требуется определить равновесие между стоимостью продукции или услуги и ожидаемым показателем окупаемости инвестиций. В случае систем безопасности часто бывает сложно рассчитать предполагаемые доходы, в то время как затраты определены достаточно четко.

Возможно, имеет смысл рассмотреть возможные потери в случае, если Вы не предпримете меры безопасности. В докладе федерального бюро Расследований (ФБР) США отмечается, что в 2002 году средняя сумма убытка компаний от взломов системы безопасности составила 6,6 миллионов долларов. В 2003 году эта цифра снизилась до 2,7 миллионов долларов; конечно, это существенное улучшение, и все же компании продолжают нести значительные убытки.

Одним из основных стимулов для вложения средств в системы безопасности для компании является лояльность клиента. По данным обзора, проведенного в 2002 году журналом CIO, государственное и отраслевое регулирование являются наиболее сильным стимулирующим фактором в приобретении систем безопасности (22%); далее идет необходимость сократить финансовые потери (21%) и повышение удовлетворенности клиентов (15%).

Репутация, имеющая отношение как к регулированию, так и к доходности, сложнее всего поддается количественному измерению, но обходится дороже всего. Как общественность отреагирует на кражу списков Ваших клиентов, идентификационных номеров, информации о пациентах или других данных? Плохая репутация, вызванная взломом системы безопасности, может в буквальном смысле слова уничтожить компанию. Сотрудникам IT-подразделения необходимо объективно оценить и рассчитать угрозу потери репутации организации, которую может спровоцировать взлом системы безопасности.

После того как Вы определите объекты для защиты, необходимо сфокусироваться на внутренних и внешних угрозах и уязвимых местах этих объектов. Угрозы разнообразны по форме и воздействию. Стихийные бедствия, например, представляют собой угрозу. Судебные разбирательства – это также угроза. Уязвимые места порождаются слабыми или недостаточными мерами безопасности.

После того как Вы определите объекты для защиты, угрозы и связанные с этими угрозами уязвимые места, необходимо оценить ценность этих объектов для организации. Определите ценность каждой составляющей для производства и научно-исследовательских и опытно-конструкторских работ и то, насколько каждая составляющая важна для компании. Четкое понимание этих моментов помогает определить, во что компании обойдется потеря этих ценностей, с одной стороны, и обеспечение их безопасности, с другой стороны.

Определение окупаемости вложений в систему безопасности представляет собой сложную задачу, но каждый сотрудник IT-подразделения обязан поставить руководство в известность о рисках, которые угрожают компании. Компании, которые продолжают рассматривать окупаемость вложений в систему безопасности просто как вопрос расходов на персонал и IT-ресурсы, ошибаются. Безопасность следует рассматривать как отдельное целое, а не как один из аспектов цепочки начисления стоимости.