Anotación: La conferencia discute las tareas y métodos de análisis económico de la viabilidad de implementar medidas para garantizar la seguridad de la información en ciertas condiciones.
Gestión de la seguridad de la información, así como la gestión en otros muchos ámbitos de actividad, implica la adopción periódica de diversas decisiones de gestión que, por regla general, consisten en elegir determinadas alternativas (seleccionar uno de los esquemas organizativos posibles o una de las soluciones técnicas disponibles) o determinar ciertos parámetros de organización individual y/o sistemas tecnicos y subsistemas. Uno de los enfoques posibles para la elección de alternativas en una situación de toma de decisiones gerenciales es el llamado. enfoque "volitivo", cuando una decisión se toma de manera intuitiva por una razón u otra, y no se puede establecer una relación de causalidad formalmente fundamentada entre ciertas premisas iniciales y una decisión específica. Es obvio que una alternativa al enfoque "volitivo" es la toma de decisiones basada en ciertos procedimientos formales y análisis secuencial.
La base de este análisis y posteriores Toma de decisiones es el análisis económico, que implica el estudio de todos (o al menos los principales) factores bajo cuya influencia ocurre el desarrollo de los sistemas analizados, los patrones de su comportamiento, la dinámica del cambio, así como el uso de un universal valor monetario. Es sobre la base de modelos económicos construidos adecuadamente y del análisis económico llevado a cabo con su ayuda que deben tomarse decisiones con respecto a la estrategia general de desarrollo y las medidas organizativas y técnicas individuales, tanto a nivel de estados, regiones e industrias, como a nivel el nivel de empresas individuales, divisiones y sistemas de información.
Al mismo tiempo, al igual que la economía de cualquier industria tiene sus propias características, la economía de la seguridad de la información, considerada como una disciplina relativamente independiente, por un lado, se basa en algunas leyes económicas generales y métodos de análisis, y por el otro. por otro lado, necesita comprensión individual, el desarrollo de enfoques específicos de análisis, la acumulación de datos estadísticos específicos de esta área, la formación de ideas estables sobre los factores bajo la influencia de los cuales Sistemas de información Y herramientas de seguridad de la información.
La complejidad de las tareas de análisis económico en casi todas las áreas de actividad, por regla general, se debe al hecho de que muchos parámetros clave de los modelos económicos no se pueden estimar de manera confiable y son de naturaleza probabilística (como, por ejemplo, indicadores de la demanda del consumidor). El análisis también se complica por el hecho de que incluso pequeñas fluctuaciones (corrección de estimaciones) de dichos parámetros pueden afectar seriamente los valores de la función objetivo y, en consecuencia, las decisiones tomadas con base en los resultados del análisis. Por lo tanto, con el fin de garantizar la mayor fiabilidad posible de los cálculos en el proceso de realización de análisis económicos y Toma de decisiones es necesario organizar un conjunto de trabajos para recopilar información inicial, calcular valores predictivos, entrevistar a expertos en varios campos y procesar todos los datos. Al mismo tiempo, en el proceso de realizar dicho análisis, es necesario prestar especial atención a las decisiones intermedias relativas a las estimaciones de ciertos parámetros incluidos en el modelo general. También es necesario tener en cuenta el hecho de que dicho análisis en sí mismo puede resultar un procedimiento bastante intensivo en recursos y requerir la participación de especialistas adicionales y consultores externos, así como los esfuerzos de varios especialistas (expertos) trabajando en la propia empresa: todos estos costos finalmente deberán justificarse.
La particular complejidad del análisis económico en un área como la Seguridad de información, está determinado por factores específicos tales como:
Esto requiere esfuerzos adicionales para organizar el proceso de análisis económico, y también conduce a menudo al hecho de que muchas de las decisiones que se toman relacionadas con garantizar la seguridad de la información pueden resultar inadecuadas. Ejemplos de situaciones en las que el subdesarrollo de la metodología de análisis económico afecta negativamente el estado de seguridad de la información pueden ser casos en los que:
En el curso de sus actividades actuales, las empresas tienen que lidiar constantemente con ciertos cambios: los procesos comerciales se están perfeccionando, las condiciones del mercado y los mercados para los recursos materiales y servicios consumidos están cambiando, están surgiendo nuevas tecnologías, los competidores y las contrapartes están cambiando su comportamiento, la legislación y la política estatal están cambiando, etc. d. En estas condiciones, los gerentes (incluidos los responsables de garantizar la seguridad de la información) deben analizar constantemente los cambios en curso y adaptar su trabajo a la situación en constante cambio. Las formas específicas en que se manifiesta la reacción de los líderes pueden ser diferentes. Esto puede ser un cambio en la política de marketing, una reorganización de los procesos comerciales, un cambio en la tecnología, un cambio en un producto, una fusión con competidores o su absorción, etc. Sin embargo, con toda la variedad de posibles modelos de comportamiento en un entorno cambiante, casi todos ellos están unidos por un importante elemento metodológico común: en la mayoría de los casos, la reacción de las empresas ante nuevas amenazas y nuevas oportunidades implica la implementación de nuevas , inversiones (inversiones) más o menos a largo plazo y que requieren muchos recursos en determinadas medidas organizativas y/o técnicas que, por un lado, implican el gasto de recursos ( Dinero), y por otro lado, brindan la oportunidad de obtener nuevos beneficios, expresados en un aumento de los ingresos o una reducción de algunos gastos corrientes.
Así, en una situación en la que es necesario llevar a cabo algunas medidas organizativas o técnicas nuevas (implementar un proyecto), la principal tarea de los responsables de la organización eficaz de la seguridad de la información es correlacionar claramente los costes en los que habrá que incurrir en conexión con la implementación de este evento (tanto de una sola vez como de corriente constante), y flujos de efectivo adicionales (nuevos) que se recibirán. EN este caso El flujo de caja puede entenderse como ahorro de costos, prevención de pérdidas, así como ingresos adicionales para la empresa.
Como indicador principal que refleja esta relación, en la práctica económica se acostumbra utilizar la función de retorno de la inversión - Retorno de la inversión, .
(14.1) |
La función de descuento se utiliza en el análisis de las inversiones de inversión para tener en cuenta la influencia del factor tiempo y llevar los costos multitemporales a un momento (generalmente el momento en que comienza el proyecto). La tasa de descuento en este caso le permite tener en cuenta el cambio en el valor del dinero a lo largo del tiempo.
El modelo de retorno de la inversión (14.1) demuestra claramente las dos tareas principales que deben resolverse al analizar cualquier proyecto de inversión y, en particular, un proyecto de seguridad de la información: calcular los costos asociados con el proyecto y calcular el flujo de caja adicional. Si la metodología para calcular el costo total () en los últimos 10 a 15 años, en su conjunto, se ha formado completamente (en forma del concepto de "Costo total de propiedad", TCO - Costo total de propiedad, TCO ) y se utiliza activamente en la práctica en relación con varios tipos sistemas de información y elementos de infraestructura de información, luego el cálculo del flujo de efectivo adicional () resultante de las inversiones en herramientas de seguridad de la información suele causar serios problemas. Uno de los enfoques más prometedores para calcular este indicador es una técnica basada en una evaluación cuantitativa (monetaria) de los riesgos de daño a los recursos de información y una evaluación de la reducción de estos riesgos asociados con la implementación de medidas adicionales para proteger la información.
Así, en general, la composición de la metodología para analizar la viabilidad de invertir en proyectos destinados a garantizar la seguridad de la información se presenta esquemáticamente en la fig. 14.1.
El análisis de los costos asociados con la implementación del proyecto, aunque es una tarea relativamente más simple, todavía puede causar algunas dificultades. Así como para muchos otros proyectos en el campo de las tecnologías de la información, es recomendable realizar análisis de costos para la implementación de proyectos en el campo de la seguridad de la información, basados en la conocida metodología básica "Total Cost of Ownership" - TCO (Total Cost of Ownership - TCO), introducido por una empresa de consultoría "Gartner Group" en 1987 en relación con las computadoras personales. En general, esta técnica se centra en asegurar la exhaustividad del análisis de costes (tanto directos como indirectos) asociados a las tecnologías de la información y los sistemas de información en situaciones en las que es necesario evaluar las consecuencias económicas de la introducción y uso de tales sistemas: cuando evaluar la efectividad de las inversiones, comparar tecnologías alternativas, elaborar presupuestos de capital y corrientes, etc.
En general, el valor total de CER incluye:
Además, en el cálculo de los costos para aumentar el nivel de seguridad de la información, es necesario incluir los costos de reorganización de los procesos comerciales y el trabajo de información con el personal: pago por los servicios de consultores comerciales y consultores de seguridad de la información, costos por el desarrollo de la organización documentación, costes de realización de auditorías de seguridad de la información, etc. .P. Además, al analizar los costos, también es necesario tener en cuenta el hecho de que, en la mayoría de los casos, la introducción de herramientas de seguridad de la información implica el surgimiento de responsabilidades adicionales para el personal de la empresa y la necesidad de realizar operaciones adicionales al trabajar con sistemas de información. Esto provoca cierta disminución en la productividad de los empleados de la empresa y, en consecuencia, puede generar costos adicionales.
El propósito del estudio: analizar e identificar las principales tendencias en el mercado ruso de seguridad de la información.
Se utilizaron datos de Rosstat (formularios de informes estadísticos No. 3-Inform, P-3, P-4), informes contables de empresas, etc.
Se analizó el período 2012-2016. Los datos no pretenden ser completos (ya que se recopilan de un número limitado de empresas), pero, en nuestra opinión, pueden usarse para evaluar tendencias. El número de empresas que respondieron durante el período bajo revisión osciló entre 200 y 210 mil. Es decir, la muestra es bastante estable e incluye a los consumidores más probables (grandes y medianas empresas), que concentran el grueso de las ventas.
Según el formulario de informes estadísticos 3-Inform, en 2016, las organizaciones rusas que proporcionaron información en este formulario tenían alrededor de 12,4 millones de unidades de computadoras personales (PC). Por PC, en este caso, nos referimos a escritorio y computadoras portatiles, este concepto no incluye móvil Celulares y computadoras personales de bolsillo.
En los últimos 5 años, el número de unidades de PC en las organizaciones de Rusia en su conjunto ha crecido un 14,9 %. El distrito federal más equipado es el Distrito Federal Central, concentra el 30,2% de las PC en las empresas. El líder indiscutible en este indicador es la ciudad de Moscú, según los datos de 2016, hay alrededor de 1,8 millones de PC en las empresas de Moscú. El valor más bajo del indicador se observó en el Distrito Federal del Cáucaso Norte, en las organizaciones distritales solo hay alrededor de 300 mil unidades de PC, el número más pequeño en la República de Ingushetia: 5,45 mil unidades.
En el periodo 2014-2015. Debido a la situación económica desfavorable, las empresas rusas se vieron obligadas a minimizar sus costos, incluidos los costos de las tecnologías de la información y la comunicación. En 2014, la reducción de los costos de las TIC fue del 5,7%, pero al cierre de 2015 se registró una ligera tendencia positiva. En 2016, los costos de las empresas rusas por las tecnologías de la información y la comunicación ascendieron a 1,25 billones. rublos, superando la cifra anterior a la crisis de 2013 en un 0,3%.
La mayor parte de los costos recae en las empresas ubicadas en Moscú: más de 590 mil millones de rublos, o el 47,2% del total. Los mayores volúmenes de gastos de organizaciones para tecnologías de la información y la comunicación en 2016 se registraron en: región de Moscú - 76,6 mil millones de rublos, San Petersburgo - 74,4 mil millones de rublos, región de Tyumen - 56,0 mil millones de rublos, República de Tatarstán - 24,7 mil millones de rublos, Nizhny Región de Novgorod: 21,4 mil millones de rublos. Los costos más bajos se observaron en la República de Ingushetia: 220,3 millones de rublos.
Recientemente, ha habido un aumento significativo en el número de empresas que utilizan herramientas de protección de seguridad de la información. La tasa de crecimiento anual de su número es bastante estable (con la excepción de 2014) y es de aproximadamente 11-19% por año.
Según datos oficiales de Rosstat, Los medios de protección más populares en la actualidad son los medios técnicos de autenticación de usuarios (tokens, llaves USB, tarjetas inteligentes). De más de 157 mil empresas, 127 mil empresas (81%) indicaron el uso de estas herramientas particulares como protección de la información.
Según estadísticas oficiales, en 2016, 161.421 empresas utilizaron Internet global con fines comerciales. Entre las organizaciones que utilizan Internet con fines comerciales y han indicado el uso de herramientas de seguridad de la información, la más popular es la firma digital electrónica. Más de 146.000 empresas, o el 91% del total, señalaron esta herramienta como medio de protección. De acuerdo al uso de herramientas de seguridad de la información, las empresas se distribuyeron de la siguiente manera:
En el período 2012-2016, el número de empresas que utilizan Internet con fines comerciales aumentó un 34,9%. En 2016, 155.028 empresas utilizaron Internet para comunicarse con proveedores y 110.421 empresas utilizaron Internet para comunicarse con consumidores. De las empresas que utilizan Internet para comunicarse con los proveedores, la finalidad del uso indicó:
Del número total de empresas que utilizan Internet para comunicarse con los consumidores, el propósito del uso indicó:
De acuerdo a Hacienda Federal, el volumen total de los límites de las obligaciones presupuestarias para 2017, puesto en conocimiento de las autoridades ejecutivas federales (en adelante, FOIV) bajo el código del tipo de gastos 242 "Adquisición de bienes, obras, servicios en el campo de la información y tecnologías de la comunicación" en términos de información que no es un secreto de estado, al 1 de agosto de 2017, ascendió a 115,2 mil millones de rublos, que es aproximadamente un 5,1% más que el monto total de los presupuestos para tecnologías de la información de las autoridades ejecutivas federales en 2016 (109,6 mil millones de rublos, según el Ministerio de Comunicaciones). Por lo tanto, con el crecimiento continuo del volumen total de presupuestos de TI de los departamentos federales de un año a otro, la tasa de crecimiento ha disminuido (en 2016, el volumen total de presupuestos de TI aumentó un 8,3 % en comparación con 2015). Donde existe una estratificación cada vez mayor en "ricos" y "pobres" en términos de gasto en departamentos de tecnología de la información y la comunicación. El líder indiscutible no solo en términos del tamaño del presupuesto, sino también en términos del nivel de logros en el campo de TI es el Servicio de Impuestos Federales. Su presupuesto de TIC este año es de más de 17,6 mil millones de rublos, que es más del 15% del presupuesto de todas las autoridades ejecutivas federales. La participación total de los cinco primeros (FTS, PFR, Hacienda, Ministerio del Interior, Ministerio de Comunicaciones) es más del 53%.
A partir del 1 de enero de 2016, todas las autoridades estatales y municipales, las corporaciones estatales Rosatom y Roscosmos, los órganos de gestión de los fondos extrapresupuestarios estatales, así como las instituciones estatales y presupuestarias que realicen compras de conformidad con los requisitos de la Ley Federal N° 44 de 5 de abril de 2013 -FZ "Sobre el sistema de contratos en el campo de la adquisición de bienes, obras, servicios para satisfacer las necesidades estatales y municipales", están obligados a cumplir con la prohibición de admisión de software originario de países extranjeros con el fin de adquisiciones para las necesidades estatales y municipales. La prohibición fue introducida por el Decreto del Gobierno de la Federación Rusa del 16 de noviembre de 2015 No. 1236 "Sobre el establecimiento de una prohibición sobre la admisión de software procedente de países extranjeros con fines de adquisición para necesidades estatales y municipales". Al momento de adquirir software, los citados clientes deberán indicar expresamente la prohibición de adquirir software importado en el aviso de compra. La prohibición se aplica a la compra de programas para computadoras electrónicas y bases de datos, implementada independientemente del tipo de contrato en un medio tangible y (o) en formato electrónico a través de canales de comunicación, así como los derechos exclusivos de dicho software y los derechos de uso de dicho software. .
Hay algunas excepciones cuando se permite la compra de software importado para los clientes.
En todos los demás casos, el cliente deberá trabajar con registro único Programas rusos para computadoras y bases de datos electrónicas y un clasificador de programas para computadoras y bases de datos electrónicas.
La formación y mantenimiento del registro como organismo ejecutivo federal autorizado está a cargo del Ministerio de Telecomunicaciones y Comunicaciones Masivas de Rusia.
A fines de agosto de 2017, el registro incluye 343 productos de software pertenecientes a la clase "herramientas de seguridad de la información" de 98 empresas de desarrollo rusas. Entre ellos se encuentran productos de software de grandes desarrolladores rusos como:
Para analizar las tendencias, seleccionamos 18 empresas que se encuentran entre los líderes en el mercado de la seguridad de la información y participan activamente en la contratación pública. La lista incluye tanto a los desarrolladores directos de software como a los sistemas de protección de software y hardware, así como a los más grandes Integradores de sistema. Los ingresos totales de estas empresas en 2016 ascendieron a 162,3 mil millones de rublos, superando la cifra de 2015 en un 8,7%.
A continuación se muestra una lista de las empresas seleccionadas para el estudio.
№ | Nombre | ESTAÑO | Tipo de actividad (OKVED 2014) |
1 | I-Teco JSC | 7736227885 | Actividades relacionadas con el uso de computadoras y tecnologías de la información, otras (62.09) |
2 | Croc Incorporated, CJSC | 7701004101 | |
3 | "Informzashchita", CJSC NIP | 7702148410 | Investigación y desarrollo en el campo de las ciencias sociales y humanidades (72.20) |
4 | Comercio de línea blanda JSC | 7736227885 | |
5 | Technoserv AS, LLC | 7722286471 | Comercio al por mayor de otra maquinaria y equipo (46.69) |
6 | "Elvis-plus", JSC | 7735003794 | |
7 | Asteros JSC | 7721163646 | Comercio al por mayor de computadoras, dispositivos periféricos para computadoras y software (46.51 |
8 | Compañía de producción de acuario, LLC | 7701256405 | |
9 | Lanit, CJSC | 7727004113 | Comercio al por mayor de otra maquinaria y equipo de oficina (46.66) |
10 | Jet Infosystems, CJSC | 7729058675 | Comercio al por mayor de computadoras, periféricos de computadora y software (46.51) |
11 | Dialognauka JSC | 7701102564 | Desarrollo de software informático (62.01) |
12 | "Factor-TS", LLC | 7716032944 | Fabricación de computadoras y equipos periféricos (26.20) |
13 | "InfoTeKS", JSC | 7710013769 | Desarrollo de software informático (62.01) |
14 | Centro Ural para Sistemas de Seguridad, LLC | 6672235068 | Actividades en el campo de la arquitectura, estudios de ingeniería y la prestación de asesoramiento técnico en estas áreas (71.1) |
15 | ICL-KPO VS JSC | 1660014361 | Desarrollo de software informático (62.01) |
16 | Grupo NVision JSC | 7703282175 | Comercio al por mayor no especializado (46,90) |
17 | Confident-integración, LLC | 7811512250 | Actividades de tratamiento de datos, prestación de servicios de alojamiento de información y actividades conexas (63.11) |
18 | "Kaluga Astral", CJSC | 4029017981 | Actividades de asesoramiento y trabajo de campo tecnologia computacional (62.02 |
A fines de octubre de 2017, las empresas de la muestra presentada concluyeron 1.034 contratos con agencias gubernamentales por un monto de 24.600 millones de rublos. I-Teco es el líder en esta lista en términos de volumen de contratos celebrados: 74 contratos por valor de 7.500 millones de rublos.
En los últimos años, con la excepción del año de crisis de 2014, se puede observar un aumento constante en el volumen total de contratos para empresas seleccionadas. La dinámica más significativa recae en el período 2015-2016. Así, en 2015 hubo un aumento en el volumen de contratos de más de 3,5 veces, en 2016, de 1,5 veces. De acuerdo con los datos disponibles sobre las actividades de contratación de las empresas para el período enero-octubre de 2017, se puede suponer que en 2017 el volumen total de contratos con agencias gubernamentales será de unos 37-38 mil millones de rublos, es decir, una disminución de alrededor Se espera un 40%.
Están invirtiendo en una variedad de tecnologías de seguridad informática, desde plataformas para pagar recompensas por descubrir vulnerabilidades de software hasta diagnósticos y pruebas de software automatizadas. Pero, sobre todo, se sienten atraídos por las tecnologías de gestión de información de identidad y autenticación: se invirtieron alrededor de $ 900 millones en nuevas empresas dedicadas a estas tecnologías a fines de 2019.
La inversión en nuevas empresas de educación en ciberseguridad alcanzó los $ 418 millones en 2019, con la ayuda de KnowBe4, que recaudó $ 300 millones. La empresa emergente ofrece una plataforma de simulación de ataques de phishing y una variedad de programas de capacitación.
Cerca de $412 millones en 2019 fueron recibidos por empresas involucradas en la seguridad del Internet de las cosas. En esta categoría, SentinelOne es líder en términos de inversiones, que en 2019 recibió $ 120 millones para desarrollar tecnologías de protección de puntos finales.
Al mismo tiempo, los analistas de Metacurity aportan otros datos que caracterizan la situación del mercado de financiación de capital riesgo en el sector de la seguridad de la información. En 2019, el volumen de inversiones aquí alcanzó $ 6,57 mil millones, frente a $ 3,88 mil millones en 2018. El número de transacciones también aumentó, de 133 a 219. Al mismo tiempo, el volumen promedio de inversiones por transacción se mantuvo prácticamente sin cambios y ascendió a 29,2 millones a fines de 2019, calculado en Metacurity.
En 2018 las ventas de los equipos, el software y los servicios destinados a la seguridad de la información (SI) alcanzaron los $37 mil millones, habiendo aumentado un 9% respecto a un indicador de prescripción anual ($34 mil millones). Dichos datos fueron publicados el 28 de marzo de 2019 por los analistas de Canalys.
Si bien muchas empresas priorizan la protección de sus activos, datos, terminales, redes, empleados y clientes, la ciberseguridad representó solo el 2 % del gasto total en TI en 2018, dijeron. Sin embargo, cada vez surgen más amenazas nuevas, cada vez más complejas y frecuentes, lo que brinda a los fabricantes de soluciones de seguridad de la información nuevas oportunidades de crecimiento. Se espera que el gasto total en ciberseguridad supere los $ 42 mil millones en 2020.
El analista de Canalys, Matthew Ball, cree que la transición a nuevos modelos de implementación de seguridad de la información se acelerará. Los clientes están cambiando la naturaleza de sus presupuestos de TI con servicios de nube pública y servicios flexibles basados en suscripción.
Alrededor del 82% de los proyectos de implementación de seguridad de la información en 2018 involucraron el uso de hardware y software tradicionales. En el 18% restante de los casos se utilizaron servicios de virtualización, nubes públicas y seguridad de la información.
Para 2020, la proporción de modelos de implementación tradicionales de sistemas de seguridad de la información disminuirá al 70 %, a medida que las nuevas soluciones estén ganando popularidad en el mercado.
Los proveedores deberán crear una amplia gama de modelos comerciales para respaldar esta transición, ya que diferentes productos son adecuados para diferentes tipos implementaciones. El principal desafío para muchos hoy en día es hacer que los nuevos modelos estén más enfocados en el canal de afiliados e integrarlos con los existentes. programas afiliados, especialmente con transacciones de clientes a través de plataformas en la nube. Algunos mercados en la nube ya han respondido a esto al permitir que los socios ofrezcan ofertas y precios personalizados directamente a los clientes mediante el seguimiento de registros de ofertas y descuentos, dijo Matthew Ball en una publicación del 29 de marzo de 2019. |
Según el analista de Canalys, Ketaki Borade, los principales proveedores de tecnología de ciberseguridad han introducido nuevos modelos de distribución de productos que implican que las empresas adopten un esquema de suscripción y aumenten las operaciones en la infraestructura de la nube.
El mercado de la seguridad cibernética se ha mantenido muy dinámico, con una actividad y un volumen de acuerdos récord en respuesta a los crecientes requisitos normativos y técnicos, así como al continuo riesgo generalizado de filtraciones de datos, dijo el cofundador y socio gerente de Momentum Cyber, Eric McAlpine. “Creemos que este impulso continuará impulsando al sector hacia nuevos territorios mientras busca contrarrestar las amenazas emergentes y se consolida frente a la fatiga de los proveedores y la creciente escasez de habilidades. |
En 2017, los gastos globales en seguridad de la información (SI), productos y servicios, alcanzaron los $ 101,5 mil millones, dijo la empresa de investigación Gartner a mediados de agosto de 2018. A fines de 2017, los expertos estimaron este mercado en $ 89,13 mil millones, pero no se informa la razón del aumento significativo en la estimación.
Los CIO están comprometidos a ayudar a sus organizaciones a utilizar plataformas tecnológicas de manera segura para ser más competitivos e impulsar el crecimiento empresarial, dijo Siddharth Deshpande, director de investigación de Gartner. - La continua escasez de habilidades y los cambios regulatorios, como el Reglamento General de Protección de Datos (GDPR) en Europa, están impulsando un mayor crecimiento en el mercado de servicios de ciberseguridad. |
Los expertos creen que uno de los factores clave que contribuyen al aumento del costo de la protección de la información es la introducción de nuevos métodos para detectar y responder a las amenazas: se han convertido en la principal prioridad de seguridad de las organizaciones en 2018.
Según las estimaciones de Gartner, en 2017, el gasto de las organizaciones en servicios de ciberdefensa a nivel mundial superó los 52 300 millones de USD y en 2018, estos costos aumentarán a 58 900 millones de USD.
En 2017, las empresas gastaron $2400 millones en protección de aplicaciones, $2600 millones en protección de datos y $2600 millones en protección de datos. servicios en la nube- $ 185 millones
Las ventas anuales de soluciones para la gestión de la identificación y el acceso (Identity And Access Management) fueron iguales a 8,8 mil millones La implementación de medios de protección de la infraestructura de TI aumentó a $ 12,6 mil millones.
El estudio también habla de gastar 10.900 millones de dólares en equipos utilizados para proporcionar Seguridad de la red. Sus fabricantes ganaron $ 3.9 mil millones de sistemas de gestión de riesgos de seguridad de la información.
Los analistas estiman que el gasto en seguridad de la información del consumidor para 2017 será de 5900 millones de dólares, según un estudio de Gartner.
En diciembre de 2017 se supo que los gastos mundiales de las empresas para garantizar la seguridad de la información (SI) en 2017 ascenderán a $ 89,13 mil millones. Según estimaciones de Gartner, los gastos corporativos por ciberseguridad en casi $ 7 mil millones superarán la cantidad de 2016 en $ 82,2 mil millones. .
Los expertos consideran que los servicios de seguridad de la información son la mayor partida de gasto: en 2017, las empresas destinarán más de 53.000 millones de dólares a estos fines frente a los 48.800 millones de dólares de 2016. El segundo segmento más grande del mercado de seguridad de la información son las soluciones de protección de infraestructura, cuyos costos en 2017 ascenderán a $ 16,2 mil millones en lugar de $ 15,2 mil millones hace un año. La maquinaria para la seguridad de la red - en el tercer lugar ($10,93 mil millones).
La estructura de costos de seguridad de la información también incluye el software de consumo para la seguridad de la información y los sistemas de gestión de identificación y acceso (Identity and Access Management, IAM). En 2017, Gartner estima los costos en estas áreas en $ 4,64 mil millones y $ 4,3 mil millones, mientras que en 2016 las cifras estaban en el nivel de $ 4,57 mil millones y $ 3,9 mil millones, respectivamente.
Los analistas esperan un aumento adicional en el mercado de seguridad de la información: en 2018, las organizaciones aumentarán el gasto en ciberdefensa en otro 8% y destinarán un total de $ 96.3 mil millones para estos fines y orientar a las empresas hacia una estrategia comercial digital.
En general, el gasto en ciberseguridad se debe en gran medida a la reacción de las empresas ante los incidentes de ciberseguridad, porque la cantidad de ciberataques resonantes y fugas de información que sufren las organizaciones está creciendo a nivel mundial, comenta Ruggero Contu, director de investigación de Gartner, sobre el pronóstico. . |
Las palabras del analista también se ven confirmadas por los datos obtenidos por Gartner en 2016 durante una encuesta en la que participaron 512 organizaciones de ocho países: Australia, Canadá, Francia, Alemania, India, Singapur y Estados Unidos.
El 53% de los encuestados mencionaron el riesgo de ciberseguridad como el principal impulsor del aumento del gasto en ciberseguridad. De ese número, el porcentaje más alto de los encuestados dijo que la amenaza de los ataques cibernéticos es la mayor influencia en las decisiones de gasto en seguridad de la información.
El pronóstico de Gartner para 2018 prevé un aumento del gasto en todas las áreas principales. Así, se gastarán unos $57.700 millones (+$4.650 millones) en servicios de ciberdefensa, unos $17.500 millones (+$1.250 millones) en seguridad de infraestructuras y $11.670 millones (+$1.250 millones) en equipos para protección de redes (735 millones de dólares), en software de consumo - $4.74 mil millones (+$109 millones) y en sistemas IAM - $4.69 mil millones (+$416 millones).
Los analistas también creen que para 2020 más del 60% de las organizaciones en el mundo invertirán simultáneamente en varias herramientas de protección de datos, incluida la prevención de pérdida de información, el cifrado y la auditoría. A fines de 2017, la proporción de empresas que compraron tales soluciones se estimó en un 35 %.
Otro elemento significativo de los costos corporativos para la seguridad de la información será la participación de especialistas externos. Se espera que en el contexto de escasez de personal en el campo de la ciberseguridad, la creciente complejidad técnica de los sistemas de ciberseguridad y el aumento de las amenazas cibernéticas de los costos de las empresas para la subcontratación de la ciberseguridad en 2018 aumenten un 11 % y sean de $18.500 millones.
Gartner estima que para 2019, el gasto corporativo en expertos en ciberseguridad de terceros representará el 75 % del gasto total en software y hardware de ciberseguridad, frente al 63 % en 2016.
Dos tercios de los costes recaerán en empresas relacionadas con grandes y muy grandes negocios. Para 2019, según los analistas de IDC, el gasto de las empresas con más de 1000 empleados superará los 50 000 millones de dólares.
En octubre de 2016, la empresa de análisis IDC presentó unos breves resultados de un estudio del mercado mundial de seguridad de la información. Se espera que su crecimiento sea un poco más alto que el del mercado de TI.
IDC calculó que las ventas globales de equipos, software y servicios para la protección cibernética alcanzarán alrededor de $ 73,7 mil millones en 2016, y en el 2020 el indicador superará los $ 100 mil millones, habiendo ganado $ 101,6 mil millones. En el período de 2016 a 2020, el mercado de ciberseguridad - Las tecnologías crecerán a un promedio de 8.3% anual, que es el doble de la tasa de crecimiento esperada de la industria de TI.
Los mayores gastos en ciberseguridad ($8.6 mil millones) a finales de 2016 se esperan en los bancos. El segundo, tercer y cuarto lugar en términos del tamaño de dichas inversiones lo ubicarán las empresas de manufactura discreta, los organismos gubernamentales y las empresas de manufactura continua, respectivamente, que representarán alrededor del 37% de los costos.
Los analistas otorgan el liderazgo en la dinámica de aumento de las inversiones en ciberseguridad para el cuidado de la salud (se espera un crecimiento anual promedio de 10.3% en 2016-2020). El costo de la defensa cibernética en telecomunicaciones, vivienda, agencias gubernamentales y en el mercado de inversiones y valores aumentará aproximadamente un 9% por año.
El mayor mercado de ciberseguridad, según los investigadores, es el estadounidense, cuyo volumen alcanzará los 31.500 millones de dólares en 2016. Los tres primeros también incluirán Europa Occidental y la región de Asia-Pacífico (excepto Japón). No hay información sobre el mercado ruso en la versión corta del estudio de IDC.
Dmitry Gvozdev, director general de la empresa rusa Security Monitor, predice un aumento en la participación de los servicios en el gasto total de seguridad de Rusia del 30-35 % al 40-45 %, y también predice el desarrollo de la estructura del mercado de clientes, del total predominio de los sectores estatal, financiero y energético hacia las medianas empresas de una gama más amplia de industrias.
Una de las tendencias debería ser el desarrollo de la participación de los productos de software nacionales en relación con los temas de sustitución de importaciones y la situación de la política exterior. Sin embargo, cómo se reflejará esto en el desempeño financiero dependerá en gran medida del tipo de cambio del rublo y la política de precios de los proveedores extranjeros, que aún ocupan al menos la mitad del mercado nacional de soluciones de software y hasta dos tercios en el segmento de equipos. Además, el resultado financiero anual final de todo el mercado ruso de soluciones de ciberseguridad puede vincularse a factores económicos externos, informó Gvozdev en una conversación con TAdviser. |
TAMAÑO DE MERCADO
GASTO FEDERAL
DELITO CIBERNÉTICO
COSTO POR INCUMPLIMIENTO
SERVICIOS FINANCIEROS
Internacional
ANÁLISIS DE SEGURIDAD
El volumen del mercado de medios de seguridad de la región EMEA (Europa, Oriente Medio y África) creció un 2,4% en comparación con 2012 y fue de 2.500 millones de dólares. Red de computadoras– Soluciones UTM (Gestión unificada de amenazas). Al mismo tiempo, IDC predijo que el mercado medios tecnicos la seguridad de la información para 2018 alcanzará los 4.200 millones de dólares en términos de valor con un crecimiento anual medio del 5,4 %.
A fines de 2013, Check Point ocupó la posición de liderazgo entre los proveedores en términos de ingresos por ventas de medios técnicos de seguridad de la información en la región EMEA. Según IDC, los ingresos del proveedor en este segmento para 2013 aumentaron un 3,8% y ascendieron a $374,64 millones, lo que corresponde a una participación de mercado de 19,3%.
El mercado mundial de seguridad de la información crecerá anualmente un 8% hasta 2016, cuando podría alcanzar los 36.000 millones de euros, informó el estudio.
"Periódico financiero. Edición regional", 2008, N 41
En las condiciones modernas, la importancia de la seguridad de la información no puede subestimarse. La más mínima filtración de información confidencial a los competidores puede generar grandes pérdidas económicas para la empresa, detener la producción e incluso la quiebra.
Los objetivos de la seguridad de la información son: prevención de fugas, robos, pérdidas, distorsiones, falsificaciones de información; prevención de acciones no autorizadas para destruir, modificar, distorsionar, copiar, bloquear información; prevención de otras formas de interferencia ilícita con los recursos de información y los sistemas de información de la organización.
Los costos de proteger la información incluyen principalmente la adquisición de herramientas que aseguren su protección contra el acceso no autorizado. Hay muchos medios para garantizar la seguridad de la información, se pueden dividir condicionalmente en dos grandes grupos. El primero son los medios que tienen una base material, como cajas fuertes, cámaras de circuito cerrado de televisión, sistemas de seguridad, etc. En contabilidad, se tratan como activos fijos. El segundo son los medios que no tienen una base material, como los programas antivirus, los programas para restringir el acceso a la información en formato electrónico, etc. Considere las características de la contabilidad de tales medios para garantizar la seguridad de la información.
Al comprar un programa para garantizar la protección de la información, los derechos exclusivos no pasan al comprador, solo se compra una copia protegida del programa, que el comprador no puede copiar ni distribuir. Por lo tanto, al tener en cuenta tales programas, uno debe guiarse por el cap. VI "Contabilidad de transacciones relacionadas con la concesión (recepción) del derecho de uso de activos intangibles" de la nueva PBU 14/2007 "Contabilidad de activos intangibles".
En casos excepcionales, al comprar programas de seguridad de la información, la empresa adquiere derechos exclusivos para este producto. En este caso, el programa se contabilizará contablemente como activo intangible (IA).
De acuerdo con PBU 14/2007 en la contabilidad de activos intangibles provistos para su uso en los términos acuerdo de licencia, los pagos por el derecho de uso que se realizan en forma de un pago único fijo y los derechos exclusivos sobre los que no se transfieren al comprador, deben ser contabilizados por el destinatario como parte de los gastos diferidos y reflejados en el descuento. balance general (párrafo 39). Al mismo tiempo, el acuerdo de licencia establece el período durante el cual estos costos se cancelarán en las cuentas de gastos. En la contabilidad fiscal, los costos de adquisición de programas de protección de información para fines del impuesto a las ganancias se contabilizan como otros gastos y se cancelan de la misma manera, en cuotas iguales dentro del período establecido en el contrato de licencia (cláusula 26 cláusula 1 artículo 264 del Impuesto Código de la Federación Rusa).
Si el pago por el derecho a usar un producto de software que brinda protección de la información se realiza en forma de pagos periódicos, de acuerdo con el párrafo 39 de PBU 14/2007, el usuario los incluye en los gastos del período de informe en el que fueron hechos.
En la práctica, el acuerdo de licencia no siempre especifica el período de uso del software. Cuando no se puede definir claramente la relación entre ingresos y gastos, en la contabilidad fiscal, los costos de adquisición de los programas de protección de la información son distribuidos por el contribuyente de manera independiente para el cálculo del impuesto a las ganancias, teniendo en cuenta el principio de reconocimiento uniforme de ingresos y gastos (cláusula 1, artículo 272 del Código Fiscal de la Federación Rusa). En contabilidad, el período durante el cual estos costos se debitarán de la cuenta 97 lo establece la administración de la empresa en función del tiempo estimado de uso del programa.
Ejemplo 1. JSC "Alfa" ha adquirido una copia con licencia programa antivirus de Betta LLC por 118.000 rublos, IVA incluido (18%). El contrato de licencia establece el periodo de uso del programa durante 9 meses.
En la contabilidad de Alfa OJSC, el programa debe tenerse en cuenta de la siguiente manera:
Dt 60, Kt 51 - 118 000 rublos. - el proveedor ha sido pagado por el costo del software;
Dt 60, Kt 97 - 100 000 rublos. - el programa recibido se refleja como gastos diferidos;
Dr. 002 - 100 000 rublos. - el programa recibido se refleja en la cuenta fuera de balance;
Dt 19, Kt 60 - 18 000 rublos. - IVA asignado;
Dt 68, Kt 19 - 18 000 rublos. - aceptado para la deducción del IVA;
Dt 26 (44), Kt 97 - 11.111,11 rublos. (100,000 rublos: 9 meses): todos los meses durante 9 meses, el costo del programa antivirus se cancela en partes iguales a los gastos.
Cambiemos las condiciones del ejemplo 1: digamos que Alfa OJSC realiza un pago no de una vez, sino en cuotas iguales a lo largo de todo el término del contrato de licencia. Los importes de los pagos ascenderán a 11.800 rublos. al mes, incluido el IVA.
En este caso, se realizarán los siguientes asientos contables:
Dr. 002 - 90 000 rublos. (10,000 rublos x 9 meses): el programa recibido se refleja en la cuenta fuera de balance;
Dt 60, Kt 51 - 11.800 rublos. - mensualmente durante 9 meses el costo del producto de software se paga al proveedor;
Dt 19, Kt 60 - 1800 rublos. - IVA asignado;
Dt 26 (44), Kt 60 - 10,000 rublos. - el costo del programa se cancela como gastos;
Dt 68, Kt 19 - 1800 rublos. - aceptado para la deducción del IVA.
A menudo, antes de la expiración del contrato de licencia, la empresa de desarrollo de software protección de la información lanza una actualización. En este caso, los gastos en contabilidad y contabilidad fiscal serán aceptados en el momento de la actualización.
También es una práctica común que una empresa desarrolladora proporcione su software a las organizaciones durante un breve período de tiempo para que lo revisen de forma gratuita. Para reflejar correctamente el programa de seguridad de la información recibido de forma gratuita, debe incluirse en ingresos diferidos a valor de mercado.
Ejemplo 2. OOO "Betta" proporcionó el software JSC "Alfa" para la seguridad de la información durante un período de 3 meses de forma gratuita. El precio de mercado de este producto de software es de 3300 rublos.
En los registros contables de Alfa OJSC se deben realizar los siguientes asientos:
Dt 97, Kt 98 - 3300 rublos. - el software recibido gratuitamente se acepta para la contabilidad;
Dt 98, Kt 91 - 1100 rublos. - mensualmente durante tres meses, una parte de los ingresos diferidos se acepta como otros ingresos.
En la contabilidad fiscal, los ingresos de un programa recibido de forma gratuita también se aceptarán dentro de los tres meses (cláusula 2, artículo 271 del Código Fiscal de la Federación Rusa).
Los costos de protección de la información incluyen no solo la adquisición de herramientas de seguridad de la información, sino también los costos de servicios de consultoría (información) para la protección de la información (no relacionados con la adquisición de activos intangibles, activos fijos u otros activos de la organización). De acuerdo con el párrafo 7 de PBU 10/99 "Gastos de la organización", los costos de los servicios de consultoría en contabilidad se incluyen en los costos de las actividades ordinarias en el período del informe en el que se incurrió. En la contabilidad fiscal, se relacionan con otros gastos asociados con la producción y venta de productos (cláusula 15, cláusula 1, artículo 264 del Código Fiscal de la Federación Rusa).
Ejemplo 3. LLC "Betta" brindó servicios de consultoría sobre seguridad de la información a JSC "Alfa" por un monto total de 59,000 rublos, incluido el IVA: 9,000 rublos.
En los registros contables de Alfa OJSC se deben realizar los siguientes asientos:
Dt 76, Kt 51 - 59 000 rublos. - servicios de consultoría pagados;
Dt 26 (44), Ct 76 - 50,000 rublos. - los servicios de consultoría en seguridad de la información se dan de baja como gastos de actividades ordinarias;
Dt 19, Kt 76 - 9000 rublos. - IVA asignado;
Dt 68, Kt 19 - 9000 rublos. - aceptado para la deducción del IVA.
Las empresas que apliquen el régimen de tributación simplificada como gastos que reducen la base imponible del impuesto sobre la renta, de conformidad con los incisos. 19 p.1 art. 346.16 del Código Fiscal de la Federación Rusa podrá aceptar solo los costos de adquisición de programas que garanticen la seguridad de la información. Gastos por servicios de consultoría en seguridad de la información en el art. 346.16 del Código Fiscal de la Federación Rusa no se mencionan, por lo tanto, a los efectos de la tributación de las ganancias, las organizaciones no tienen derecho a aceptarlos.
V. Schanikov
asistente de auditora
departamento de auditoría
LLC "Panadero Tilly Rusaudit"
Existen dos enfoques principales para justificar los costos de seguridad de la información.
Enfoque científico. Para hacer esto, es necesario involucrar a la gerencia de la empresa (o su propietario) en la evaluación del costo de los recursos de información, determinando la evaluación del daño potencial por violaciones en el campo de la protección de la información.
1. Si el costo de la información es bajo, no hay amenazas significativas para los activos de información de la empresa y el daño potencial es mínimo, la seguridad de la información requiere menos financiamiento.
2. Si la información tiene cierto valor, las amenazas y los daños potenciales son significativos y definidos, entonces surge la pregunta de presupuestar los costos del subsistema de seguridad de la información. En este caso, es necesario construir sistema corporativo protección de la información.
Acercamiento práctico consiste en determinar la variante del coste real de un sistema de protección de la información corporativa en base a sistemas similares en otras áreas. Los profesionales de la seguridad de la información creen que el costo de un sistema de seguridad de la información debe ser aproximadamente del 10 al 20 % del costo de un sistema de información corporativo, según los requisitos específicos del régimen de seguridad de la información.
Los requisitos generalmente aceptados para garantizar el modo de seguridad de la información de "mejores prácticas" (basado en la experiencia práctica), formalizados en una serie de estándares, por ejemplo, ISO 17799, se ponen en práctica cuando se desarrollan métodos específicos para evaluar la eficacia de un sistema de seguridad de la información. sistema.
El uso de métodos modernos para estimar los costos de la seguridad de la información hace posible calcular la parte total del gasto de los activos de información de una organización, incluidos los costos directos e indirectos de hardware y software, medidas organizativas, formación y perfeccionamiento de los empleados, reorganización, reestructuración empresarial, etc.
Son necesarios para demostrar la rentabilidad de los sistemas de seguridad corporativos existentes y permitir que los jefes de los servicios de seguridad de la información justifiquen el presupuesto para la seguridad de la información, así como para demostrar la eficacia del trabajo de los empleados del servicio correspondiente. Los métodos de estimación de costos utilizados por empresas extranjeras permiten:
Obtener información adecuada sobre el nivel de seguridad de un entorno informático distribuido y el costo total de propiedad de un sistema de seguridad de la información corporativa.
Compare los departamentos de seguridad de la información de la organización entre sí y con departamentos similares de otras organizaciones en la industria.
Optimizar las inversiones en la seguridad de la información de la organización.
Uno de los métodos más conocidos para la estimación de costes en relación con un sistema de seguridad de la información es el método costo total de propiedad (TCO) por Gartner Group El indicador TCO se entiende como la suma de los costos directos e indirectos de la organización (reorganización), operación y mantenimiento del sistema de protección de la información corporativa durante el año. Se utiliza en casi todas las etapas principales del ciclo de vida de un sistema de seguridad de la información empresarial y permite justificar de forma objetiva e independiente la viabilidad económica de introducir y utilizar medidas técnicas y organizativas específicas y herramientas de seguridad de la información. Para la objetividad de la decisión, también es necesario tener en cuenta el estado del entorno externo e interno de la empresa, por ejemplo, indicadores del desarrollo tecnológico, personal y financiero de la empresa.
La comparación de un determinado indicador TCO con indicadores TCO similares en la industria (con empresas similares) le permite justificar de manera objetiva e independiente los costos de seguridad de la información de la organización. Después de todo, a menudo resulta bastante difícil o incluso casi imposible evaluar el efecto económico directo de estos costos.
El costo total de propiedad de un sistema de seguridad de la información generalmente consiste en el costo de:
trabajo de diseño,
Adquisición y configuración de herramientas de protección de software y hardware, incluidos los siguientes grupos principales: firewalls, herramientas criptográficas, antivirus y AAA (herramientas de autenticación, autorización y administración),
costos de seguridad física,
la formación del personal,
Gestión y soporte del sistema (administración de seguridad),
Auditoría de seguridad de la información, - Modernización periódica del sistema de seguridad de la información.
Sin embargo, los costos directos incluyen tanto los componentes del costo de capital (asociados con los activos fijos o "propiedad") como los costos laborales, que se contabilizan en operaciones y administración. Esto también incluye los costos de los servicios de usuarios remotos, etc., asociados con el apoyo a las actividades de la organización.
A su vez, los costos indirectos reflejan el impacto del sistema de información corporativo y el subsistema de protección de la información en los empleados de la organización a través de indicadores medibles como el tiempo de inactividad y los "congelamientos" del sistema de protección de la información corporativa y el sistema de información en su conjunto, los costos de operaciones y soporte (no relacionado con costos directos). Muy a menudo, los costos indirectos juegan un papel importante, ya que generalmente no se reflejan inicialmente en el presupuesto de seguridad de la información, sino que se identifican en el análisis de costos más adelante.
El cálculo de los indicadores del TCO de la organización se realiza en las siguientes áreas.
Componentes de un sistema de información corporativo(incluido el sistema de seguridad de la información) y las actividades de información de la organización (servidores, equipos cliente, dispositivos periféricos, dispositivos de red).
Gastos de seguridad de la información de hardware y software: consumibles y costos de depreciación ni servidores, equipos cliente (escritorios y computadoras móviles), periféricos y componentes de red.
Costos para organizar la seguridad de la información: mantenimiento del sistema de seguridad de la información, medios estándar de protección de dispositivos periféricos, servidores, dispositivos de red, planificación y gestión de procesos de seguridad de la información, desarrollo de un concepto y política de seguridad, y otros.
Costos de operaciones del sistema de información Esquemas: costes directos de personal, mano de obra y externalización en que incurre la organización en su conjunto o el servicio a realizar. apoyo técnico y operaciones de mantenimiento de infraestructura para los usuarios.
Gastos administrativos: costos directos de personal, apoyo de actividades y costos de proveedores internos/externos (vendedores) para apoyar las operaciones, incluyendo la gestión, financiamiento, adquisición y capacitación de sistemas de información.
Costos de transacción del usuario final: costos de autoapoyo del usuario final, capacitación formal del usuario final, capacitación ocasional (informal), desarrollo de aplicaciones independientes, soporte del sistema de archivos local.
Costos de tiempo de inactividad: pérdida anual de productividad del usuario final debido a interrupciones planificadas y no planificadas recursos de red incluyendo computadoras cliente, servidores compartidos, impresoras, programas de aplicación, recursos de comunicación y software de comunicación.