Annotazione: La conferenza discute i compiti e i metodi dell'analisi economica della fattibilità delle misure di attuazione per garantire la sicurezza delle informazioni in determinate condizioni.
Gestione della sicurezza delle informazioni, così come la gestione in molte altre aree di attività, comporta l'adozione periodica di varie decisioni gestionali, che, di norma, consistono nella scelta di determinate alternative (selezionando uno dei possibili schemi organizzativi o una delle soluzioni tecniche disponibili) o determinando determinati parametri organizzativi individuali e/o sistemi tecnici e sottosistemi. Uno dei possibili approcci alla scelta delle alternative in una situazione di prendere una decisione manageriale è il cosiddetto. approccio "volitivo", quando una decisione viene presa intuitivamente per un motivo o per l'altro, e non può essere stabilita una relazione causale formalmente motivata tra certe premesse iniziali e una decisione specifica. È ovvio che un'alternativa all'approccio "volitivo" è il processo decisionale basato su determinate procedure formali e analisi sequenziale.
La base di questa analisi e successive il processo decisionaleè l'analisi economica, che prevede lo studio di tutti (o almeno i principali) fattori sotto l'influenza dei quali si verifica lo sviluppo dei sistemi analizzati, i modelli del loro comportamento, le dinamiche del cambiamento, nonché l'uso di un universale valore monetario. È sulla base di modelli economici adeguatamente costruiti e dell'analisi economica svolta con il loro aiuto che dovrebbero essere prese decisioni riguardanti sia la strategia generale di sviluppo che le singole misure organizzative e tecniche, sia a livello di Stati, regioni e industrie, sia a livello il livello delle singole imprese, divisioni e sistemi informativi.
Allo stesso tempo, proprio come l'economia di qualsiasi settore ha le sue caratteristiche, l'economia della sicurezza delle informazioni, considerata come una disciplina relativamente indipendente, da un lato, si basa su alcune leggi economiche generali e metodi di analisi, e sulla dall'altro, ha bisogno della comprensione individuale, dello sviluppo di approcci specifici all'analisi, dell'accumulo di dati statistici specifici per quest'area, della formazione di idee stabili sui fattori sotto l'influenza dei quali Sistemi di informazione E strumenti per la sicurezza delle informazioni.
La complessità dei compiti dell'analisi economica in quasi tutte le aree di attività, di norma, è dovuta al fatto che molti parametri chiave dei modelli economici non possono essere stimati in modo affidabile e sono di natura probabilistica (come, ad esempio, indicatori della domanda dei consumatori). L'analisi è inoltre complicata dal fatto che anche piccole fluttuazioni (correzione delle stime) di tali parametri possono influenzare seriamente i valori della funzione obiettivo e, di conseguenza, le decisioni prese sulla base dei risultati dell'analisi. Pertanto, al fine di garantire la massima affidabilità possibile dei calcoli nel processo di conduzione dell'analisi economica e il processo decisionaleè necessario organizzare un insieme di lavori per raccogliere le prime informazioni, calcolare i valori predittivi, intervistare esperti nei vari campi ed elaborare tutti i dati. Allo stesso tempo, nel processo di conduzione di tale analisi, è necessario prestare particolare attenzione alle decisioni intermedie riguardanti le stime di alcuni parametri inclusi nel modello generale. È inoltre necessario tenere conto del fatto che tale analisi stessa può rivelarsi una procedura piuttosto dispendiosa in termini di risorse e richiedere il coinvolgimento di ulteriori specialisti e consulenti di terze parti, nonché gli sforzi di vari specialisti (esperti) lavorare presso l'impresa stessa - tutti questi costi alla fine dovranno essere giustificati.
La particolare complessità dell'analisi economica in un'area come Informazioni di sicurezza, è determinato da fattori specifici quali:
Ciò richiede ulteriori sforzi per organizzare il processo di analisi economica e spesso porta anche al fatto che molte delle decisioni prese relative alla garanzia della sicurezza delle informazioni potrebbero rivelarsi inadeguate. Esempi di situazioni in cui il sottosviluppo della metodologia di analisi economica influisce negativamente sullo stato della sicurezza delle informazioni possono essere casi in cui:
Nel corso delle loro attuali attività, le imprese devono costantemente affrontare alcuni cambiamenti: i processi aziendali vengono perfezionati, le condizioni di mercato e i mercati per le risorse materiali e i servizi consumati stanno cambiando, nuove tecnologie stanno emergendo, i concorrenti e le controparti stanno cambiando il loro comportamento, la legislazione e la politica statale stanno cambiando, ecc. d. In queste condizioni, i manager (compresi quelli responsabili di garantire la sicurezza delle informazioni) devono analizzare costantemente i cambiamenti in corso e adattare il proprio lavoro alla situazione in continua evoluzione. Le forme specifiche in cui si manifesta la reazione dei leader possono essere diverse. Può trattarsi di un cambiamento nella politica di marketing, una riorganizzazione dei processi aziendali, un cambiamento nella tecnologia, un cambiamento in un prodotto, una fusione con concorrenti o il loro assorbimento, ecc. Tuttavia, con tutta la varietà di possibili modelli di comportamento in un ambiente in evoluzione, quasi tutti sono accomunati da un importante elemento metodologico comune: nella maggior parte dei casi, la reazione delle imprese a nuove minacce e nuove opportunità comporta l'implementazione di nuove , investimenti più o meno a lungo termine e ad alta intensità di risorse (investimenti) in determinate misure organizzative e/o tecniche che, da un lato, comportano il dispendio di risorse ( Soldi), e dall'altro offrono l'opportunità di ottenere nuovi benefici, espressi in un aumento del reddito o in una riduzione di alcune spese correnti.
Pertanto, in una situazione in cui è necessario attuare alcune nuove misure organizzative o tecniche (attuare un progetto), il compito principale dei responsabili dell'efficace organizzazione della sicurezza delle informazioni è quello di correlare chiaramente i costi che dovranno essere sostenuti in connessione con l'implementazione di questo evento (sia una tantum che corrente costante) e flussi di cassa aggiuntivi (nuovi) che verranno ricevuti. IN questo caso il flusso di cassa può essere inteso come risparmio sui costi, prevenzione delle perdite e reddito aggiuntivo per l'impresa.
Come indicatore principale che riflette questo rapporto, nella pratica economica è consuetudine utilizzare la funzione di ritorno sull'investimento - Ritorno sull'investimento, .
| (14.1) |
La funzione di attualizzazione viene utilizzata nell'analisi degli investimenti di investimento per tenere conto dell'influenza del fattore tempo e portare i costi multitemporali a un momento (di solito il momento in cui inizia il progetto). Il tasso di sconto in questo caso consente di tenere conto della variazione del valore del denaro nel tempo.
Il modello di ritorno sull'investimento (14.1) dimostra chiaramente i due compiti principali che devono essere risolti quando si analizza un progetto di investimento e, in particolare, un progetto di sicurezza delle informazioni: calcolare i costi associati al progetto e calcolare il flusso di cassa aggiuntivo. Se la metodologia per il calcolo del costo totale () negli ultimi 10-15 anni, nel suo insieme, è stata completamente formata (sotto forma del concetto di "Costo totale di proprietà", TCO - Costo totale di proprietà, TCO ) ed è utilizzato attivamente nella pratica in relazione a vari tipi sistemi informativi ed elementi dell'infrastruttura informativa, quindi il calcolo del flusso di cassa aggiuntivo () derivante dagli investimenti in strumenti per la sicurezza delle informazioni di solito causa seri problemi. Uno degli approcci più promettenti per il calcolo di questo indicatore è una tecnica basata su una valutazione quantitativa (monetaria) dei rischi di danni alle risorse informative e una valutazione della riduzione di tali rischi associati all'attuazione di misure aggiuntive per proteggere le informazioni.
Pertanto, in generale, la composizione della metodologia per l'analisi della fattibilità di investimenti in progetti volti a garantire la sicurezza delle informazioni è presentata schematicamente in fig. 14.1.
L'analisi dei costi associati all'attuazione del progetto, sebbene sia un compito relativamente più semplice, può comunque causare alcune difficoltà. Così come per molti altri progetti nel campo della tecnologia dell'informazione, è consigliabile effettuare analisi dei costi per l'implementazione di progetti nel campo della sicurezza delle informazioni, sulla base della nota metodologia di base "Total Cost of Ownership" - TCO (Total Cost of Ownership - TCO), introdotto da una società di consulenza "Gartner Group" nel 1987 in relazione ai personal computer. In generale, questa tecnica è focalizzata a garantire la completezza dell'analisi dei costi (sia diretti che indiretti) associati alle tecnologie dell'informazione e ai sistemi informativi in situazioni in cui è necessario valutare le conseguenze economiche dell'introduzione e dell'uso di tali sistemi: quando valutare l'efficacia degli investimenti, confrontare tecnologie alternative, redigere capitali e budget correnti, ecc.
In generale, il valore totale del CER include:
Inoltre, nel calcolo dei costi per aumentare il livello di sicurezza delle informazioni, è necessario includere i costi di riorganizzazione dei processi aziendali e del lavoro informativo con il personale: pagamento per i servizi di consulenti aziendali e consulenti per la sicurezza delle informazioni, costi per lo sviluppo dell'organizzazione documentazione, costi per lo svolgimento di audit sulla sicurezza delle informazioni, ecc. .P. Inoltre, nell'analisi dei costi, è anche necessario tenere conto del fatto che nella maggior parte dei casi l'introduzione di strumenti di sicurezza delle informazioni implica l'emergere di ulteriori responsabilità per il personale dell'impresa e la necessità di svolgere operazioni aggiuntive quando si lavora con sistemi di informazione. Ciò provoca una diminuzione della produttività dei dipendenti dell'impresa e, di conseguenza, può causare costi aggiuntivi.
Lo scopo dello studio: analizzare e identificare le principali tendenze nel mercato russo della sicurezza delle informazioni
Sono stati utilizzati i dati Rosstat (moduli di segnalazione statistica n. 3-Inform, P-3, P-4), rapporti contabili delle imprese, ecc.
È stato analizzato il periodo 2012-2016. I dati non pretendono di essere completi (poiché sono raccolti presso un numero limitato di imprese), ma, a nostro avviso, possono essere utilizzati per valutare le tendenze. Il numero di imprese intervistate per il periodo in esame variava da 200 a 210 mila. Cioè, il campione è abbastanza stabile e include i consumatori più probabili (grandi e medie imprese), che rappresentano la maggior parte delle vendite.
Secondo il modulo di segnalazione statistica 3-Inform, nel 2016 le organizzazioni russe che hanno fornito informazioni su questo modulo avevano circa 12,4 milioni di unità di personal computer (PC). Per PC, in questo caso, intendiamo desktop e computer portatili, questo concetto non include i dispositivi mobili Telefono cellulare e personal computer tascabili.
Negli ultimi 5 anni, il numero di unità PC nelle organizzazioni in Russia nel suo complesso è cresciuto del 14,9%. Il distretto federale più attrezzato è il Distretto Federale Centrale, che rappresenta il 30,2% dei PC nelle aziende. Il leader indiscusso in questo indicatore è la città di Mosca, secondo i dati del 2016, ci sono circa 1,8 milioni di PC nelle aziende di Mosca. Il valore più basso dell'indicatore è stato rilevato nel Distretto Federale del Caucaso settentrionale, nelle organizzazioni distrettuali ci sono solo circa 300mila unità di PC, il numero più piccolo nella Repubblica di Inguscezia - 5,45mila unità.
Nel periodo 2014-2015. a causa della sfavorevole situazione economica, le aziende russe sono state costrette a ridurre al minimo i propri costi, compresi i costi delle tecnologie dell'informazione e della comunicazione. Nel 2014 la riduzione dei costi ICT è stata pari al 5,7%, ma a fine 2015 si è registrato un trend leggermente positivo. Nel 2016, i costi delle società russe per le tecnologie dell'informazione e della comunicazione ammontavano a 1,25 trilioni. rubli, superando dello 0,3% il dato pre-crisi del 2013.
La parte principale dei costi ricade sulle società con sede a Mosca: oltre 590 miliardi di rubli, ovvero il 47,2% del totale. I maggiori volumi di spese delle organizzazioni per le tecnologie dell'informazione e della comunicazione nel 2016 sono stati registrati in: Regione di Mosca - 76,6 miliardi di rubli, San Pietroburgo - 74,4 miliardi di rubli, Regione di Tyumen - 56,0 miliardi di rubli, Repubblica del Tatarstan - 24,7 miliardi di rubli, Nizhny Regione di Novgorod - 21,4 miliardi di rubli. I costi più bassi sono stati rilevati nella Repubblica di Inguscezia: 220,3 milioni di rubli.
Recentemente, c'è stato un aumento significativo del numero di aziende che utilizzano strumenti di protezione della sicurezza delle informazioni. Il tasso di crescita annuale del loro numero è abbastanza stabile (ad eccezione del 2014) ed è di circa l'11-19% all'anno.
Secondo i dati ufficiali di Rosstat, I mezzi di protezione più diffusi attualmente sono i mezzi tecnici di autenticazione dell'utente (token, chiavi USB, smart card). Delle oltre 157mila aziende, 127mila aziende (81%) hanno indicato l'utilizzo di questi particolari strumenti come protezione delle informazioni.
Secondo le statistiche ufficiali, nel 2016, 161.421 aziende hanno utilizzato Internet globale per scopi commerciali. Tra le organizzazioni che utilizzano Internet per scopi commerciali e che hanno indicato l'utilizzo di strumenti per la sicurezza delle informazioni, la più diffusa è la firma digitale elettronica. Oltre 146.000 aziende, pari al 91% del totale, hanno indicato questo strumento come mezzo di tutela. Secondo l'uso degli strumenti di sicurezza delle informazioni, le società sono state distribuite come segue:
Nel periodo 2012-2016 il numero di imprese che utilizzano Internet per scopi commerciali è aumentato del 34,9%. Nel 2016, 155.028 aziende hanno utilizzato Internet per comunicare con i fornitori e 110.421 aziende hanno utilizzato Internet per comunicare con i consumatori. Delle società che utilizzano Internet per comunicare con i fornitori, lo scopo dell'uso indicato:
Del numero totale di aziende che utilizzano Internet per comunicare con i consumatori, lo scopo dell'uso indicato:
Secondo Tesoro federale, il volume complessivo dei limiti degli impegni di bilancio per il 2017, portato all'attenzione delle autorità esecutive federali (di seguito FOIV) ai sensi del codice della tipologia di spesa 242 "Acquisto di beni, lavori, servizi nel campo dell'informazione e tecnologie della comunicazione" in termini di informazioni che non sono un segreto di stato, al 1° agosto 2017 ammontavano a 115,2 miliardi di rubli, che è circa il 5,1% in più rispetto all'importo totale dei budget per le tecnologie dell'informazione delle autorità esecutive federali in 2016 (109,6 miliardi di rubli, secondo il Ministero delle comunicazioni). Pertanto, con la continua crescita del volume totale dei budget IT dei dipartimenti federali di anno in anno, il tasso di crescita è diminuito (nel 2016 il volume totale dei budget IT è aumentato dell'8,3% rispetto al 2015). In cui c'è una stratificazione sempre crescente in "ricchi" e "poveri" in termini di spesa per i dipartimenti di tecnologia dell'informazione e della comunicazione. Il leader indiscusso non solo in termini di dimensioni del budget, ma anche in termini di livello di risultati nel campo dell'IT è il Servizio fiscale federale. Il suo budget per le TIC quest'anno è di oltre 17,6 miliardi di rubli, che è più del 15% del budget di tutte le autorità esecutive federali. La quota complessiva dei primi cinque (FTS, PFR, Tesoro, Ministero dell'Interno, Ministero delle Comunicazioni) è superiore al 53%.
Dal 1 gennaio 2016, tutte le autorità statali e municipali, le società statali Rosatom e Roscosmos, gli organi di gestione dei fondi statali fuori bilancio, nonché le istituzioni statali e di bilancio che effettuano acquisti in conformità con i requisiti della legge federale n. 44 del 5 aprile 2013 -FZ "Sul sistema contrattuale in materia di appalti di beni, lavori, servizi per soddisfare esigenze statali e comunali", sono tenuti a rispettare il divieto di ammissione di software proveniente da paesi esteri ai fini della appalti per esigenze statali e comunali. Il divieto è stato introdotto dal decreto del governo della Federazione Russa del 16 novembre 2015 n. 1236 "Sull'istituzione del divieto di ammissione di software proveniente da paesi stranieri ai fini dell'approvvigionamento per esigenze statali e municipali". All'atto dell'acquisto di software, i clienti di cui sopra dovranno espressamente indicare nell'avviso di acquisto il divieto di acquistare software di importazione. Il divieto si applica all'acquisto di programmi per elaboratori elettronici e banche dati, attuato indipendentemente dal tipo di contratto su supporto materiale e (o) in forma elettronica attraverso canali di comunicazione, nonché diritti esclusivi su tale software e diritti di utilizzo di tale software .
Ci sono alcune eccezioni quando è consentito l'acquisto di software importato per i clienti.
In tutti gli altri casi, il cliente dovrà lavorare con unico registro Programmi russi per computer elettronici e database e un classificatore di programmi per computer elettronici e database.
La formazione e il mantenimento del registro come organo esecutivo federale autorizzato è effettuata dal Ministero delle telecomunicazioni e delle comunicazioni di massa della Russia.
Alla fine di agosto 2017, il registro comprende 343 prodotti software appartenenti alla classe "strumenti per la sicurezza delle informazioni" di 98 società di sviluppo russe. Tra questi ci sono prodotti software di grandi sviluppatori russi come:
Per analizzare le tendenze, abbiamo selezionato 18 aziende che sono tra i leader nel mercato della sicurezza delle informazioni e sono attivamente coinvolte negli appalti pubblici. L'elenco comprende sia gli sviluppatori diretti di software e sistemi di protezione software e hardware, sia i più grandi integratori di sistema. Il fatturato totale di queste società nel 2016 è stato di 162,3 miliardi di rubli, superando la cifra del 2015 dell'8,7%.
Di seguito è riportato un elenco delle aziende selezionate per lo studio.
| № | Nome | LATTINA | Tipo di attività (OKVED 2014) |
| 1 | I-Teco JSC | 7736227885 | Attività connesse all'uso di computer e tecnologie dell'informazione, altro (62.09) |
| 2 | Croc Incorporated, CJSC | 7701004101 | |
| 3 | "Informzashchita", CJSC NIP | 7702148410 | Ricerca e sviluppo nel campo delle scienze sociali e umanistiche (72.20) |
| 4 | Softline Commercio JSC | 7736227885 | |
| 5 | Technoserv AS, LLC | 7722286471 | Commercio all'ingrosso di altri macchinari e attrezzature (46,69) |
| 6 | "Elvis plus", JSC | 7735003794 | |
| 7 | Asteros JSC | 7721163646 | Commercio all'ingrosso di computer, periferiche per computer e software (46.51 |
| 8 | Acquario Società di Produzione, LLC | 7701256405 | |
| 9 | Lanit, CJSC | 7727004113 | Commercio all'ingrosso di altre macchine e attrezzature per ufficio (46,66) |
| 10 | Jet Infosystems, CJSC | 7729058675 | Commercio all'ingrosso di computer, periferiche e software (46,51) |
| 11 | Dialognauka JSC | 7701102564 | Sviluppo di software per computer (62.01) |
| 12 | "Fattore-TS", LLC | 7716032944 | Fabbricazione di computer e periferiche (26.20) |
| 13 | "InfoTeKS", JSC | 7710013769 | Sviluppo di software per computer (62.01) |
| 14 | Ural Center for Security Systems, LLC | 6672235068 | Attività nel campo dell'architettura, perizie ingegneristiche e consulenza tecnica in questi settori (71.1) |
| 15 | ICL-KPO VS JSC | 1660014361 | Sviluppo di software per computer (62.01) |
| 16 | NVision Group JSC | 7703282175 | Commercio all'ingrosso non specializzato (46,90) |
| 17 | Confident-integration, LLC | 7811512250 | Attività di trattamento dei dati, fornitura di servizi di hosting di informazioni e attività connesse (63.11) |
| 18 | "Kaluga Astrale", CJSC | 4029017981 | Attività di consulenza e lavoro sul campo informatica (62.02 |
Alla fine di ottobre 2017, le società del campione presentato hanno concluso 1.034 contratti con agenzie governative per un importo di 24,6 miliardi di rubli. I-Teco è il leader in questo elenco in termini di volume di contratti conclusi: 74 contratti per un valore di 7,5 miliardi di rubli.
Negli ultimi anni, ad eccezione dell'anno di crisi del 2014, si può notare un costante aumento del volume totale dei contratti per aziende selezionate. La dinamica più significativa cade nel periodo 2015-2016. Pertanto, nel 2015 c'è stato un aumento del volume dei contratti di oltre 3,5 volte, nel 2016 di 1,5 volte. Secondo i dati disponibili sulle attività contrattuali delle imprese per il periodo gennaio-ottobre 2017, si può presumere che nel 2017 il volume totale dei contratti con le agenzie governative sarà di circa 37-38 miliardi di rubli, ovvero una diminuzione di circa Si prevede il 40%.
Stanno investendo in una varietà di tecnologie di sicurezza informatica, dalle piattaforme per pagare ricompense per scoprire le vulnerabilità del software alla diagnostica e ai test automatizzati del software. Ma soprattutto sono attratti dalle tecnologie di autenticazione e gestione delle informazioni sull'identità: circa 900 milioni di dollari sono stati investiti in startup impegnate in queste tecnologie alla fine del 2019.
Gli investimenti nelle startup di educazione alla sicurezza informatica hanno raggiunto $ 418 milioni nel 2019, aiutati da KnowBe4, che ha raccolto $ 300 milioni. La startup offre una piattaforma di simulazione di attacchi di phishing e una serie di programmi di formazione.
Circa 412 milioni di dollari nel 2019 sono stati ricevuti da aziende coinvolte nella sicurezza dell'Internet delle cose. In questa categoria, SentinelOne è leader in termini di investimenti, che nel 2019 hanno ricevuto 120 milioni di dollari per sviluppare tecnologie di protezione degli endpoint.
Allo stesso tempo, gli analisti di Metacurity forniscono altri dati che caratterizzano la situazione nel mercato del finanziamento del capitale di rischio nel settore della sicurezza delle informazioni. Nel 2019, il volume degli investimenti qui ha raggiunto i 6,57 miliardi di dollari, rispetto ai 3,88 miliardi di dollari del 2018. Anche il numero di transazioni è aumentato, passando da 133 a 219. Allo stesso tempo, il volume medio di investimenti per transazione è rimasto praticamente invariato e ammontava a 29,2 milioni a fine 2019, calcolato in Metacurity.
Nel 2018 le vendite di apparecchiature, software e servizi destinati alla sicurezza informatica (IS) hanno raggiunto i 37 miliardi di dollari, con un aumento del 9% rispetto a un indicatore di prescrizione annuale (34 miliardi di dollari). Tali dati sono stati pubblicati il 28 marzo 2019 dagli analisti di Canalys.
Mentre molte aziende danno la priorità alla protezione delle proprie risorse, dati, endpoint, reti, dipendenti e clienti, la sicurezza informatica ha rappresentato solo il 2% della spesa IT totale nel 2018, hanno affermato. Tuttavia, stanno emergendo sempre più nuove minacce, stanno diventando più complesse e più frequenti, il che offre ai produttori di soluzioni di sicurezza delle informazioni nuove opportunità di crescita. La spesa totale per la sicurezza informatica dovrebbe superare i 42 miliardi di dollari nel 2020.
L'analista di Canalys, Matthew Ball, ritiene che la transizione verso nuovi modelli di implementazione della sicurezza delle informazioni accelererà. I clienti stanno cambiando la natura dei loro budget IT con servizi cloud pubblici e servizi flessibili basati su abbonamento.
Circa l'82% dei progetti di implementazione della sicurezza delle informazioni nel 2018 ha comportato l'uso di hardware e software tradizionali. Nel restante 18% dei casi sono stati utilizzati servizi di virtualizzazione, public cloud e sicurezza informatica.
Entro il 2020, la quota dei tradizionali modelli di implementazione dei sistemi di sicurezza delle informazioni scenderà al 70%, poiché le nuove soluzioni stanno guadagnando popolarità sul mercato.
| I fornitori dovranno creare un'ampia gamma di modelli di business per supportare questa transizione in quanto diversi prodotti sono adatti tipi diversi distribuzioni. La sfida principale per molti oggi è rendere i nuovi modelli più focalizzati sul canale di affiliazione e integrarli con quelli esistenti. programmi di affiliazione, in particolare con le transazioni dei clienti tramite piattaforme cloud. Alcuni mercati cloud hanno già risposto a ciò consentendo ai partner di offrire offerte e prezzi personalizzati direttamente ai clienti monitorando le registrazioni delle offerte e gli sconti, ha affermato Matthew Ball in un post del 29 marzo 2019. |
Secondo l'analista di Canalys Ketaki Borade, i principali fornitori di tecnologia per la sicurezza informatica hanno introdotto nuovi modelli di distribuzione dei prodotti che coinvolgono le aziende che passano a uno schema di abbonamento e aumentano le operazioni nell'infrastruttura cloud.
| Il mercato della sicurezza informatica è rimasto altamente dinamico, con attività e volume di accordi record in risposta ai crescenti requisiti normativi e tecnici, nonché al continuo rischio pervasivo di violazioni dei dati, ha affermato Eric McAlpine, co-fondatore e managing partner di Momentum Cyber. “Riteniamo che questo slancio continuerà a spingere il settore in un nuovo territorio mentre cerca di contrastare le minacce emergenti e si consolida di fronte alla stanchezza dei fornitori e alla crescente carenza di competenze. |
Nel 2017 le spese globali per la sicurezza delle informazioni (IS) - prodotti e servizi - hanno raggiunto i 101,5 miliardi di dollari, ha dichiarato la società di ricerca Gartner a metà agosto 2018. Alla fine del 2017, gli esperti stimavano questo mercato a 89,13 miliardi di dollari, ma il motivo del significativo aumento della stima non viene riportato.
| I CIO si impegnano ad aiutare le loro organizzazioni a utilizzare in modo sicuro le piattaforme tecnologiche per diventare più competitive e guidare la crescita del business, ha affermato Siddharth Deshpande, direttore della ricerca di Gartner. - La continua carenza di competenze e le modifiche normative come il regolamento generale sulla protezione dei dati (GDPR) in Europa stanno alimentando un'ulteriore crescita nel mercato dei servizi di sicurezza informatica. |
Gli esperti ritengono che uno dei fattori chiave che contribuiscono all'aumento del costo della protezione delle informazioni sia l'introduzione di nuovi metodi di rilevamento e risposta alle minacce: sono diventati la massima priorità di sicurezza delle organizzazioni nel 2018.
Secondo le stime di Gartner, nel 2017 la spesa delle organizzazioni per i servizi di difesa informatica ha superato globalmente i 52,3 miliardi di dollari e nel 2018 tali costi saliranno a 58,9 miliardi di dollari.
Nel 2017, le aziende hanno speso 2,4 miliardi di dollari per la protezione delle applicazioni, 2,6 miliardi di dollari per la protezione dei dati e 2,6 miliardi di dollari per la protezione dei dati. servizi cloud- 185 milioni di dollari
Le vendite annue di soluzioni per la gestione dell'identificazione e dell'accesso (Identity And Access Management) sono state pari a 8,8 miliardi L'implementazione dei mezzi di protezione dell'infrastruttura IT è aumentata a 12,6 miliardi di dollari.
Lo studio parla anche di spendere 10,9 miliardi di dollari in attrezzature utilizzate per fornire sicurezza della rete. I loro produttori hanno guadagnato 3,9 miliardi di dollari dai sistemi di gestione dei rischi per la sicurezza delle informazioni.
La spesa per la sicurezza delle informazioni dei consumatori per il 2017 è stimata dagli analisti a 5,9 miliardi di dollari, secondo uno studio di Gartner.
A dicembre 2017 è stato reso noto che le spese mondiali delle aziende per garantire la sicurezza delle informazioni (IS) nel 2017 sarebbero state pari a 89,13 miliardi di dollari Secondo le stime di Gartner, le spese aziendali per la sicurezza informatica di quasi 7 miliardi di dollari supereranno l'importo del 2016 di 82,2 miliardi di dollari .
Gli esperti considerano i servizi di sicurezza informatica la voce di spesa maggiore: nel 2017 le aziende stanzieranno oltre 53 miliardi di dollari per questi scopi contro i 48,8 miliardi di dollari del 2016. Il secondo segmento più grande del mercato della sicurezza delle informazioni è rappresentato dalle soluzioni di protezione delle infrastrutture, i cui costi nel 2017 ammonteranno a 16,2 miliardi di dollari invece dei 15,2 miliardi di dollari di un anno fa. Le apparecchiature per la sicurezza della rete - al terzo posto (10,93 miliardi di dollari).
La struttura dei costi per la sicurezza delle informazioni include anche software consumer per la sicurezza delle informazioni e sistemi di identificazione e gestione degli accessi (Identity and Access Management, IAM). Nel 2017, Gartner stima i costi in queste aree a $ 4,64 miliardi e $ 4,3 miliardi, mentre nel 2016 le cifre erano rispettivamente a $ 4,57 miliardi e $ 3,9 miliardi.
Gli analisti prevedono un ulteriore aumento del mercato della sicurezza delle informazioni: nel 2018, le organizzazioni aumenteranno la spesa per la difesa informatica di un altro 8% e stanzieranno un totale di 96,3 miliardi di dollari per questi scopi e riorienteranno le aziende verso una strategia di business digitale.
| In generale, la spesa per la sicurezza informatica è in gran parte dovuta alla reazione delle aziende agli incidenti di sicurezza informatica, perché il numero di attacchi informatici risonanti e fughe di informazioni di cui soffrono le organizzazioni sta crescendo in tutto il mondo, - Ruggero Contu, direttore della ricerca di Gartner, commenta la previsione . |
Le parole dell'analista sono confermate anche dai dati ottenuti da Gartner nel 2016 durante un sondaggio che ha coinvolto 512 organizzazioni di otto Paesi: Australia, Canada, Francia, Germania, India, Singapore e Stati Uniti.
Il 53% degli intervistati ha citato il rischio di sicurezza informatica come il principale fattore alla base dell'aumento della spesa per la sicurezza informatica. Di quel numero, la percentuale più alta degli intervistati ha affermato che la minaccia degli attacchi informatici è la maggiore influenza sulle decisioni di spesa per la sicurezza delle informazioni.
Le previsioni di Gartner per il 2018 prevedono un aumento della spesa in tutte le principali aree. Pertanto, circa 57,7 miliardi di dollari (+4,65 miliardi di dollari) saranno spesi in servizi di difesa informatica, circa 17,5 miliardi di dollari (+1,25 miliardi di dollari) in sicurezza delle infrastrutture e 11,67 miliardi di dollari (+1,25 miliardi di dollari) in apparecchiature per la protezione delle reti (735 milioni di dollari), in software consumer - 4,74 miliardi di dollari (+109 milioni di dollari) e sui sistemi IAM - 4,69 miliardi di dollari (+416 milioni di dollari).
Gli analisti ritengono inoltre che entro il 2020 oltre il 60% delle organizzazioni nel mondo investirà contemporaneamente in diversi strumenti di protezione dei dati, tra cui prevenzione della perdita di informazioni, crittografia e auditing. Alla fine del 2017, la quota di aziende che acquistano tali soluzioni era stimata al 35%.
Un'altra voce significativa dei costi aziendali per la sicurezza delle informazioni sarà il coinvolgimento di specialisti di terze parti. Si prevede che, sullo sfondo della carenza di personale nel campo della sicurezza informatica, la crescente complessità tecnica dei sistemi di sicurezza informatica e l'aumento delle minacce informatiche dei costi delle società per l'outsourcing della sicurezza informatica nel 2018 aumenteranno dell'11% e saranno di $ 18,5 miliardi.
Gartner stima che entro il 2019, la spesa aziendale per esperti di sicurezza informatica di terze parti rappresenterà il 75% della spesa totale per software e hardware di sicurezza informatica, rispetto al 63% nel 2016.
Due terzi dei costi ricadranno su società legate a grandi e grandissime imprese. Entro il 2019, secondo gli analisti di IDC, la spesa delle aziende con più di 1.000 dipendenti supererà i 50 miliardi di dollari.
Nell'ottobre 2016, la società di analisi IDC ha presentato i brevi risultati di uno studio sul mercato globale della sicurezza delle informazioni. Si prevede che la sua crescita sarà una vedova superiore a quella del mercato IT.
IDC ha calcolato che le vendite globali di apparecchiature, software e servizi per la protezione informatica raggiungeranno circa 73,7 miliardi di dollari nel 2016 e nel 2020 l'indicatore supererà i 100 miliardi di dollari, avendo guadagnato 101,6 miliardi di dollari. le tecnologie cresceranno a una media dell'8,3% annuo, che è il doppio del tasso di crescita previsto del settore IT.
Le maggiori spese per la sicurezza informatica (8,6 miliardi di dollari) alla fine del 2016 sono attese nelle banche. Il secondo, il terzo e il quarto posto in termini di dimensione di tali investimenti saranno localizzati rispettivamente da imprese manifatturiere discrete, enti governativi e imprese manifatturiere continue, che rappresenteranno circa il 37% dei costi.
Gli analisti danno la leadership nelle dinamiche di aumento degli investimenti in cybersecurity alla sanità (si prevede una crescita media annua del 10,3% nel 2016-2020). Il costo della difesa informatica nelle telecomunicazioni, nell'edilizia abitativa, nelle agenzie governative e nel mercato degli investimenti e dei titoli aumenterà di circa il 9% all'anno.
Il più grande mercato della sicurezza informatica, i ricercatori lo chiamano quello americano, il cui volume raggiungerà i 31,5 miliardi di dollari nel 2016. I primi tre includeranno anche l'Europa occidentale e la regione Asia-Pacifico (escluso il Giappone). Non ci sono informazioni sul mercato russo nella versione breve dello studio IDC.
Dmitry Gvozdev, direttore generale della società russa Security Monitor, prevede un aumento della quota di servizi nella spesa totale per la sicurezza russa dal 30-35% al 40-45% e prevede anche lo sviluppo della struttura del mercato dei clienti - dal totale predominanza dei settori statale, finanziario ed energetico rispetto alle medie imprese di una gamma più ampia di settori.
| Una delle tendenze dovrebbe essere lo sviluppo della quota di prodotti software nazionali in relazione alle questioni della sostituzione delle importazioni e alla situazione della politica estera. Tuttavia, il modo in cui ciò si rifletterà sulla performance finanziaria dipenderà in gran parte dal tasso di cambio del rublo e dalla politica dei prezzi dei fornitori stranieri, che occupano ancora almeno la metà del mercato nazionale delle soluzioni software e fino a due terzi nel segmento delle apparecchiature. Anche il risultato finanziario annuale finale di tutto il mercato russo delle soluzioni di sicurezza informatica può essere collegato a fattori economici esterni, ha riferito Gvozdev in una conversazione con TAdviser. |
DIMENSIONI DEL MERCATO
SPESA FEDERALE
CRIMINE INFORMATICO
COSTO PER VIOLAZIONE
SERVIZI FINANZIARI
Internazionale
ANALISI DI SICUREZZA
Il volume del mercato dei mezzi di sicurezza della regione EMEA (Europa, Medio Oriente e Africa) è cresciuto del 2,4% rispetto al 2012 e si è attestato a 2,5 miliardi di dollari. reti di computer– Soluzioni UTM (Gestione unificata delle minacce). Allo stesso tempo, IDC ha previsto che il mercato mezzi tecnici la sicurezza delle informazioni entro il 2018 raggiungerà i 4,2 miliardi di dollari in termini di valore con una crescita media annua del 5,4%.
Alla fine del 2013, la posizione di leader tra i fornitori in termini di ricavi derivanti dalla vendita di mezzi tecnici di sicurezza informatica nella regione EMEA era occupata da Check Point. Secondo IDC, le entrate del venditore in questo segmento per il 2013 sono aumentate del 3,8% e ammontano a 374,64 milioni di dollari, che corrisponde a una quota di mercato del 19,3%.
Il mercato globale della sicurezza delle informazioni crescerà ogni anno dell'8% fino al 2016, quando potrebbe raggiungere i 36 miliardi di euro, secondo lo studio.
"Giornale finanziario. Emissione regionale", 2008, N 41
Nelle condizioni moderne, l'importanza della sicurezza delle informazioni non può essere sottovalutata. La minima perdita di informazioni riservate ai concorrenti può portare a grandi perdite economiche per l'azienda, interrompere la produzione e persino il fallimento.
Gli obiettivi della sicurezza delle informazioni sono: prevenzione della fuga, del furto, della perdita, della distorsione, della contraffazione delle informazioni; prevenzione di azioni non autorizzate volte a distruggere, modificare, distorcere, copiare, bloccare informazioni; prevenzione di altre forme di interferenza illecita con risorse informative e sistemi informativi dell'organizzazione.
I costi di protezione delle informazioni includono principalmente l'acquisizione di strumenti che ne garantiscano la protezione da accessi non autorizzati. Esistono molti mezzi per garantire la sicurezza delle informazioni, possono essere suddivisi condizionatamente in due grandi gruppi. Il primo sono i mezzi che hanno una base materiale, come casseforti, telecamere a circuito chiuso, sistemi di sicurezza, ecc. In contabilità, sono trattati come immobilizzazioni. Il secondo è mezzi che non hanno una base materiale, come programmi antivirus, programmi per limitare l'accesso alle informazioni in formato elettronico, ecc. Considera le caratteristiche della contabilizzazione di tali mezzi per garantire la sicurezza delle informazioni.
Quando si acquista un programma per garantire la protezione delle informazioni, i diritti esclusivi su di esso non vengono trasferiti all'acquirente, viene acquistata solo una copia protetta del programma, che l'acquirente non può copiare o distribuire. Pertanto, quando si prendono in considerazione tali programmi, si dovrebbe essere guidati dal cap. VI "Contabilizzazione delle operazioni relative alla concessione (ricezione) del diritto di utilizzo dei beni immateriali" del nuovo PBU 14/2007 "Contabilizzazione dei beni immateriali".
In rari casi, al momento dell'acquisto di programmi di sicurezza delle informazioni, la società acquisisce diritti esclusivi su questo prodotto. In questo caso, il programma sarà contabilizzato in contabilità come attività immateriali (IA).
Secondo PBU 14/2007 nella contabilizzazione delle attività immateriali previste per l'uso nei termini contratto di licenza, i pagamenti per il diritto d'uso che vengono effettuati sotto forma di un pagamento fisso una tantum e i diritti esclusivi sui quali non sono trasferiti all'acquirente, dovrebbero essere contabilizzati dal destinatario come parte delle spese differite e riflessi nell'off- stato patrimoniale (paragrafo 39). Allo stesso tempo, il periodo durante il quale questi costi saranno addebitati ai conti spese è stabilito dal contratto di licenza. Nella contabilità fiscale, i costi per l'acquisizione di programmi di protezione delle informazioni ai fini dell'imposta sugli utili sono contabilizzati come altre spese e ammortizzati allo stesso modo - in rate uguali entro il periodo stabilito nel contratto di licenza (clausola 26 clausola 1 articolo 264 del Fisco Codice della Federazione Russa).
Se il pagamento per il diritto di utilizzare un prodotto software che fornisce protezione delle informazioni viene effettuato sotto forma di pagamenti periodici, allora in conformità con il paragrafo 39 della PBU 14/2007 sono inclusi dall'utente nelle spese del periodo di riferimento in cui sono sono stati fatti.
In pratica, il contratto di licenza non specifica sempre il periodo di utilizzo del software. Quando il rapporto tra entrate e uscite non può essere chiaramente definito, nella contabilità fiscale, i costi per l'acquisizione di programmi di protezione delle informazioni sono distribuiti dal contribuente autonomamente al fine di calcolare l'imposta sul reddito, tenendo conto del principio di riconoscimento uniforme delle entrate e delle spese (clausola 1, articolo 272 del Codice Fiscale della Federazione Russa). In contabilità, il periodo durante il quale questi costi verranno addebitati sul conto 97 è stabilito dalla direzione dell'impresa in base al tempo stimato di utilizzo del programma.
Esempio 1. JSC "Alfa" ha acquisito una copia con licenza programma antivirus da Betta LLC per 118.000 rubli, IVA inclusa (18%). Il contratto di licenza stabilisce il periodo di utilizzo del programma per 9 mesi.
Nella contabilità di Alfa OJSC, il programma dovrebbe essere preso in considerazione come segue:
Dt 60, Kt 51 - 118.000 rubli. - il fornitore è stato pagato per il costo del software;
Dt 60, Kt 97 - 100.000 rubli. - il programma ricevuto è riflesso come risconto passivo;
Dr. 002 - 100.000 rubli. - il programma ricevuto si riflette sul conto fuori bilancio;
Dt 19, Kt 60 - 18.000 rubli. - IVA assegnata;
Dt 68, Kt 19 - 18.000 rubli. - ammesso alla detrazione IVA;
Dt 26 (44), Kt 97 - 11.111,11 rubli. (100.000 rubli: 9 mesi) - ogni mese per 9 mesi, il costo del programma antivirus viene ammortizzato in parti uguali alle spese.
Cambiamo le condizioni dell'esempio 1: diciamo che Alfa OJSC effettua un pagamento non alla volta, ma in rate uguali per l'intera durata del contratto di licenza. Gli importi del pagamento ammonteranno a 11.800 rubli. al mese, IVA inclusa.
In tal caso, in contabilità verranno effettuate le seguenti scritture:
Dr. 002 - 90.000 rubli. (10.000 rubli x 9 mesi) - il programma ricevuto si riflette nel conto fuori bilancio;
Dt 60, Kt 51 - 11.800 rubli. - mensilmente per 9 mesi viene corrisposto al fornitore il costo del prodotto software;
Dt 19, Kt 60 - 1800 rubli. - IVA assegnata;
Dt 26 (44), Kt 60 - 10.000 rubli. - il costo del programma è ammortizzato come spese;
Dt 68, Kt 19 - 1800 rubli. - accettata per detrazione IVA.
Spesso prima della scadenza del contratto di licenza, la società di sviluppo software protezione delle informazioni rilascia un aggiornamento. In questo caso, le spese di contabilità e contabilità fiscale saranno accettate di volta in volta al fatto dell'aggiornamento.
È anche pratica comune per un'azienda di sviluppo fornire gratuitamente il proprio software alle organizzazioni per un breve periodo di tempo per la revisione. Al fine di riflettere correttamente il programma di sicurezza informatica ricevuto gratuitamente, esso deve essere incluso nei risconti passivi al valore di mercato.
Esempio 2. OOO "Betta" ha fornito gratuitamente il software JSC "Alfa" per la sicurezza delle informazioni per un periodo di 3 mesi. Il prezzo di mercato di questo prodotto software è di 3300 rubli.
Nelle scritture contabili di Alfa OJSC devono essere effettuate le seguenti registrazioni:
Dt 97, Kt 98 - 3300 rubli. - il software ricevuto gratuitamente è accettato per la contabilità;
Dt 98, Kt 91 - 1100 rubli. - mensilmente per tre mesi, una parte dei risconti passivi è accettata come altro reddito.
Nella contabilità fiscale, entro tre mesi saranno accettati anche i redditi derivanti da un programma ricevuto gratuitamente (clausola 2, articolo 271 del codice fiscale della Federazione Russa).
I costi di protezione delle informazioni includono non solo l'acquisizione di strumenti di sicurezza delle informazioni, ma anche i costi dei servizi di consulenza (informazioni) per la protezione delle informazioni (non correlati all'acquisizione di beni immateriali, immobilizzazioni o altri beni dell'organizzazione). Ai sensi del paragrafo 7 della PBU 10/99 "Spese dell'organizzazione", i costi dei servizi di consulenza in contabilità sono inclusi nei costi delle attività ordinarie nel periodo di riferimento in cui sono stati sostenuti. Nella contabilità fiscale, si riferiscono ad altre spese associate alla produzione e alla vendita di prodotti (clausola 15, clausola 1, articolo 264 del codice fiscale della Federazione Russa).
Esempio 3. LLC "Betta" ha fornito servizi di consulenza sulla sicurezza delle informazioni a JSC "Alfa" per un importo totale di 59.000 rubli, IVA inclusa - 9.000 rubli.
Nelle scritture contabili di Alfa OJSC devono essere effettuate le seguenti registrazioni:
Dt 76, Kt 51 - 59.000 rubli. - servizi di consulenza a pagamento;
Dt 26 (44), Ct 76 - 50.000 rubli. - i servizi di consulenza in materia di sicurezza informatica sono stornati come spese per attività ordinarie;
Dt 19, Kt 76 - 9000 rubli. - IVA assegnata;
Dt 68, Kt 19 - 9000 rubli. - accettata per detrazione IVA.
Le imprese che applicano il regime fiscale semplificato quali spese che riducono la base imponibile per l'imposta sui redditi, ai sensi dei commi. 19 p.1 art. 346.16 del Codice Fiscale della Federazione Russa potrà accettare solo i costi per l'acquisizione di programmi che garantiscono la sicurezza delle informazioni. Spese per consulenze in materia di sicurezza informatica di cui all'art. 346.16 del Codice Fiscale della Federazione Russa non sono menzionati, pertanto, ai fini della tassazione degli utili, le organizzazioni non hanno il diritto di accettarli.
V. Schanikov
Assistente del revisore dei conti
dipartimento di revisione
LLC "Baker Tilly Rusaudit"
Esistono due approcci principali per giustificare i costi della sicurezza delle informazioni.
Approccio scientifico. Per fare ciò, è necessario coinvolgere la direzione dell'azienda (o il suo proprietario) nella valutazione del costo delle risorse informative, determinando la valutazione del potenziale danno derivante da violazioni nel campo della protezione delle informazioni.
1. Se il costo delle informazioni è basso, non ci sono minacce significative alle risorse informative dell'azienda e il potenziale danno è minimo, la sicurezza delle informazioni richiede meno finanziamenti.
2. Se l'informazione ha un certo valore, le minacce ei potenziali danni sono significativi e definiti, allora si pone la questione della preventivazione dei costi per il sottosistema di sicurezza delle informazioni. In questo caso, è necessario costruire sistema aziendale protezione delle informazioni.
Approccio pratico consiste nel determinare la variante del costo reale di un sistema di protezione delle informazioni aziendali basato su sistemi simili in altri ambiti. I professionisti della sicurezza delle informazioni ritengono che il costo di un sistema di sicurezza delle informazioni dovrebbe essere di circa il 10-20% del costo di un sistema di informazioni aziendali, a seconda dei requisiti specifici per il regime di sicurezza delle informazioni.
I requisiti generalmente accettati per garantire la modalità di sicurezza delle informazioni "best practice" (basata sull'esperienza pratica), formalizzati in una serie di standard, ad esempio ISO 17799, vengono messi in pratica quando si sviluppano metodi specifici per valutare l'efficacia di una sicurezza delle informazioni sistema.
L'utilizzo di metodi moderni per la stima dei costi della sicurezza delle informazioni consente di calcolare l'intera parte di spesa del patrimonio informativo di un'organizzazione, inclusi i costi diretti e indiretti per hardware e Software, misure organizzative, formazione e perfezionamento professionale dei dipendenti, riorganizzazione, ristrutturazione aziendale, ecc.
Sono necessari per dimostrare l'efficacia in termini di costi dei sistemi di sicurezza aziendale esistenti e consentire ai responsabili dei servizi di sicurezza delle informazioni di giustificare il budget per la sicurezza delle informazioni, nonché di dimostrare l'efficacia del lavoro dei dipendenti del servizio pertinente. I metodi di stima dei costi utilizzati dalle società estere consentono di:
Ottenere informazioni adeguate sul livello di sicurezza di un ambiente informatico distribuito e sul costo totale di proprietà di un sistema di sicurezza delle informazioni aziendali.
Confronta i dipartimenti di sicurezza delle informazioni dell'organizzazione sia tra loro che con dipartimenti simili di altre organizzazioni del settore.
Ottimizza gli investimenti nella sicurezza delle informazioni dell'organizzazione.
Uno dei metodi più noti per stimare i costi in relazione a un sistema di sicurezza delle informazioni è il metodo costo totale di proprietà (TCO) di Gartner Group L'indicatore TCO è inteso come la somma dei costi diretti e indiretti per l'organizzazione (riorganizzazione), il funzionamento e la manutenzione del sistema di protezione delle informazioni aziendali nel corso dell'anno. Viene utilizzato in quasi tutte le fasi principali del ciclo di vita di un sistema di sicurezza delle informazioni aziendali e consente di giustificare in modo oggettivo e indipendente la fattibilità economica dell'introduzione e dell'utilizzo di specifiche misure organizzative e tecniche e strumenti di sicurezza delle informazioni. Per l'obiettività della decisione, è inoltre necessario tenere conto anche dello stato dell'ambiente esterno e interno dell'impresa, ad esempio indicatori dello sviluppo tecnologico, del personale e finanziario dell'impresa.
Il confronto di un determinato indicatore TCO con indicatori TCO simili nel settore (con aziende simili) consente di giustificare in modo obiettivo e indipendente i costi dell'organizzazione per la sicurezza delle informazioni. Dopotutto, spesso risulta piuttosto difficile o addirittura quasi impossibile valutare l'effetto economico diretto di questi costi.
Il costo totale di proprietà di un sistema di sicurezza delle informazioni è generalmente costituito dal costo di:
lavoro di progettazione,
Approvvigionamento e configurazione di strumenti di protezione software e hardware, inclusi i seguenti gruppi principali: firewall, strumenti crittografici, antivirus e AAA (strumenti di autenticazione, autorizzazione e amministrazione),
costi di sicurezza fisica,
formazione del personale,
Gestione e supporto del sistema (amministrazione della sicurezza),
Verifica della sicurezza delle informazioni, - aggiornamento periodico del sistema di sicurezza delle informazioni.
Tuttavia, i costi diretti includono sia le componenti del costo del capitale (associate alle immobilizzazioni o "proprietà") sia i costi del lavoro, che sono contabilizzati nelle operazioni e amministrazione. Ciò include anche i costi dei servizi per utenti remoti, ecc., associati al supporto delle attività dell'organizzazione.
A loro volta, i costi indiretti riflettono l'impatto del sistema informativo aziendale e del sottosistema di protezione delle informazioni sui dipendenti dell'organizzazione attraverso indicatori misurabili come tempi di inattività e "congelamenti" del sistema di protezione delle informazioni aziendali e del sistema informativo nel suo insieme, i costi di operazioni e supporto (non correlato ai costi diretti). Molto spesso, i costi indiretti svolgono un ruolo significativo, poiché di solito non si riflettono inizialmente nel budget per la sicurezza delle informazioni, ma vengono identificati successivamente nell'analisi dei costi.
Il calcolo degli indicatori del TCO dell'organizzazione viene effettuato nelle seguenti aree.
Componenti di un sistema informativo aziendale(incluso il sistema di sicurezza delle informazioni) e le attività informative dell'organizzazione (server, computer client, dispositivi periferici, dispositivi di rete).
Spese per la sicurezza delle informazioni hardware e software: materiali di consumo e costi di ammortamento né server, computer client (desktop e computer portatili), periferiche e componenti di rete.
Costi per l'organizzazione della sicurezza delle informazioni: manutenzione del sistema di sicurezza delle informazioni, mezzi standard per proteggere dispositivi periferici, server, dispositivi di rete, pianificazione e gestione dei processi di sicurezza delle informazioni, sviluppo di un concetto e di una politica di sicurezza e altri.
Costi per il funzionamento del sistema informativo Schemi: costi diretti del personale, del lavoro e dell'esternalizzazione sostenuti dall'organizzazione nel suo complesso o dal servizio da svolgere supporto tecnico e operazioni di manutenzione delle infrastrutture per gli utenti.
Spese amministrative: costi diretti per il personale, supporto alle attività e costi dei fornitori interni/esterni (vendor) a supporto delle operazioni, inclusa la gestione, il finanziamento, l'acquisizione e la formazione dei sistemi informativi.
Costi di transazione dell'utente finale: costi di autoassistenza dell'utente finale, formazione formale dell'utente finale, formazione occasionale (informale), sviluppo di applicazioni indipendenti, supporto del file system locale.
Costi di inattività: perdita annuale di produttività dell'utente finale a causa di interruzioni pianificate e non pianificate risorse di rete inclusi computer client, server condivisi, stampanti, programmi applicativi, risorse di comunicazione e software di comunicazione.
