Новое исследование по российскому рынку ИБ

Не очень известное консалтинговое бюро [ Практика Безопасностиk (стартап, о котором я уже писал) и портал SecurityLab.ru представили результатыпервого российского исследования, призванного выявить актуальное положение дел в отрасли информационной безопасности в момент экономического спада и тотального сокращения расходов. Начало было интересным... Правда, прочтя ключевые выводы я сразу подумал, что это очередная реклама, завуалированная под исследование. И правда, из 6 таких выводов, в 5-ти из них говорится о том, что пришла пора не смотреть на имидж малоэффективного интегратора, а обратиться к профессиональным консультантам-внедренцам, коими, видимо, и являются авторы отчета. Идея у отчета достаточно здравая, но вот некоторые его результаты и сделанные выводы вызывают вопросы. Например, основную аудиторию отчета составляют малые предприятия (меньше 100 человек), которые НИКОГДА не обращались (и скорее всего не будут в обозримом будущем обращаться) к внешним ИБ/ИТ-консультантам. Акцент на SMB лишний раз подтверждается и тем, что согласно отчету 25% респондентов принимает окончательное решение по вопросам ИБ. Вопрос очень размытый, но скорее всего речь шла о выделении денег на те или иные аспекты ИБ. Такой высокий процент decision makers говорит о том, что никакого "закупочного центра" у респондентов нет и решение не проходит различные стадии согласования, как это принято в крупном бизнесе. Люди, принимающие решения (особенно в кризис), - это руководители компаний. А они на SecLab не ходят ;-( Если это конечно, не малый бизнес. Вывод о том, что респонденты оптимистично смотрят на кризис, меня удивил. Исходя из приведенной диаграммы, вывод следует немного иной. Правда, это говорит, что сами авторы отчета не страдают пессимизмом и это отрадно. Некоторые вопросы/ответы исследования просто порадовали. Специалисты по ИБ считают, что снижать им зарплаты - это неправильно (кто бы спорил) и повлияет на уровень жизни работника (бесспорное утверждение). Снижение затрат на ИБ - вещь очевидная и не требующая каких-либо исследований. Пока службы ИБ не покажут своего вклада в бизнес, говорить о росте инвестиций в это направление в условиях кризиса не приходится. Зато сделана грубейшая ошибка, связанная с непониманием "бухгалтерии" безопасности. Из положительного ответа на вопрос "будут ли сокращены расходы на ПО" сделан вывод, что сокращаются расходы на обновление ПО. А это в корне неверно. Приобретение ПО - это затраты капитальные и они действительно могут сокращаться. А вот обновление ПО - это уже затраты операционные, имеющие совершенно иную статью бюджета и не имеющие отношения к CapEx. Еще одно интересное противоречие обнаружилось в отчете. С одной стороны все "выводы" говорят, что надо обращаться к профессиональным консультантам, а с другой свыше 60% заказчиков категорически отказываются отдавать безопасность внешним компаниями. Как это стыкуется? Непонятно. Возможно, авторы отчета не считают консалтинговые услуги аутсорсингом? Это распространенное мнение. Наиболее интересен для меня был раздел исследования, посвященный оценке эффективности ИБ. Вот тут на мой взгляд никаких ошибок и противоречий. Не готовы еще специалисты ИБ к данной теме, не готовы... В целом , отчет вызывает противоречивые чувства. Отдельные вопросы и ответы в нем достаточно интересны. Но в совокупности... да еще и учитывая сделанные авторами выводы... складывается впечатление, что исследователи решили в условиях кризиса лишний раз обратить на себя внимание. Учитывая, как любят журналисты такие "исследования", свою задачу они выполнили. Но вот практической ценности от такого отчета я лично не вижу ;-( ЗЫ. Что интересно, "Практика безопасности" подхватила флаг Infowatch, который одним из первых стал использовать аналитику в качестве инструмента продвижения себя. Сейчас многие компании стали обращать внимание на этот способ рекламы себя и своих продуктов/услуг.