MDM-решение — взгляд с точки зрения экономики, а не безопасности

Достаточно давно я придерживаюсь мнения, что «продажа страха» как метод продвижения информационной безопасности давно устарел и он не дает того эффекта, которым был ему присущ ранее. Да, конечно, если «влить» в это направление много денег или воспользоваться рычагами власти (как это сейчас происходит вокруг ситуации с Украиной или вокруг «русских хакеров»), то страшилки дадут свой эффект и он будет продолжать до тех пор, пока в него вкачиваются ресурсы. Но у ИБ-вендоров и, тем более, руководителей служб ИБ, таких ресурсов нет и они регулярно начинают сталкиваться с тем, что им перестают верить, воспринимая очередные рассказы о киберугрозах как в известной басне Эзопа про мальчика, который кричал «Волки, волки!». Что же делать?

Все просто — надо говорить с бизнесом на его языке. Легче сказать, чем сделать? Да, это так. Но к счастью, если попробовать выйти из зоны комфорта за пределы привычного нам обоснования (либо угрозы, либо требования нормативки) и посмотреть на выбираемое нами средство защиты под другим углом, то картина может поменяться. Да, надо сразу сказать, что это непривычно для многих безопасников и этому мало кто и где учит (ну разве, что у меня в блоге про это есть немало заметок :-). Но это не повод игнорировать этот способ обоснования только лишь на том основании, что мы не знаем, как это сделать. Но хватит ходить вокруг да около, давайте посмотрим на один из примеров такого обоснования.

В качестве примера возьмем такое решение как MDM (Mobile Device Management), которое с начала пандемии стало играть гораздо большую роль, чем раньше. Мне бы не хотелось сейчас вступать в терминологическую дискуссию о том, что такое MDM и чем оно отличается от решений класса EMM (Enterprise Mobile Management), UEM (Unified Endpoint Management), MAM (Mobile Application Management) и других схожих аббревиатур. Тем более, что это очень непростая дискуссия. Достаточно вспомнить, что в том же ГОСТ 57580.1 в качестве одной из мер защиты требуется применять именно MDM, термин, который традиционно применяется к мобильным устройствам типа смартфонов и планшетов, а сама мера при этом распространяется на переносные устройства, к которым также относятся ноутбуки, а также компьютеры, которые выдаются сотрудникам, работающим из дома (а это уже ближе к EMM или UEM, хотя Википедия не соглашается с таким разделением). Кроме того, исторически решения класса MDM подразумевали весь спектр задач, решаемых на мобильных устройствах, включая и защиту от мобильных угроз , а потом уже стала появляться специализация — Mobile Threat Defense (MTD), MAM, MCM (Mobile Content Management). Ну а сами MDM сфокусировались только на управлении устройствами, их сертификатами, конфигурацией, местоположением и т.д.

Итак, нам необходимо внедрить MDM/EMM/UEM. Отсылки к ГОСТу 57580.1 для финансовых организаций или приказам ФСТЭК (там тоже есть схожая мера — регламентация и контроль использования в информационной системе мобильных технических средств) не срабатывают. Пробуем зайти с другого бока, а именно с точки зрения экономики использования таких решений. Какие задачи нам надо решить при внедрении мобильных устройств на предприятии? Подготовка устройства к выдаче, установка нужных политик, приложений и сертификатов, конфигурация устройства, мониторинг использования, инвентаризация, обновление ПО и модернизация самих устройств, а также вывод их из эксплуатации. Все это требует усилий обслуживающего персонала со своим фондом оплаты труда, транспортировки устройств до сотрудников (если сотрудник не забирает устройство самостоятельно), содержание подменного фонда устройств на случай выхода их из строя и ремонта.

Если в качестве примера взять компанию на 2000 сотрудников с мобильными устройствами разного типа мы получим средние затраты на поддержку одного мобильного устройства в год без MDM/UEM-решения в 5 с небольшим часов, а с MDM/UEM — всего 0,5 часов. Если взять зарплату ИТ-специалиста в 176 тысяч рублей (да, такие зарплаты не у всех), то экономия в трехлетней перспективе составит около 23 миллионов рублей, что является достаточно значимой суммой, которая может быть интересна не только операционному директору или ИТ-директору, но и другим руководителям бизнеса. И заметьте, никакого compliance или страшилок про мобильные угрозы.

В данном расчете не учтены транспортные расходы на доставку устройств и поддержание фонда подменных устройств, но если следовать сложившейся практике, когда сами сотрудники забирают мобильные устройства к себе на дом, то эти расходы и не должны учитываться в общей формуле. Что может смущать в этом расчете? Да, достаточно высокая зарплата ИТ-специалиста, которая может быть в вашей компании в 2, а в регионах и в 3-4 раза, ниже. В этом случае экономика будет немного иная.

В этом и заключается особенность экономического расчета любого решения по автоматизации — будь-то ИТ или ИБ. Он очень сильно зависит от размера зарплат лиц, чей труд автоматизируется. Низкая зарплата — окупаемость решений по ИБ/ИТ будет ниже, высокая зарплата — окупаемость выше.

Но иметь на руках расчет экономии на использование решения MDM/UEM мало. Мы же еще не сравнили его со стоимостью самого решения, которое мы выбираем. Если его цена превышает экономию, то овчинка выделки не стоит; если не превышает, то надо смотреть насколько велика разница. И вот тут уже надо оценивать каждое из решений MDM/UEM, стоимость которых не только может отличаться в разы, но и рассчитываться по-разному — в зависимости от архитектуры решения, наличия агентов под разные мобильные операционные системы и устройства, функциональности и модульности, управления (on-prem или облачного), скидок, рассрочки и множества других нюансов. Например, для одного из UEM-решений — SafeMobile от НИИ СОКБ, расчеты дают следующую картину (для тех же двух тысяч мобильных устройств):

Да, данная диаграмма показывает, что никакого чуда здесь нет. Сначала мы делаем капитальные затраты на покупку MDM/UEM-решения и только спустя время начинаем получать выгоду от его внедрения. Кстати, единовременные капитальные затраты тоже можно уменьшить, если воспользоваться финансовыми продуктами, предлагаемыми отдельными ИТ/ИБ-вендорами — рассрочкой платежа, лизингом и т.п. Но это уже отдельная тема.

Интересно выглядит? Да, я ни слова не написал про всякие угрозы типа Bluejacking или утечки адресной книги. И про УПД.15 из 17-го приказа ФСТЭК или ЗУД.10 из ГОСТ 57580.1 тоже ни слова. Но если идти с ними к руководству за деньгами, то оно вас вероятно пошлет. А если начать общение с ним с финансовых расчетов, добавив к ним еще и compliance (в идеале тоже с экономическим расчетом выгод и убытков от выполнения нормативных требований), то результат может быть иным.

Почему бы не попробовать?

ЗЫ. Кстати, в поздних версиях пересказа упомянутой в начале басни Эзопа, волки съедают не только овец, но и самого мальчика-лжеца!

Заметка MDM-решение — взгляд с точки зрения экономики, а не безопасности была впервые опубликована на Бизнес без опасности .