Sécurité de l'externalisation Partie 2: La mesure du coût

  • Écrit par : Jim McLendon
  • Date de publication : juillet 2013



Présentation

Pour les organisations de toutes tailles, externalisation de la sécurité devient une méthode de plus en plus attrayant pour le maintien d'une forte posture de sécurité. En fait, la sécurité externalisée est le segment le plus dynamique du marché des services de sécurité de l'information, selon une récente étude de Gartner Dataquest.

Souvent, la décision d'externaliser la sécurité est basée sur le coût: l'entreprise peut externaliser efficacement ou des fonctions de gestion de la sécurité co-source tout en réalisant un bon retour sur investissement?

Ce qui suit est la deuxième partie d'une série en trois volets sur la sécurité externalisée. Cet article permet aux entreprises de calculer le coût de la gestion de la sécurité et fournit un scénario de vie réel des comparaisons de coûts pour aider les organisations à construire les bases d'une analyse financière lors de l'examen d'un fournisseur de services de sécurité gérés (MSSP).

Cette   fait partie 2 d'un article en 3 parties.

partie   1 a noté les avantages de la sécurité sous-traitance.

partie   2 évalue le coût d'une telle externalisation.

partie   3 fournira des lignes directrices pour la sélection d'un fournisseur de services de sécurité.

budgets renforçant

Avec une augmentation des cyber-attaques, les experts disent que le marché des services externalisés se développe à la suite des attentats du 11 septembre. Les événements tragiques ont provoqué une augmentation marquée des dépenses publiques, dont une grande partie sera dirigée vers les consultants et les fournisseurs de services de sécurité gérés de l'extérieur.

Gartner estime que jusqu'à 40 pour cent de toutes les dépenses IT externe est allé à des services en 2000, par opposition à l'achat de matériel ou logiciel et des services informatiques comptera pour 45 pour cent de toutes les dépenses de l'utilisateur final d'ici à 2004. En chiffres en dollars, selon Gartner, les dépenses mondiales est évalué à 363 milliards de dollars aujourd'hui, et devrait atteindre 569 milliards de dollars d'ici 2004.

Calcul des coûts

évaluer le coût de l'externalisation peut être difficile parce que la plupart des organisations ne peuvent pas évaluer pleinement l'impact financier d'une telle décision. En fait, une étude récente InfoWorld externalisation de 100 professionnels de la technologie a déclaré que 61 pour cent des organisations ne savait pas combien d'argent leur entreprise permettrait d'économiser au cours des 12 prochains mois par l'externalisation de fonctions informatiques. Cela est vrai pour la plupart des entreprises qui envisagent l'externalisation des services de sécurité.

Quand une entreprise considère l'externalisation de services de sécurité gérés, il doit estimer plusieurs variables sur la durée du contrat de services de sécurité gérée:

      Tous
  •     capitale pertinentes et les coûts d'exploitation
  • coûts     de superviser le fournisseur de services de sécurité gérée
  •     Coûts «coût de l'argent» et l'intérêt
  • résiduelle     valeur des équipements et installations
  •   Coût
  •     de transition, y compris le personnel
  •   Coût
  •     des changements de direction et le niveau de ressources
  •   Coût
  •     des modifications de contrat

En   outre, la gamme de services une offre MSSP peut varier. Certains MSSP sera seulement   gérer certains produits et technologies de sécurité et d'exiger une marque spécifique   des technologies de sécurité être achetés ou troqués contre-out pour une organisations »existant   technologie. Autres MSSP nécessitent des achats additionnels d'spécialisé ou propriétaire   technologie pour le fichier journal et la collecte des flux d'événements, d'analyse et de filtrage.

Pour calculer efficacement le coût total de possession de la gestion interne de sécurité, un large éventail de coûts doit être considéré sur un certain nombre d'années. Une entreprise doit identifier et évaluer les coûts apparents et cachés. La liste des sections ci-dessous la plupart des coûts d'un programme de gestion de la sécurité.

équipement

Hardware   et le coût des logiciels Photos   Pour la gestion interne de sécurité, les entreprises doivent déterminer le coût de tout le matériel   et les logiciels nécessaires pour la gestion de la sécurité et des opérations. Cela comprend   serveurs, PC et périphériques, ainsi que tout associé exploitation   systèmes, bases de données, des applications et des logiciels de sécurité. Du matériel supplémentaire et   logiciel nécessaire pour appuyer les opérations de sécurité comprennent le système et réseau   des outils de gestion, aider les systèmes de bureau, des consoles de gestion intégrés et axés sur le savoir   systèmes de gestion et de logiciels.

Licence   coûts

Maintenance
  les frais d'entretien des logiciels et du matériel doivent être pris en compte dans le total   coût de possession. La maintenance des logiciels est généralement de 15 à 25 pour cent de la   prix de la liste des logiciels annuellement. Une organisation avec 1 million de dollars en logiciels   licences payer 150.000 dollars en coûts de maintenance (sur le bas de gamme) chaque année.   Les entreprises doivent être conscients du niveau de soutien qu'ils reçoivent pour ce coût.   Certains contrats de services de sécurité gérés offrent 8 ou 10 heures de couverture et   soutenir, tandis que d'autres offrent un support 24x7.

personnel
  Dotation pour les professionnels de la sécurité de l'information est peut-être le plus crucial,   composante la plus difficile et plus coûteux d'une gestion efficace de la sécurité   programme. Le défi principal marché est l'embauche et le maintien d'une base qualifiée de   professionnels de la sécurité. Le coût de la dotation comprend non seulement le coût des salaires,   mais aussi une rémunération supplémentaire (bonus, stock incitations, etc), l'espace, et   les coûts d'équipement, et le coût de l'éducation et de la formation continue. Les salaires   d'administrateurs et d'agents de sécurité varient en fonction de la géographie et le niveau   de compétence et d'expertise. Selon un récent sondage réalisé par InformantionWeekresearch.com,   La rémunération moyenne pour le niveau de personnel (non gestion) des professionnels de la sécurité informatique   dans la région de Dallas est:

Haute moyenne bas
88.375 $ 71,750 $ 64,000 $

Si   une entreprise a un typique 8 heures-17 heures le jour de l'exploitation, mais prévoit d'étendre   aux opérations de sécurité 24x7, alors il doit tenir compte de la dotation de multiples changements   des travailleurs à fournir une couverture 365 jours par an:

  • Maj     un pour le matin
  • Maj     deux pour l'après-midi / soirée
  • Maj     trois pour le soir / petites heures du matin
  • Maj     quatre de week-end et congés, la couverture pour les quarts un, deux et trois

Ainsi, il faudrait un minimum de quatre ressources pour couvrir un siège dans une opération de sécurité 24x7. Et ces ressources supplémentaires auraient besoin d'un éventail de compétences ou de spécialisation dans différents types de problèmes de sécurité.

recrutement
Due   à taux de rotation élevé dans le domaine des TI, les organisations doivent également tenir compte de la   coût de recrutement. Que le personnel des RH interne ou recruteurs externes sont utilisés,   le coût de recrutement peut atteindre une moyenne de 20 à 30 pour cent de la rémunération annuelle totale   les coûts de la position en cours de recrutement.

Formation   et de l'éducation

  • produit     ou de formation technique
  •   Formation
  •     la sensibilisation à la sécurité générale
  • Certification     classes de préparation aux coûts de certification
  •   Fréquentation
  •     lors des grandes conférences sur la sécurité ou des spectacles
  • Livres,     magazines, les abonnements, les journaux, ou des cours e-learning pour maintenir la sécurité     professionnels au courant des dernières technologies, des astuces, des techniques, des menaces,     et les garanties de l'industrie

Il est typique pour les organisations à fournir des lignes directrices sur le nombre d'employés reçoivent une formation chaque année. Un minimum de deux semaines est souvent fourni, mais plus est souvent nécessaire. La plupart des cours de sécurité sont une semaine en durée et, par conséquent, chaque employé est admissible à assister à deux cours de sécurité par an. Comme le coût de cours peut varier de 1500 $ à 3000 $, un coût typique par effectif pour la formation serait 5000 $ par année.

Équipements

sécurité   Operations Center

Définition d'un scénario

Exemple:   En interne par rapport aux coûts de sécurité gérés externalisés Photos   Lors de l'examen des dépenses et des coûts associés aux internes par rapport externalisée   gestion de la sécurité sur un programme de deux ans pour une entreprise de taille moyenne, les bénéfices   et des économies de coûts d'un contrat de services gérés pluriannuels devraient être considérés   dans sa totalité. Dans certains cas, les économies de la première année peuvent être considérablement supérieur   par rapport aux années ultérieures, que les exigences de sécurité évoluent et changent.

Société   Profil Sable Pharmaceuticals est un leader et pionnier dans   la découverte de nouveaux traitements pour les maladies débilitantes et les conditions médicales.   Les employés de la société 3000 du personnel et dispose d'un personnel informatique de 40 ans, avec cinq dédié   à la gestion de la sécurité de l'information. Sable Pharmaceuticals a mis en place des pare-feu   et est maintenant déployer le système de détection d'intrusion (IDS) de la technologie. Pour un maximum de   protection de la société, son personnel de sécurité a déployé trois pare-feu et   doit également IDS basés sur le réseau pendant six segments de réseau, et basées sur l'hôte IDS 24X7   sur 10 serveurs critiques de l'entreprise.

    Formation bgcolor="#F0F0FF">     Recrutement bgcolor="#F0F0FF">     Logiciel bgcolor="#F0F0FF">
Année       1 In-house
      Huit heures-17 heures
      (5 personnes)
In-house
      Opérations 24X7
      (15 employés)
Outsourced       MSS Solution
RESSOURCES
(1) 501,000 $ 1,503,000 $ N / A
(2) 25,000 $ 75,000 $ N / A
(3) 37,575 $ 288 075 $ N / A
ÉQUIPEMENT
(4) 81 875 $ 81 875 $ 81 875 $
(5) 12,281 $ 12,281 $ 12,281 $
mise en œuvre
      et Configuration (6)
Coût       varie Coût       varie 23,960 $
Gestion N / A N / A 348,000 $
Total 657 731 $
      + Configurer
1.960.231 $
      + Setup
466 116 $

    Recrutement bgcolor="#F0F0FF">
Année       2 In-house
      Huit heures-17 heures
      (5 personnes)
In-house
      Opérations 24X7
      (15 employés)
Outsourced       MSS Solution
RESSOURCES
(7) 546 090 $ 1.638.270 $ N / A
Formation 25,000 $ 75,000 $ N / A
(8) 40 957 $ 112 870 $ N / A
ÉQUIPEMENT
(5) 12,281 $ 12,281 $ 12,281 $
Gestion N / A N / A 348,000 $
Total 624 328 $ 1.838.421 $ 360 281 $

    height="28">     Coût de la formation height="19">     coût d'installation de height="28">     Salaire height="19">
(1)
(2)
(3) Ce scénario suppose la compagnie       a déjà cinq positions journée sur le personnel. Elle suppose également un conservateur       30 Taux de chiffre d'affaires annuel de pour cent pour le personnel de sécurité. Pour plus jusqu'à pour 24X7       en interne des opérations, les coûts de recrutement en première année sont élevés parce que, en plus       au chiffre d'affaires de 30 pour cent des cinq positions initiales, 10 nouveaux postes       sont nécessaires. coût de recrutement est basé sur le coût de 25 pour cent du total annuel       indemnisation des professionnels de la sécurité en interne.
(4) coût du logiciel basé sur trois       licences d'utilisation illimitées pour Symantec Enterprise Firewall / VPN. Symantec NetProwler       IDS licences pour six segments de réseau et Symantec Intruder Alert accueil       Licences IDS pour 10 serveurs.
(5) coût d'entretien basé sur 15       pour cent du coût de licence du logiciel.
(6)
(7)
(8) Ce scénario suppose un conservateur       30 Taux de chiffre d'affaires annuel de pour cent pour l'ensemble du personnel de sécurité. coût de recrutement       est basé sur le coût de 25 pour cent de la rémunération annuelle totale pour la sécurité en interne       professionnels.

supposant   l'entreprise conserve son personnel de sécurité IT journée cinq pour mission essentielle en interne   soutien en matière de sécurité, d'économies la première année de l'externalisation des opérations de sécurité 24x7   est d'environ 836 384 $. Économies de deuxième année de l'externalisation de la sécurité 24x7   opérations est d'environ 853 812 $.

arriver à une conclusion

Prendre la décision sur l'opportunité de personnel en interne pour les services de sécurité ou d'embaucher un fournisseur de services de sécurité gérée est une décision faite avec beaucoup de recherche et de contrôle budgétaire des scénarios allant sur un certain nombre d'années, en se concentrant sur le maintien d'une forte posture de sécurité tout en permettant des fonctions de commerce électronique génératrices de revenus. En fin de compte, beaucoup disent que le prix de l'exécution de cette vérification de l'entreprise et, éventuellement, l'ajout de services de sécurité gérés est faible en comparaison avec le coût de la perte de confiance des clients en raison de coupures de sécurité.

Cette   conclut la partie 2 d'un article en 3 parties.

partie   1 a noté les avantages de la sécurité sous-traitance.

partie   2 évalue le coût d'une telle externalisation.

partie   3 fournira des lignes directrices pour la sélection d'un fournisseur de services de sécurité.

propos   l'auteur

Jim   McLendon , vice-président de Symantec Security Services Global Business   Développement, a plus de 40 ans d'expérience dans la sécurité de l'information et de l'information   opérations. McLendon rejoint AXENT, et par la suite Symantec grâce à l'acquisition,   après une brillante carrière avec la United States Air Force. En tant que retraité   colonel, il a une richesse d'expertise et d'expérience du commandement des opérations spéciales,   intelligence, et la guerre électronique et la guerre de l'information. Il a géré   grands, diversifié et géographiquement séparés organisations ayant des responsabilités de direction   pour plus de 2.100 personnes hautement techniques. Une grande partie de sa carrière s'est déroulée   dans des endroits tels que Taiwan, le Vietnam, le Royaume-Uni et en Allemagne.

McLendon   est un diplômé de l'Air War College et de l'air de l'Armée de l'Air Command and Staff   College. Il a obtenu sa maîtrise ès sciences en gestion des ressources humaines   de Troy State University et un baccalauréat ès arts en gestion de   l'Université du Maryland.

Il   peut être atteint à Jmclendon@symantec.com   ou pour plus d'informations sur les systèmes de sécurité Symantic, aller à www.symantec.com .

 
comments powered by Disqus