外包安全 第2部分:测量成本

  • 作者: Jim McLendon
  • 发布于: 七月 15 2013



简介

对于各种规模的企业,外包安全已经成为一个越来越有吸引力的方法,保持强大的安全姿势。事实上,外包安全的信息安全服务市场中增长最快的部分,根据最近的Gartner Dataquest的研究。

通常情况下,

的外包安全的决定基于成本:公司能否有效地外包或合作源的安全管理功能,同时还实现了良好的投资回报?

以下是由三部分组成的系列外包安全两部分。本文将帮助企业计算安全管理的成本和成本比较提供了一个现实生活中的场景,来帮助企业构建财务分析时,考虑托管安全服务提供商(MSSP)的基础。

这   3部分组成的文章的第2部分。

部分   1注意到外包安全性的好处。

部分   2评估这样一个外包的成本。

部分   3选择安全服务提供商将提供指引。

帮凶预算

随着网络攻击上升,专家说,外包服务市场的增长为9月11日恐怖袭击事件的结果。的悲惨事件已经引起了政府支出明显增加,其中大部分将被引导到顾问和外部管理的安全服务提供商。

Gartner公司估计,多达40%的所有外部IT支出在2000年去服务,而不是购买硬件或软件和IT服务将占到45%的所有最终用户的消费到了2004年。美元的数字,Gartner表示,全球消费价值为$ 363亿美元的今天,要达到2004年的569亿美元由

计算成本

评估外包的成本可以是具有挑战性的,因为大多数组织不能充分估计这样的决定的财务影响。事实上,最近的的资讯天地外包研究100技术专家说,61%的企业不知道多少钱,他们的公司将在未来12个月内节省IT外包职能。对于大多数组织考虑外包安全服务,这是真实的。

当一家公司认为托管安全服务外包,必须估计若干变量的托管安全服务合同的期限

的:

  • 所有     有关资本和运营成本
  • 成本     监督管理安全服务提供商
  • 的     “钱”成本及利息成本
  • 剩余     值的设备和设施
  • 成本     过渡,包括人员
  • 成本     变化的方向和水平,资源
  • 成本     合同修改

在   此外,一个MSSP提供的服务范围可以有所不同。有些MSSP的只会   管理某些安全产品和技术,需要一个特定的品牌   购买或交换的安全技术为企业的现有   技术。其他的MSSP需要额外购买专门的或专有   日志文件和事件流收集,分析和过滤的技术。

为了有效地计算内部安全管理所有权的总成本,广泛的成本必须考虑过了数年。公司必须识别和评估的显性和隐性成本。以下部分列出了许多安全管理程序的成本。

设备

硬件   和软件的成本 -   对于内部安全管理,公司必须确定所有的硬件​​成本   和必要的安全管理和操作软件。这包括   服务器,个人电脑和外围设备,以及所有相关的作业   系统,数据库,应用和安全软件。额外的硬件和   支持安全操作所需的软件,包括系统和网络   管理工具,帮助台系统,集成的管理控制台和基于知识的   管理系统和软件。

许可证   成本 -   所有软件许可的成本,包括补丁,增量更新,   新版本的软件,应计算的预期软件   的生命周期。

维护    -   软件和设备的维护费用必须纳入总   拥有成本。软件维护通常是15至25%的   每年的软件的清单价格。一个组织提供100万美元的软件   牌照将每年支付15万美元的维护费用(低端)。   企业应该意识到他们得到的支持级别,成本。   一些管理的安全服务合同提供8个或10个小时的报道,   支持,而其他提供全天候支持。

人员    -   信息安全专业人员的人事也许是最关键的,   最困难的,并且最昂贵的组成部分,一个有效的安全管理   计划。最大的市场挑战,聘用和留住熟练的基础   安全专家。人员的成本不仅包括工资成本,   但也额外补偿(奖金,股票奖励等),空间,   设备成本,继续教育和培训的费用。薪金   安全管理员和人员上取决于地理和水平   技能和专门知识。据最近的一项调查InformantionWeekresearch.com,   平均补偿员工的信息安全专业人员(管理)   在达拉斯地区是:

的     的     
平均
88375美元 71750美元 $ 64,000

如果   一个公司有一个典型的8时至下午5时操作天,但计划扩大   全天候安全操作,那么它必须考虑人手多个班次   工人提供覆盖每年365天:

  • 移     早上
  • 移     两个下午/晚上
  • 移     三个晚上/清晨
  • 移     一个,两个,三个转变四个周末工作时间覆盖

因此,

的,它会采取最低的四个资源覆盖一个每周7天,每天24小时的安全运行的一席。这些额外的资源将需要一系列的专业知识或专业在不同类型的安全问题。

招聘 -   由于   在IT领域,以高周转率,组织还需要考虑   招聘成本。无论是内部的人力资源工作人员或外部招聘人员,   招聘的成本可能平均20%至30%的年度报酬总额   成本的位置被招募。

培训   和教育 -   持续安全专业人员的培训和教育是必不可少的珩磨   技能,更重要的是,饲养人员目前在一个不断变化的,快节奏的   的技术环境。持续教育必须包括最新的安全   工具和技术,威胁方法,和保护策略。成本   在这方面可能包括:

  • 产品     或技术培训
  • 培训     一般安全意识
  • 认证     准备课程认证费用
  • 出席     在重大安全会议或展览
  • 书籍,     杂志订阅,杂志或电子学习课程,以保持安全     专业人士掌握最新的技术,技巧,技术,威胁,     在行业和保障
[

是典型的机构提供指引,培训员工的数量得到每年。两个星期最少频繁,但更多的往往是必要的。大多数安全课程是为期一周的持续时间,因此,每个员工将有资格参加两个安全课程每年。由于课程的成本可能范围从$ 1,500到$ 3,000的培训将是每年5000美元,一个典型的员工人数费用。

设施

安全   运营中心 -   建设和人员全天候不间断安全运营的成本可以非常   高。成本过高对于大多数组织建立或租赁安全   运营中心(SOC),建设或租用空间的网络/安全   运营中心可以超过1亿美元的资本开支。如果现有的   空间已经建立或提供安全管理和监控   构建出成本,也许是一个合理规模的安全运营中心   30个座位,将是100万美元以上。对于许多组织成本极高   一旦所需的设备,灭火系统的高可用性,冗余   业务及其他功能相结合。

设置方案

示例:   内部与外包的安全管理成本 -   当考虑在内部与外包相关的费用和成本   安全管理对于一个中等规模的公司,在一个为期两年的计划好处   应考虑和节约成本的一个多年的管理服务合同   在整体。在某些情况下,可能大大高于第一年的积蓄   随后的几年相比,安全要求的发展和改变。

的   简介 沙Pharmaceuticals是一家先驱及全球领先   发现使人衰弱的疾病的新的治疗方法和医疗条件。   公司现有员工3000人员和有一个IT人员40人,五个专用   管理信息安全。沙制药已实现的防火墙   正在部署的入侵检测系统(IDS)技术。为了获得最大的   保护的公司,它的保安人员已经部署了三个防火墙和   6个网段,还需要基于网络的IDS和基于主机的IDS 24X7   10关键在企业的服务器。

年       1 房子 -       上午8时至下午5时 -       (5名) 房子 -       24X7操作 -       (15名) 外包 -       MSS解决方案
资源
薪金        (1) 501000美元 1503000美元 N / A
培训        (2) $ 25,000 $ 75,000 N / A
的招聘        (3) 37575美元 288075美元 N / A
设备
软件        (4) 81875美元 81875美元 81875美元
维护        (5) 12281美元 12281美元 12281美元
实施 -       和设置 (6) 成本       变化 成本       变化 23960美元
管理 N / A N / A 348000美元
总数 657731美元 -       + 1960231美元 -       +设置 466116美元

年       2 房子 -       上午8时至下午5时 -       (5名) 房子 -       24X7操作 -       (15名) 外包 -       MSS解决方案
资源
薪金        (7) 546090美元 1638270美元 N / A
训练 $ 25,000 $ 75,000 N / A
的招聘        (8) 40957美元 112870美元 N / A
设备
维护        (5) 12281美元 12281美元 12281美元
管理 N / A N / A 348000美元
总数 624328美元 1838421美元 360281美元

    基于信息周刊薪酬     (4) %的软件许可证成本。        基于平均
(1)       顾问。平均总薪酬(包括工资,股票期权,       和奖金)在得克萨斯州休斯敦,典型的安全专业。薪金       典型的安全专业人员在得克萨斯州休斯敦。薪金包括四个       工作人员(88375美元)和一个的经理(147500美元)
(2) 培训的成本估计在$ 5,000       两个班的基础上,每年每名雇员在行业标准价格       安全培训课程。
(3) 这种情况下假定公司       已经有工作人员白天五个位置上。它还假定一个保守       保安人员每年以30%的成交率。加上24X7       内部运营,第一年的招聘成本高的原因,除了       30%的营业额,原来的5个职位,10个新职位       是必要的。招聘成本是基于25%的年度总成本       内部安全专业人员的补偿。
软件基于三个成本       无限赛门铁克企业防火墙/ VPN用户许可证。赛门铁克NetProwler       IDS许可证6个网段,和赛门铁克防盗报警主机       IDS 10台服务器的许可证。
(5) 维护的成本基于15       
(6) 设置的成本包括实现       软件进行远程管理和日常维护和安装服务。       没有MSSP,实施服务是昂贵的,公司必须提供       持续的软件维护(升级,补丁等),以内部资源。
(7) 薪金的增加       高比上年增长9%。
(8) 这种情况下,假设保守       每年30%的所有保安人员流动率。招聘成本       基于年度薪酬总额的25%的成本,对内部安全       专业人士。

的假设   公司不断五个白天的任务必需在内部的IT安全人员   安全支持,第一年节省的全天候安全业务外包   是约836384美元。第二年储蓄外包全天候安全   操作853812美元

class="articleTitle">来到一个结论

作出决定是否要工作人员在内部安全服务或聘请管理的安全服务提供商,是一个决定最好用大量的研究和预算审查的情况下,不等过了数年,专注于使创收电子商务功能的同时保持强大的安全姿势。在年底,许多人说,执行此业务的审计和可能增加管理的安全服务的价格是比较小的时候失去客户的信任,由于安全休息的成本。

这   结论3部分组成的文章的第2部分。

部分   1注意到外包安全性的好处。

部分   2评估这样一个外包的成本。

部分   3选择安全服务提供商将提供指引。

关于   作者简介

吉姆class="articleText">的   McLendon ,赛门铁克安全服务全球业务副总裁   发展,拥有超过40年的经验,在信息安全和信息   操作。 McLendon加入AXENT,随后赛门铁克通过收购,   杰出的职业生涯后,美国空军。作为一个退休   上校,他有着丰富的专业知识和特种作战的指挥经验,   情报,电子战和信息战。他曾管理   大型化,多样化和地理上分开的组织,领导责任   为2100多名高级技术人员。他的职业生涯的大部分花费   在台湾,越南,英国,德国等的位置。

McLendon   毕业于空军的空军战争学院和空军指挥和参谋   学院。在人力资源管理中,他赢得了他的理学硕士学位   特洛伊州立大学和他的管理文学学士学位,学士学位   马里兰大学的。

他   可以达到在 Jmclendon@symantec.com   或Symantic的安全系统的更多信息,请 www.symantec.com

 
comments powered by Disqus