情報セキュリティの経済学。 ロシアの情報セキュリティ市場の概要戦略的施設の情報保護

彼らは、ソフトウェアの脆弱性を発見するためのボーナスを支払うためのプラットフォームから、プログラムの診断や自動テストまで、さまざまなコンピューターセキュリティテクノロジーに投資しています。 しかし、何よりも、それらは認証およびID管理テクノロジーに魅了されています-2019年末にこれらのテクノロジーを扱うスタートアップに約9億ドルが投資されました。

サイバーセキュリティ教育のスタートアップへの投資は2019年に4億1800万ドルに達し、主にKnowBe4が3億ドルを調達しました。このスタートアップは、フィッシングシミュレーションプラットフォームとさまざまなトレーニングプログラムを提供しています。

2019年には、モノのインターネットのセキュリティに関与する企業が約4億1,200万ドルを受け取りました。 SentinelOneは、投資額の点でこのカテゴリーのリーダーであり、2019年にエンドポイント保護技術の開発のために1億2000万ドルを受け取りました。

同時に、メタキュリティアナリストは、情報セキュリティセクターのベンチャーキャピタル市場の状況を特徴付ける他のデータを提供します。 2019年、ここでの投資額は65.7億ドルに達し、2018年の38.8億ドルから増加しました。 トランザクション数も133から219に増加しました。同時に、Metacurityによると、1トランザクションあたりの平均投資額は実質的に変わらず、2019年末には2,920万に達しました。

2018

9％増の370億ドル-Canalys

2018年、情報セキュリティ（IS）向けの機器、ソフトウェア、およびサービスの売上高は370億ドルに達し、1年前（340億ドル）と比較して9％増加しました。 このようなデータは、Canalysのアナリストによって2019年3月28日にリリースされました。

多くの企業が資産、データ、エンドポイント、ネットワーク、従業員、顧客の保護を優先していますが、サイバーセキュリティは2018年の総IT支出のわずか2％を占めていると彼らは言いました。 ただし、ますます多くの新しい脅威が出現し、それらはより複雑で頻繁になり、情報セキュリティソリューションメーカーに成長の新しい機会を提供します。 サイバーセキュリティの総支出は、2020年に420億ドルを超えると予想されています。

CanalysのアナリストであるMatthewBallは、情報セキュリティ実装の新しいモデルへの移行が加速すると考えています。 顧客は、パブリッククラウドサービスと柔軟なサブスクリプションベースのサービスでIT予算の性質を変えています。

2018年の情報セキュリティシステム展開プロジェクトの約82％は、従来のハードウェアとソフトウェアの使用に関連していました。 残りの18％のケースでは、仮想化、パブリッククラウド、および情報セキュリティサービスが使用されました。

新しいソリューションが市場で人気を博しているため、2020年までに、情報セキュリティシステムを展開する従来のモデルのシェアは70％に低下します。

さまざまな製品がさまざまなタイプの展開に適しているため、ベンダーはこの移行をサポートするためにさまざまなビジネスモデルを作成する必要があります。 今日の多くの人にとっての主な課題は、新しいモデルをよりチャネル指向にし、既存のアフィリエイトプログラム、特にクラウドを介した顧客の運用と統合することです。 一部のクラウドマーケットプレイスはすでにこれに反応しており、パートナーがカスタマイズされたオファーと価格を顧客に直接提供し、取引と割引の登録を追跡できるようになっていると、MatthewBallは2019年3月29日付けの投稿で述べています。

CanalysのアナリストであるKetakiBoradeによると、主要なサイバー防衛技術ベンダーは、企業がサブスクリプションスキームに移行し、クラウドインフラストラクチャでの運用を増やすことを含む新しい配布モデルを導入しました。

MomentumCyber​​の共同創設者兼マネージングパートナーであるEricMcAlpineは、サイバーセキュリティ市場は非常にダイナミックであり、規制や技術要件の高まりに対応する記録的なトランザクションとボリュームアクティビティ、およびデータ侵害のリスクが根強く残っていると述べています。 「この勢いは、新たな脅威に対抗し、サプライヤーの疲労とスキル不足の増大に直面して統合するよう努めているため、このセクターを新しい領域に押し上げ続けると信じています。

2017

サイバーセキュリティ費用は1,000億ドルを超えました

調査会社のガートナーは、2017年に情報セキュリティ（IS）（製品とサービス）への世界的な支出が1,015億ドルに達したと2018年8月中旬に語った。 2017年の終わりに、専門家はこの市場を891.3億ドルと推定しました。評価が大幅に増加した理由は、報告されていません。

CIOは、組織がテクノロジープラットフォームを安全に使用して競争力を高め、ビジネスの成長を促進できるよう支援することに取り組んでいます」と、GartnerのリサーチディレクターであるSiddharthDeshpande氏は述べています。 「継続的な人材不足とヨーロッパの一般データ保護規則（GDPR）などの規制の変更により、サイバーセキュリティ市場の継続的な成長が促進されています。

専門家は、情報保護のコストを高める主な要因の1つは、脅威を検出して対応する新しい方法の導入であると考えています。これらの方法は、2018年に組織のセキュリティの最優先事項になりました。

Gartnerの見積もりによると、2017年に組織のサイバーセキュリティサービスへの支出は世界で523億ドルを超え、2018年にはこれらのコストは589億ドルに増加すると予測されています。

2017年、企業はアプリケーション保護に24億ドル、データ保護に26億ドル、クラウドサービスに1億8500万ドルを費やしました。

IDとアクセスを管理するためのソリューション（IDとアクセス管理）の年間売上高は88億ドルでした。ITインフラストラクチャの保護手段の実装は、126億ドルに増加しました。

この調査では、ネットワークセキュリティを確保するために使用される機器に109億ドルを費やしていることも報告されています。 彼らの製造業者は、情報セキュリティリスク管理システムから39億ドルを稼いでいます。

Gartnerの調査によると、2017年の消費者のサイバーセキュリティ支出はアナリストによって59億ドルと推定されました。

ガートナーは市場規模を891.3億ドルと見積もっています

2017年12月、2017年の情報セキュリティ（IS）にかかる企業の世界的なコストは891.3億ドルになることが判明しました。ガートナーによると、サイバーセキュリティにかかる企業コストは2016年に822億ドルを約70億ドル上回ります。

専門家は、サイバーセキュリティサービスが最大の費用項目であると考えています。2017年には、企業はこれらの目的に530億ドル以上を割り当てますが、2016年には488億ドルになります。 情報セキュリティ市場で2番目に大きなセグメントは、インフラストラクチャを保護するためのソリューションであり、2017年のコストは1年前の152億ドルではなく、162億ドルになります。 ネットワークセキュリティのための機器-3位（109億3000万ドル）。

情報セキュリティコストの構造には、情報セキュリティ用の消費者向けソフトウェアとIDおよびアクセス管理システム（Identity and Access Management、IAM）も含まれます。 ガートナーの2017年のこれらの分野の費用は46.4億ドルと43億ドルと見積もられていますが、2016年の数字はそれぞれ45.7億ドルと39億ドルでした。

アナリストは、情報セキュリティ市場のさらなる上昇を期待しています。2018年には、組織はサイバー防御への支出をさらに8％増やし、これらの目的に合計963億ドルを割り当てる予定です。成長要因の中で、専門家は情報の規制の変更を挙げています。セキュリティセクター、新たな脅威の認識、デジタルビジネス戦略に向けた企業のピボット。

ガートナーのリサーチディレクターであるRuggeroContu氏は、一般的に、サイバーセキュリティのコストは主にサイバーセキュリティインシデントに対する企業の反応によるものです。これは、組織が苦しんでいる注目を集めるサイバー攻撃や情報漏えいの数が世界中で増加しているためです。

アナリストの言葉は、オーストラリア、カナダ、フランス、ドイツ、インド、シンガポール、米国の世界8か国の512の組織を対象に、2016年にガートナーが調査したデータによっても確認されています。

回答者の53％が、サイバーセキュリティ支出の増加の背後にある主な推進力としてサイバーセキュリティリスクを挙げています。 これらのうち、調査対象者の最も高い割合は、サイバー攻撃の脅威が情報セキュリティの支出に関する意思決定に最も影響を与えると述べています。

ガートナーの2018年の見通しでは、すべての主要分野で支出が増加すると予測しています。 したがって、約577億ドル（+ 46.5億ドル）がサイバー保護サービスに、約175億ドル（+ 12.5億ドル）がインフラストラクチャセキュリティに、116.7億ドルがネットワーク保護機器（+ 7億3500万ドル）の消費者に費やされます。ソフトウェア-47.4億ドル（+ 1億900万ドル）およびIAMシステム-46.9億ドル（+ 4億1600万ドル）。

アナリストはまた、2020年までに、世界の組織の60％以上が、情報損失の防止、暗号化、監査など、いくつかのデータ保護ツールに同時に投資すると考えています。 2017年末現在、このようなソリューションを購入する企業の割合は35％と推定されています。

情報セキュリティに対する企業支出のもう1つの重要な項目は、サードパーティの専門家の関与です。 サイバーセキュリティ分野の人材不足、情報セキュリティシステムの技術的複雑化、サイバー脅威の増大を背景に、2018年の情報セキュリティアウトソーシングにかかる​​企業のコストは11％増加し、 185億ドル。

Gartnerの計算によると、2019年までに、サードパーティの情報セキュリティ専門家のサービスに対する企業の支出は、サイバーセキュリティを確保するためのソフトウェアと機器の総コストの75％を占めることになりますが、2016年にはこの比率は63％のレベルでした。

IDCは820億ドルの市場規模を予測しています

費用の3分の2は、大企業および非常に大規模な企業に関連する企業に発生します。 IDCのアナリストによると、2019年までに、従業員数が1,000人を超える企業の費用は500億ドルを超えるとのことです。

2016年：市場規模は737億ドル、成長率はIT市場の2倍です

2016年10月、分析会社IDCは、世界の情報セキュリティ市場の調査の概要を発表しました。 その成長はIT市場の成長よりも高くなると予想されます。

IDCは、サイバー防衛のための機器、ソフトウェア、サービスの世界的な売上高は2016年に約737億ドルに達し、2020年には1,000億ドルを超え、1,016億ドルになると予測しています。2016年から2020年までの期間、情報セキュリティ市場-テクノロジーは年間平均8.3％の成長率で成長します。これは、IT業界の予想成長率の2倍です。

2016年末の最大のサイバーセキュリティ費用（86億ドル）は銀行で予想されています。 このような投資の2位、3位、4位は、それぞれ個別の製造企業、政府機関、連続生産企業によって占められ、費用の約37％を占めます。

サイバーセキュリティへの投資の増加のダイナミクスにおけるリーダーシップは、アナリストによってヘルスケアに与えられています（2016年から2020年には、年間平均10.3％の成長が見込まれます）。 電気通信、住宅セクター、政府機関、投資および証券市場におけるサイバー防衛のコストは、年間約9％上昇します。

研究者は、最大のサイバーセキュリティ市場をアメリカ市場と呼んでおり、2016年の取引高は315億ドルに達します。上位3つには、西ヨーロッパとアジア太平洋地域（日本を除く）も含まれます。 IDC調査の短いバージョンには、ロシア市場に関する情報はありません。

ロシアの企業MonitorSecurityのゼネラルディレクターであるDmitryGvozdevは、ロシアのセキュリティ支出全体に占めるサービスの割合が30〜35％から40〜45％に増加すると予測し、クライアントの市場構造の発展を全体から予測しています。幅広い産業の中規模企業に向けた州、金融、エネルギーセクターの支配。

一つのトレンドは、輸入代替の問題と外交政策の状況に関連して、国内のソフトウェア製品のシェアの開発であるはずです。 ただし、これが財務指標にどの程度反映されるかは、ルーブルの為替レートと、国内のソフトウェアソリューション市場の少なくとも半分と機器セグメントの最大3分の2を占める外国ベンダーの価格設定方針に大きく依存します。 。 ロシアの情報セキュリティソリューション市場全体の最終的な年間財務結果は、外部の経済的要因にも関係している可能性があります。GvozdevはTAdviserとの会話で述べています。

2015

市場規模

連邦支出

サイバー犯罪

侵害あたりのコスト

金融業務

国際的

セキュリティ分析

2013年：EMEA市場は25億ドルに成長しました。

EMEA地域（ヨーロッパ、中東、アフリカ）のセキュリティ製品の市場規模は2012年と比較して2.4％増加し、25億ドルに達しました。アナリストは、コンピューターネットワークを保護するための多機能ソフトウェアおよびハードウェアコンプレックスと呼ばれています-UTMソリューション（統一された脅威管理）。 同時に、IDCは、2018年までに情報セキュリティの技術的手段の市場が価値ベースで42億ドルに達し、平均年間成長率が5.4％になると予測しました。

2013年末、チェック・ポイントは、EMEA地域での情報セキュリティ技術の販売による収益の面でサプライヤーの中で主導的な地位を占めました。 IDCによると、2013年のこのセグメントのベンダーの収益は3.8％増加し、3億7,464万ドルに達しました。これは、19.3％の市場シェアに相当します。

2012年：PAC予測：情報セキュリティ市場は年間8％成長します

調査によると、世界の情報セキュリティ市場は、2016年に360億ユーロに達するまで、毎年8％成長するでしょう。

すでに述べたように、企業のセキュリティは、そのライフサイクル、情報システムのすべての段階での一連の対策によって保証され、一般的な場合、コストで構成されます。

• -設計作業;
• -ソフトウェアおよびハードウェア保護ツールの調達と設定。
• -物理的セキュリティを確保するためのコスト。
• - スタッフトレーニング;
• -システムの管理とサポート。
• -情報セキュリティ監査;
• -情報セキュリティシステムの定期的な近代化など。

統合された情報セキュリティシステムの経済性のコスト指標は、その年の情報セキュリティシステムの組織化、運用、および保守にかかる直接的および間接的なコストの合計になります。

これは、保護の総コストを見積もるだけでなく、必要なレベルの企業セキュリティを達成するためにこれらのコストを管理できるため、企業における情報保護の組織化の有効性の重要な定量的指標と見なすことができます。 ただし、直接費には、費用の資本構成要素と人件費の両方が含まれ、これらは運用と管理のカテゴリで説明されます。 これには、組織の活動のサポートに関連するリモートユーザーなどのサービスのコストも含まれます。

同様に、間接費は、企業の情報セキュリティシステムと統合セキュリティシステム全体のダウンタイムと「フリーズ」、運用とサポートのコストなどの測定可能な指標を通じて、統合セキュリティシステムと情報セキュリティサブシステムが従業員に与える影響を反映しています。 。

多くの場合、間接費は統合セキュリティシステムの予算に最初は反映されないため、重要な役割を果たしますが、後でコスト分析で明確に識別され、最終的には会社の「隠れた」コストの増加につながります。 統合セキュリティシステムの直接的および間接的なコストをどのように決定できるかを検討してください。 会社の経営陣が企業で統合情報セキュリティシステムの実装に取り​​組んでいると仮定します。 保護の目的と目的、情報セキュリティへの脅威、およびそれらに対抗するための対策はすでに決定されており、情報を保護するために必要な手段が取得され、インストールされています。

通常、情報セキュリティのコストは次のカテゴリに分類されます。

• -情報セキュリティシステムの管理リンクの形成と維持にかかる費用。
• -制御のコスト、つまり、エンタープライズリソースのセキュリティの達成レベルを決定および確認するためのコスト。
• -情報セキュリティ違反の結果を排除するための内部コスト-必要なレベルのセキュリティが達成されていないという事実の結果として組織が負担するコスト。
• -情報セキュリティ違反の結果を排除するための外部コスト-情報漏えい、企業イメージの喪失、パートナーや消費者の信頼の喪失などに関連する場合のセキュリティポリシー違反による損失の補償。
• -情報セキュリティシステムを維持するためのコストと、会社のセキュリティポリシーの違反を防ぐための対策。

同時に、通常、1回限りのコストと体系的なコストは区別されます。

エンタープライズセキュリティを形成するための1回限りのコスト：組織のコストとセキュリティ機器の購入と設置のコスト。

体系的な運用および保守のコスト。 情報セキュリティのためのコストの収集、分類、分析は企業の内部活動であり、リストの詳細な作成は特定の組織の特性に依存するため、コストの分類は任意です。

セキュリティシステムのコストを決定する際の主なことは、企業内のコスト項目に関する相互理解と合意です。

さらに、コストカテゴリは一定であり、重複してはなりません。 セキュリティコストを完全に排除することはできませんが、許容可能なレベルにまで引き上げることはできます。

一部のセキュリティコストは絶対に必要であり、一部は大幅に削減または排除できます。 後者は、セキュリティ違反がない場合に消滅するか、違反の数と悪影響が減少すると減少する可能性があるものです。

安全を守り、違反の防止を行いながら、以下のコストを排除または大幅に削減することができます。

• -セキュリティ要件を満たすためにセキュリティシステムを復元する。
• -企業の情報環境のリソースを復元する。
• -セキュリティシステム内の変更。
• -法的紛争および補償金の支払いについて。
• -セキュリティ違反の原因を特定するため。

必要なコストは、セキュリティの脅威のレベルが十分に低くても必要なコストです。 これらは、企業情報環境の達成されたレベルのセキュリティを維持するためのコストです。

避けられないコストには、次のものが含まれます。

• a）保護の技術的手段の維持。
• b）機密事務。
• c）セキュリティシステムの機能と監査。
• d）専門組織の関与による最低レベルの検査と管理。
• e）情報セキュリティ手法に関する要員のトレーニング。

ただし、他にも決定が難しいコストがあります。 その中で：

• a）新しい市場戦略の追加の研究開発のコスト。
• b）科学研究の優先順位の低下、および科学技術の成果に対するライセンスの特許取得と販売の不可能性による損失。
• c）製品の供給、生産、およびマーケティングにおける「ボトルネック」の排除に関連するコスト。
• d）企業が製造した製品の妥協による損失とその低価格。
• e）機器や技術の取得における困難の出現。これには、それらの価格の上昇、供給量の制限が含まれます。

記載されているコストは、設計、技術、経済計画、法務、経済、マーケティング部門、料金ポリシー、価格設定など、さまざまな部門の担当者の行動によって発生する可能性があります。

これらすべての部門の従業員は、外部損失でフルタイムで忙しい可能性は低いため、実際に費やした時間を考慮してコスト額を設定する必要があります。 外部損失の要素の1つは、正確に計算できません。これらは、会社のイメージを損ない、会社の製品やサービスに対する消費者の信頼を低下させることに関連する損失です。 多くの企業が彼らのサービスが安全でないことを隠しているのはこのためです。 企業は、そのような情報が何らかの形での攻撃よりもさらに公開されることを恐れています。

ただし、多くの企業は、これらのコストを正確に見積もることができないという理由で無視しています。これらは推測にすぎません。 予防措置の費用。 予防活動は部門間で実行され、多くのサービスに影響を与えるため、これらのコストを見積もるのはおそらく最も困難です。 これらのコストは、企業情報環境のリソースのライフサイクルのすべての段階で発生する可能性があります。

• -計画と組織;
• -買収と試運転。
• -配信とサポート。
• -情報技術を構成するプロセスの監視。

これに加えて、このカテゴリのコストのほとんどは、セキュリティ担当者の作業に関連しています。 予防費には主に給与と諸経費が含まれます。 ただし、彼らの決定の正確さは、各従業員が個別に費やした時間を確立する正確さに大きく依存します。 予防的費用のいくつかは、直接特定するのが簡単です。 特に、サードパーティのさまざまな作品の支払いが含まれる場合があります。

• -ソフトウェアおよびハードウェア保護ツール、オペレーティングシステム、および使用済みネットワーク機器の保守と構成。
• -アラームの設置、機密文書ストレージの装備、電話通信回線、コンピューター機器の保護などのエンジニアリングおよび技術的作業を実行します。
• -機密情報の配信。
• -相談;
• - トレーニングコース。

考慮されるコストに関する情報源。 情報セキュリティを提供するコストを決定するときは、次のことを覚えておく必要があります。

• -ソフトウェアおよびハードウェアツールを取得して運用するためのコストは、請求書、倉庫のドキュメントの記録などの分析から取得できます。
• -人員への支払いは、明細書から受け取ることができます。
• -給与の支払い額は、情報セキュリティを確保するための作業に実際に費やされた時間を考慮に入れる必要があります。従業員の時間の一部のみが情報セキュリティを確保するための活動に費やされている場合、各コンポーネントの評価の実現可能性彼の時間のコストについては疑問視されるべきではありません。
• -安全コストの分類と要素によるそれらの割り当ては、企業内の日常業務の一部になる必要があります。

2018-08-21T12：03：34 + 00：00

大企業は、年間収益の約1％を、ビジネスの物理的セキュリティの確保に費やしています。 エンタープライズセキュリティは、テクノロジーや生産手段と同じくらい多くのリソースです。 しかし、データとサービスのデジタル保護に関しては、財務リスクと必要なコストを計算することが難しくなります。 IT予算からサイバーセキュリティに割り当てるのが合理的である金額をお伝えします。不要なツールの最小セットはありますか。

セキュリティコストは上昇しています

によると、世界中の商業組織報告する ガートナーは、ソフトウェア、特殊サービス、ハードウェアなど、2017年のサイバーセキュリティのニーズに約870億ドルを費やしました。 これは2016年より7％多くなっています。 今年は930億人に達すると見込まれており、来年は100を超える見込みです。

専門家によると、ロシアの情報セキュリティサービスの市場は約550〜600億ルーブル（約90万ドル）です。 その2/3は政府の命令により閉鎖されています。 企業部門では、そのような費用の割合は、企業の形態、地域、活動分野に大きく依存します。

国内銀行と平均的な金融構造投資 サイバーセキュリティでは、年間3億ルーブル、産業家（最大5,000万人、ネットワーク企業（小売））は1,000万から5,000万ルーブルです。

しかし、ロシアのサイバーセキュリティ市場の数年間の成長率は、現在、世界規模の1.5〜2倍です。 2017年の成長率は、2016年と比較して15％（顧客のお金で）でした。 2018年の終わりには、さらに印象的なものになる可能性があります。

高い成長率は、市場の全般的な復活と、ITインフラストラクチャの真のセキュリティとデータの安全性に対する組織の注目が急増していることによるものです。 情報保護システムを構築するためのコストは、現在、投資と見なされており、残りのベースだけでなく、事前に計画されています。

ポジティブテクノロジーシングルアウト 成長の3つの推進力：

1. 過去1。5〜2年間の注目を集めた事件は、今日、怠惰な人だけが企業の財政的安定のための情報セキュリティの役割を理解していないという事実につながっています。 経営幹部の5人に1人は、ビジネスの文脈で実用的なセキュリティに関心を持っています。

昨年は、小学校を無視する企業にとって有益でした ..。 最新のアップデートがなく、脆弱性に注意を払わずに作業する習慣があるため、フランスのルノー工場、日本のホンダ、日産が閉鎖されました。 銀行、エネルギー、電気通信会社が影響を受けました。 たとえば、マースクは一度に3億ドルの費用がかかります。

1. ランサムウェアの流行であるWannaCry、NotPetya、Bad Rabbitは、ウイルス対策とファイアウォールをインストールするだけでは安全を感じることができないことを国内企業に教えています。 包括的な戦略、IT資産のインベントリ、専用リソース、脅威対応戦略が必要です。
2. ある意味で、トーンは、すべての分野（医療と教育から輸送と金融まで）を網羅するデジタル経済に向けたコースを発表した州によって設定されます。 このポリシーは、ITセクター全般、特に情報セキュリティの成長に直接影響します。

セキュリティの脆弱性のコスト

これらはすべて有益ですが、すべてのビジネスはユニークなストーリーです。 会社の一般的なIT予算から情報セキュリティにいくら費やすかという問題は、正しくはありませんが、顧客の観点からは、最も差し迫った問題です。

カナダ市場を例にした国際調査会社IDC呼び出し 組織の総IT予算のサイバーセキュリティへの投資の最適な9.8〜13.7％。 つまり、現在、カナダの企業はこれらのニーズに平均して約10％を費やしていますが（これは健全な企業の指標であると考えられています）、世論調査から判断すると、14％に近づけたいと考えています。

企業は、落ち着きを感じるために情報セキュリティにいくら費やす必要があるのか​​疑問に思う理由はありません。 今日、サイバーセキュリティインシデントによるリスクの評価は、物理的な脅威による損失を計算することほど難しくありません。 世界的にあります統計学 、 それによれば：

• ハッカーの攻撃は、世界経済に年間1,100億ドル以上の損害を与えています。
• 中小企業の場合、各インシデントのコストは平均188,000ドルです。
• 2016年のハッキングの51％が標的にされました。つまり、特定の企業に対する組織犯罪グループです。
• 攻撃の75％は、金銭的な動機で重大な損害を与えることを目的として実行されます。

2018年春、カスペルスキーは大規模な事業を実施しました勉強 ..。 世界中の6000人の企業スペシャリストの調査によると、企業ネットワークのハッキングとデータ漏洩による被害は、過去2年間で20〜30％増加しています。

規模や活動の範囲に関係なく、2018年2月の商業組織の平均被害額は123万ドルでした。 中小企業の場合、スタッフのミスやハッカーの行動の成功には12万ドルの費用がかかります。

情報セキュリティのフィージビリティスタディ

企業の情報セキュリティを組織化するために必要な財源を正しく評価するためには、実現可能性調査を作成する必要があります。

1. ITインフラストラクチャのインベントリを実行し、リスクを評価し、重要度の高い順に脆弱性のリストを作成します。 評判の損失（保険料率の上昇、信用格付けの低下、サービスのダウンタイムのコスト）、システムの復元（機器とソフトウェアの更新）のコストもここに含まれます。
2. 情報セキュリティシステムが解決すべき課題を列挙します。
3. 問題を解決するための機器やツールを選び、そのコストを決定します。

会社にサイバーセキュリティの脅威とリスクを評価する能力がない場合は、いつでも情報セキュリティ監査を注文することができます。 今日、この手順は短命で、安価で、痛みもありません。

高度なプロセス自動化の専門家を擁する産業企業お勧め 適応型セキュリティアーキテクチャモデルを使用する（アダプティブセキュリティアーキテクチャ）、Gartnerによって2014年に提案されました。 これにより、情報セキュリティコストを適切に再配分し、脅威を検出して対応するためのツールに注意を払い、ITインフラストラクチャの監視および分析システムの実装を意味します。

中小企業のサイバーセキュリティコストはいくらですか

Capterraブログの作者は決定しましたカウントアップ 情報セキュリティシステムは、使用初年度の中小企業の平均コストです。 これのために選ばれましたリスト 市場に出回っている50の人気のある「ボックス」オファーのうち。

価格の範囲は非常に広いことが判明しました。年間50ドル（中小企業向けの無料ソリューションも2〜3あります）から6000ドル（単一のパッケージがあり、それぞれ24千ドルありますが、これらは含まれていません）計算）。 中小企業は、基本的なサイバー防御システムを構築するために、平均して1,400ドルを頼りにすることができます。

ビジネスVPNや電子メール保護などの最も安価な技術ソリューションは、特定の種類の脅威（フィッシングなど）からの保護に役立ちます。

スペクトルのもう一方の端には、「高度な」イベント応答と包括的な保護ツールを備えた完全な監視システムがあります。 これらは、大規模な攻撃から企業ネットワークを保護するのに役立ち、場合によっては、その外観を予測して早期に阻止することもできます。

会社は、情報セキュリティシステムの支払いにいくつかのモデルを選択できます。

• ライセンスあたりの価格、平均価格-1000〜2000ドル、またはライセンスあたり26〜6000ドル。
• ユーザーあたりの価格。 企業のユーザーあたりの情報セキュリティシステムの平均コストは37ドルで、範囲は1人あたり月額4ドルから​​130ドルです。
• 接続されたデバイスの価格。 このモデルの平均コストは、デバイスあたり2.25ドルです。 価格は月額$ 0.96から$ 4.5の範囲です。

情報セキュリティのコストを正しく計算するには、小さな会社でもリスク管理の基本を実装する必要があります。 24時間以内に修正できない最初のインシデント（サイト、サービス、支払いシステムの低下）は、事業の閉鎖につながる可能性があります。

Kaspersky Labのグローバル企業ITセキュリティリスク調査は、世界中の企業情報セキュリティの傾向を毎年分析したものです。 情報セキュリティのコスト、さまざまなタイプの企業に対する現在のタイプの脅威、およびこれらの脅威に直面した場合の経済的影響など、サイバーセキュリティの重要な側面を考慮します。 さらに、経営幹部から情報セキュリティの予算に関する洞察を得ることで、世界中の企業が脅威の状況の変化にどのように対応しているかを確認できます。

2017年には、企業が情報セキュリティをコスト源（お金をかけなければならない必要悪）と見なしているのか、それとも戦略的投資（つまり、ビジネスの継続性を確保する手段）と見なし始めているのかを理解しようとしました。急速に発展するサイバー脅威の時代における大きなメリット）。

これは非常に重要な問題です。特に、世界のほとんどの地域でIT予算が減少しているためです。

ただし、ロシアでは、2017年に平均セキュリティ予算がわずかに増加しました-2％。 ロシアの平均情報セキュリティ予算は約1540万ルーブルでした。

このレポートでは、あらゆる規模の企業が直面する脅威の種類と、ITコストの割り当て方法のパターンについて詳しく説明します。

一般的な情報と調査方法

Kaspersky Labのグローバル企業ITセキュリティリスク調査は、2011年から毎年実施されている組織内のITマネージャーの調査です。

最新のデータは2017年3月と4月に収集されました。 30か国以上から合計5,274人の回答者にインタビューを行い、さまざまな規模の企業が調査に参加しました。

レポートでは、次の指定が使用されることがあります。中小企業-50人未満の従業員、SMB（中小企業-50人から250人の従業員）および大企業（250人のスタッフを抱える企業）。 現在のレポートは、調査からの最も指標となるパラメータの分析を示しています。

主な結論：

あらゆる規模の企業がサイバー脅威に取り組むのが難しくなっていることに気づいており、保護コストも上昇しています。 ロシアでは、中小企業のセグメントでは、たった1つのサイバーインシデントの結果を排除するための平均コストは160万ルーブルですが、大企業のセグメントでは、コストは1,610万ルーブルです。

情報セキュリティに充てられるIT予算の割合は増加しています。 これは、あらゆる規模の企業に当てはまります。 同時に、予算の総額は依然として低く、ロシアでは成長率がわずか2％であったため、専門家は少ないリソースでタスクを実行することを余儀なくされています。

インシデントだけで被害が拡大しており、情報セキュリティコストを優先しない企業は、間もなく大きな課題に直面する可能性があります。 調査によると、SMBセグメントでは、企業はセキュリティインシデントごとに約300,000ルーブルを従業員の福利厚生に費やし、大企業は270万ルーブルを費やしてブランドの損害を減らすことができます。

セキュリティインシデントによる損害

企業は、追加の公的支援から新入社員の採用まで、無数の結果に対処しなければならないため、サイバーセキュリティインシデントによる被害は拡大し続けています。 2017年には、データの整合性違反が発生した場合の経済的損失がさらに増加し​​ました。 これは、この問題へのアプローチに影響を与えるはずです。企業は、サイバーセキュリティコストを必要悪と見なすのをやめ、攻撃が発生した場合に重大な金銭的損失を回避する投資と見なし始めます。

深刻なデータ整合性違反はますます高額になっています

CTOの最大の懸念は、何百万ものレコードをリークする大規模な攻撃です。 これらは、英国国民保健サービス（NHS）、ソニー、またはシリーズ「ゲーム・オブ・スローンズ」に関連する機密データのリリースを伴うHBOハックに対する攻撃でした。 しかし実際には、そのような重大な事件は規則ではなく例外です。 ほとんどのサイバー攻撃は昨年まで見出しにならず、専門家向けの特別レポートの領域であり続けました。 もちろん、ランサムウェアの流行は状況を少し変えましたが、それでもビジネスの企業セグメントは全体像を理解していません。

既知の大規模なサイバー攻撃の数が比較的少ないからといって、ほとんどの攻撃による被害が軽微であることを意味するわけではありません。 では、企業は「典型的な」データ整合性違反の修正に平均していくら費やしているのでしょうか。 調査参加者に、過去1年間に発生したセキュリティインシデントの結果として会社が費やした/失った金額を見積もるように依頼しました。

従業員が50人以上のすべての企業は、次の各カテゴリで発生するコストを見積もる必要がありました。

カテゴリごとに、情報セキュリティインシデントに直面した企業の平均コストを計算し、すべてのカテゴリの合計から、情報セキュリティインシデントによる総被害額を見積もることができました。

中小企業セグメントと大企業の統計は多くの点で異なるため、以下に個別に結果を示します。 たとえば、ロシアの中小企業の平均被害額は約160万ルーブルですが、大企業の場合はほぼ10倍の1,610万ルーブルです。 これは、サイバー攻撃はあらゆる規模の企業にとってコストがかかることを示しています。

データの整合性が侵害された場合、大企業が平均してより多くの損失を被ることは驚くべきことではありませんが、カテゴリごとの被害の分布を分析することは興味深いことです。

昨年、従業員の福利厚生は中小企業と大企業の両方にとって最大の費用でした。 しかし、今年は状況が変わり、さまざまな種類の費用がさまざまな規模の企業の主なものになりました。 中小企業は依然として従業員の福利厚生を最大限に失っています。 しかし、大企業は、ブランドの評判へのダメージを減らすために、追加のPRに投資し始めました。 さらに、大企業にとって重要なコスト項目は、技術機器の改善と追加のソフトウェアの購入のコストでした。

すべての企業にとって、従業員のトレーニングのコストは増加しています。 多くの場合、セキュリティインシデントにより、企業はサイバーリテラシーを向上させ、脅威インテリジェンスを向上させることの重要性を認識します。

大企業のより広い内部リソースとその活動の規制の詳細は、脅威自体を排除するためのコストと損害の補償のコストとの間の異なるバランスを決定します。 重大な費用項目は、保険料の値上げ、信用格付けの低下、および会社に対する信頼の低下でした。平均して、各事件の後、大企業は約230万ルーブルを失います。

私たちの調査によると、コストの増加の多くは、信用格付け、ブランドイメージ、報酬の形で評判の低下を防ぐ、または少なくとも減らす必要があるためです。

新しい規制が広く実施されているため、企業はすべてのインシデントを公に報告し、データ保護の透明性を高める必要があるため、平均的な被害は拡大し続ける可能性があります。

このような傾向は典型的なものであり、たとえば日本では、セキュリティ違反の結果を排除するための平均コストが2倍以上になりました。2016年の58万ドルから2017年の130万ドルになりました。 日本政府は、サイバーセキュリティの脅威の増加に対応して規制要件を強化するための措置を講じています。 2017年に新しい法律が施行され、コストが急上昇しました。

ただし、法律の制定と実施には時間がかかります。 急速に進化する企業のITランドスケープと進化するサイバー脅威により、規制の遅れが大きな課題になりつつあります。 たとえば、2015年に新しい日本の基準が合意されましたが、その発効は2年間延期されなければなりませんでした。 多くの人にとって、遅延には代償が伴いました。過去2年間で、多くの大規模な日本企業が高額な攻撃の犠牲になりました。 その一例が、2016年に大規模なリークに直面した旅行会社JTBCorp。です。 名前、住所、パスポート番号など、800万人の顧客の詳細が盗まれました。

これは地球規模の問題の兆候の1つです。脅威は急速に発展しており、政府や企業の慣性は高すぎます。 ネジを締めるもう1つの例は、2018年5月に施行され、EU市民のデータを処理および保存するための許容可能な方法を大幅に制限する欧州データ保護規則（GDPR）です。

法律は世界中で変化していますが、サイバー脅威に追いつくことはできません。2017年のランサムウェアの3つの波は、ロシアでこれを思い出させました。 したがって、企業は法的な欠陥に注意し、実際の状況に応じて保護を強化する必要があります。または、事前に評判や顧客への損害を我慢する必要があります。 期限を待たずに、新しい規制要件に備える価値があります。 関連する法律が可決された後にポリシーを変更することにより、企業は罰金だけでなく、自社および顧客データのセキュリティも危険にさらします。

見知らぬ脆弱性はありません：パートナー保護の穴は高価です

データ漏洩から保護するには、攻撃者がどの攻撃ベクトルを使用しているかを理解することが非常に重要です。 次に、この情報は、どのタイプの攻撃が最もコストがかかるかを理解するのに役立ちます。

調査によると、次の事件が中小企業にとって最も深刻な経済的影響を及ぼしました。

• サードパーティの機器でホストされているインフラストラクチャに影響を与えるインシデント（1,720万ルーブル）
• 会社が使用するサードパーティのクラウドサービスに影響を与えるインシデント（360万ルーブル）
• モバイルデバイスを介した不適切なデータ交換（250万ルーブル）
• モバイルデバイスの物理的損失、組織をリスクにさらす（RUB 210万）
• インターネットに接続された非コンピューティングデバイスに関連するインシデント（たとえば、産業用制御システム、モノのインターネット）（170万ルーブル）

大企業の状況は多少異なります。

• 標的型攻撃（7500万ルーブル）
• サードパーティのクラウドサービスに影響を与えるインシデント（1900万ルーブル）
• ウイルスとマルウェア（900万ルーブル）
• モバイルデバイスを介した不適切なデータ交換（730万ルーブル）
• 企業がデータを交換するサプライヤーに影響を与えるインシデント（440万ルーブル）

このデータから、ビジネスパートナーとのセキュリティ問題によって引き起こされる攻撃は、あらゆる規模の企業に最も高額な費用をかけることが非常に多いことがわかります。 これは、サードパーティプロバイダーからクラウドやその他のインフラストラクチャをレンタルしている組織と、パートナーとデータを交換している企業の両方に当てはまります。

他の会社にデータやインフラストラクチャへのアクセスを許可すると、その弱点が問題になります。 ただし、ほとんどの組織がこれを十分に重視していないことはすでに確認しています。 したがって、この種の事件が最も費用がかかることは驚くべきことではありません。ボクサーなら誰でも、通常は予想外の打撃であると言うでしょう。

また、すぐに気付くのは、中規模ビジネスの上位5つの脅威に予期せず入った別のベクトルです。コンピューター以外の接続されたデバイスに関連する攻撃です。 今日、モノのインターネット（IoT）トラフィックは、他のテクノロジーによって生成されるトラフィックよりもはるかに速く成長しています。 これは、新しい開発によってビジネスインフラストラクチャの潜在的な脆弱性の数がどのように増加しているかを示すもう1つの例です。 特に、IoTデバイスでの工場出荷時のデフォルトパスワードと脆弱なセキュリティ機能の普及により、IoTデバイスは、多数の脆弱なデバイスを1つのネットワークに統合して大規模なDDoS攻撃を仕掛けることができるマルウェアであるMiraiなどのボットネットにとって理想的なキャッチとなっています。選択したターゲットに対して。

大企業セグメントでの標的型攻撃による損失額に注意が向けられています。この脅威に対抗することは非常に困難です。 過去2年間で、銀行に対する多くの注目を集める標的型攻撃が知られるようになり、これらの期待外れの統計も補強されています。

リスク削減への投資

私たちの調査が示しているように、情報セキュリティへの脅威はますます深刻になっています。 このような状況では、情報セキュリティ予算自体の状況を心配せざるを得ません。 変化を分析することで、組織がセキュリティをコストの原因と見なしているのか、バランスがゆっくりと変化しているのかを判断でき、真の競争優位性をもたらす投資の分野が見え始めています。

予算の大きさは、ITセキュリティに対する企業の姿勢、管理の観点からのセキュリティシステムの役割の重要性、および組織のリスクを取る意欲を示しています。

情報セキュリティ予算：シェアは増加し、「パイ」は減少しています

今年は、節約とアウトソーシングがIT予算の縮小につながっていることがわかります。 それにもかかわらず（そしておそらくこれが原因で）、これらのIT予算における情報セキュリティの割合は増加しています。 ロシアでは、あらゆる規模の企業で前向きな傾向が見られます。 リソースが不足している状況で運営されている零細企業の間でさえ、情報セキュリティに充てられるIT予算の割合は、ほんのわずかな割合ではありますが、増加しています。

これは、企業が情報セキュリティの重要性をようやく理解し始めていることを意味します。 おそらくこれは、情報セキュリティが、コストの源泉としてではなく、潜在的に有用な投資として多くの人に認識され始めたことを示しています。

世界では、IT予算が大幅に削減されていることがわかります。 サイバーセキュリティがパイのより大きな部分を獲得している間、パイ自体は縮小しています。 特にこの分野での賭け金がどれほど高く、各攻撃がどれほど高価であるかを考えると、この傾向は気になります。

ロシアでは、2017年の大企業の平均情報セキュリティ予算は4億ルーブルに達し、SMBの場合は460万ルーブルに達しました。

サンプル：予算を評価できるロシアの694人の回答者

当然のことながら、世界中の政府サービスプロバイダー（防衛部門を含む）と金融機関は、今年最も高い情報セキュリティ支出を報告しています。 これらのセクターの両方の企業は、セキュリティに平均500万米ドル以上を費やしました。 ITおよび電気通信セクター、ならびにエネルギー業界の企業も、予算が5ドルではなく、300万ドルに近いことが判明したものの、情報セキュリティに平均以上を費やしたことは注目に値します。

ただし、総コストを従業員数で割ると、政府機関はリストの最後に移動します。 平均して、ITと電気通信はサイバーセキュリティに一人当たり1258ドルを費やし、エネルギー部門は1344ドルを費やし、金融会社は1436ドルを費やしています。 それに比べて、政府機関はサイバーセキュリティに1人あたり959米ドルしか割り当てていません。

ITおよび電気通信セグメントとエネルギー供給業界の両方で、従業員1人あたりのコストが高いことは、知的財産を保護する必要性に関連している可能性が高く、これは経済のこれらのセクターで特に緊急です。 公益事業の場合、保護のコストが高いのは、これらの企業が悪意のあるグループによる標的型攻撃に対してますます脆弱になっているという事実からも生じている可能性があります。

この業界では、電力供給にとってビジネスの継続性が重要であるため、情報セキュリティへの投資は存続に不可欠です。 この業界でのサイバー攻撃の成功の結果は特に困難であるため、情報セキュリティへの投資は非常に具体的なメリットをもたらします。

ロシアでは、ITと電気通信は主に情報セキュリティと産業企業に投資されており、前者の平均コストは3億ルーブルに達し、後者の平均コストは8000万ルーブルに達します。 産業および製造会社は通常、生産プロセスの継続性を確保するために自動制御システム（ICS）に依存しています。 同時に、ICSへの攻撃の数は増加しています。過去12か月で、その数は5％増加しています。

情報セキュリティに投資する理由

セクター間の情報セキュリティへの投資額の広がりは非常に大きい。 したがって、企業が情報セキュリティに限られたリソースを費やすように誘導する理由を見つけることは特に重要です。 動機がわからなければ、ITインフラストラクチャのセキュリティに費やされたお金が無駄になっていると考えているのか、それとも有益な投資であると考えているのかを理解することはできません。

2017年には、予想される投資収益率に関係なく、世界中のかなり多くの企業がサイバーセキュリティに投資することを認めました。2016年の56％から63％に増加しました。 これは、ますます多くの企業が情報セキュリティの重要性を理解していることを示しています。

ロシアの情報セキュリティ予算が増加した主な理由

すべての企業が迅速な投資収益率を期待しているわけではありませんが、多くのグローバル企業は、情報セキュリティ予算の増加の理由として、企業の経営陣（32％）を含む主要な利害関係者からの圧力を挙げています。 これは、企業が情報セキュリティコストの増大に戦略的優位性を見出し始めていることを示しています。セキュリティ対策により、攻撃が発生した場合に身を守るだけでなく、データが手元にあることを顧客に示すことができます。会社の経営陣が関心を持っている事業継続性を確保するために....

ほとんどの国内企業が情報セキュリティのコストを増加させる最も一般的な理由は、ますます複雑化するITインフラストラクチャを保護する必要性（46％）であり、情報セキュリティ専門家の資格を向上させる必要性は30％でした。 これらの数字は、自社の従業員のスキルを開発することにより、会社が利用できる専門知識のレベルを向上させる必要があることを示しています。 実際、中小企業と大企業の両方が、サイバー脅威との戦いにおいて社内の従業員をサポートすることにますます投資しています。

同時に、ロシア企業の新規事業運営や企業拡大による情報セキュリティコストの増加の必要性は、昨年の36％から2017年には30％に減少しました。 おそらくそれは、私たちの会社が最近直面しなければならなかったマクロ経済的要因を反映しています。

結論

WannaCry、exPetr、BadRabbitなどの大規模な攻撃は、2017年に甚大な被害をもたらしました。 特にロシアの銀行に対する標的型攻撃による被害も甚大です。 これらすべては、サイバー脅威の状況が急速かつ必然的に変化していることを示しています。 企業は防御を適応させるか、廃業する必要があります。

ビジネスの意思決定においてますます重要な要素は、サイバー攻撃をかわす準備のコストと被害者が負担するコストの違いです。

レポートは、一般の人々が関心を持たない比較的小さなデータ侵害でさえ、企業にとって非常にコストがかかり、その運営に深刻な影響を与える可能性があることを示しています。 セキュリティインシデントが発生した場合にコストが上昇するもう1つの理由は、世界中の法律の変更です。 企業は、コンプライアンス違反とハッキングの可能性の両方に適応するか、リスクを冒さなければなりません。

このような状況では、すべての結果とコストを考慮することが特に重要になります。 おそらくこれが、さまざまな国のますます多くの企業がIT予算における情報セキュリティのシェアを増やしている理由です。 2017年には、予想される投資収益率に関係なく、世界中のかなり多くの企業がサイバーセキュリティに投資することを認めました。2016年の56％から63％に増加しました。

おそらく、サイバーセキュリティインシデントによる被害が増大しているため、ITコストをセキュリティへの投資と見なし、それらに多額の資金を費やす準備ができている組織は、起こりうるトラブルに備えることができます。 あなたの会社の状況はどうですか？

情報セキュリティのコストを正当化するための2つの主要なアプローチがあります。

化学的なアプローチ..。 これを行うには、情報リソースのコストを評価し、情報保護の分野での違反による潜在的な損害の評価を決定する際に、会社（またはその所有者）の管理者を関与させる必要があります。

1.情報のコストが低ければ、会社の情報資産に対する重大な脅威はなく、潜在的な損害は最小限であり、情報セキュリティを確保するために必要な資金は少なくて済みます。

2.情報に特定の価値があり、脅威と潜在的な損害が重大で特定されている場合、情報セキュリティサブシステムのコストの予算を立てるという問題が発生します。 この場合、企業の情報セキュリティ体制を構築する必要があります。

実践的なアプローチ他の分野の同様のシステムに基づいて、企業の情報セキュリティシステムの実際のコストのオプションを決定することにあります。 情報セキュリティの分野の専門家-実務家は、情報セキュリティシステムのコストは、情報セキュリティ体制の特定の要件に応じて、企業の情報システムのコストの約10〜20％であると考えています。

情報セキュリティシステムの有効性を評価するための特定の方法を開発する際に、ISO 17799などの多くの標準で形式化された、情報セキュリティ体制の「ベストプラクティス」（実際の経験に基づく）を保証するための一般的に受け入れられている要件が実際に実装されます。

情報セキュリティのコストを評価するための最新の方法を使用すると、ハードウェアとソフトウェアの直接的および間接的なコスト、組織の対策、従業員のトレーニングと高度なトレーニング、再編成、ビジネスの再構築など、組織の情報資産の支出部分全体を計算できます。 、など。

これらは、既存の企業セキュリティシステムの費用対効果を証明し、情報セキュリティ管理者が情報セキュリティ予算を正当化できるようにするとともに、対応するサービスの従業員の有効性を証明するために必要です。 外国企業が使用するコスト見積もり方法では、次のことが可能です。

分散コンピューティング環境のセキュリティレベルと企業の情報セキュリティシステムの総所有コストに関する適切な情報を入手します。

組織の情報セキュリティ部門を相互に比較し、業界の他の組織の同様の部門と比較します。

組織の情報セキュリティへの投資を最適化します。

情報セキュリティシステムに関連して最もよく知られているコスト見積もり手法の1つは、 総所有コスト（TCO）ガートナーグループのCER指標は、年間の企業情報セキュリティシステムの編成（再編成）、運用、および保守にかかる直接的および間接的なコストの合計です。 これは、企業の情報セキュリティシステムのライフサイクルのすべての主要な段階で実際に使用され、特定の組織的および技術的手段と情報セキュリティツールを導入および使用することの経済的実現可能性を客観的かつ独立して実証することを可能にします。 決定の客観性のために、企業の技術的、人的および財政的発展の指標など、企業の外部および内部環境の状態をさらに考慮する必要もあります。

特定のTCO指標を業界内の同様のTCO指標（同様の企業）と比較することで、組織の情報セキュリティコストを客観的かつ独立して実証することができます。 実際、これらのコストの直接的な経済効果を評価することは、非常に困難であるか、ほとんど不可能であることがよくあります。

情報セキュリティシステムの総所有コストは、通常、次のコストで構成されます。

設計作業、

次の主要なグループを含むソフトウェアおよびハードウェア保護ツールの調達と設定：ファイアウォール、暗号化ツール、ウイルス対策およびAAA（認証、承認、および管理ツール）、

物理的セキュリティを確保するためのコスト、

人事研修、

システム管理とサポート（セキュリティ管理）、

情報セキュリティ監査-情報セキュリティシステムの定期的な近代化。

ただし、直接費には、（固定資産または「資産」に関連する）費用の資本構成要素と労働力の両方が含まれ、これらは運用および管理のカテゴリーで説明されます。 これには、組織の活動のサポートに関連するリモートユーザーなどのサービスのコストも含まれます。

同様に、間接費は、企業情報セキュリティシステムと情報システム全体のダウンタイムと「フリーズ」などの測定可能な指標、運用コスト、およびサポート（直接費とは関係ありません）。 間接費は通常、最初は情報セキュリティ予算に反映されないため、多くの場合、重要な役割を果たしますが、後でコスト分析で特定されます。

組織のTCO指標の計算は、次の領域で実行されます。

企業情報システムのコンポーネント（情報セキュリティシステムを含む）および組織の情報活動（サーバー、クライアントコンピューター、周辺機器、ネットワークデバイス）。

ハードウェアおよびソフトウェアの情報保護のための費用サーバー、クライアントコンピューター（デスクトップおよびモバイルコンピューター）、周辺機器、およびネットワークコンポーネントの消耗品と減価償却費。

情報セキュリティ組織のコスト：情報セキュリティシステムの保守、周辺機器、サーバー、ネットワークデバイスを保護する標準的な手段、情報セキュリティプロセスの計画と管理、セキュリティの概念とポリシーの開発など。

情報管理コスト幹：直接の人件費、人件費、および組織全体またはユーザーに技術サポートとインフラストラクチャ保守操作を提供するサービスによって発生するアウトソーシング。

管理費：人件費、活動の維持、および情報システムの管理、資金調達、取得、トレーニングなどの運用をサポートするための内部/外部サプライヤー（ベンダー）のコスト。

エンドユーザーの取引コスト：エンドユーザー向けのセルフサポート、エンドユーザー向けの正式なトレーニング、不定期（非公式）トレーニング、独立したアプリケーション開発、ローカルファイルシステムサポートのコスト。

ダウンタイムコスト：クライアントコンピューター、共有サーバー、プリンター、アプリケーションプログラム、通信リソース、通信ソフトウェアなどのネットワークリソースの計画的および計画外の停止によるエンドユーザーの生産性の年間損失。