|
Безопасность как сервис (SECaaS)
Главная / Статьи / Опросы / Безопасность как сервис (SECaaS)
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Безопасность как сервис (SECaaS)
Переход на потребление различных продуктов и услуг по подписочной модели – общемировой тренд. Всё больше компаний отказываются от капитальных затрат в пользу операционных расходов . Особенно это актуально в сфере кибербезопасности – здесь набирает силу модель Security-as-a-Service (SECaaS).
Вопросы экспертам
• Почему бизнес переходит на подписку и как на этом заработать?
• Новый тренд: Отказ от CAPEX (покупка железа) и переход на OPEX (аренда + услуги).
• Почему это выгодно клиенту? На чем в данной ситуации может заработать интегратор? Как понять: подписка или покупка выгоднее клиенту?
 Илья Глейкин, ИТ-эксперт, ведущий бизнес-консультант по развитию торговой марки ARBYTE
«Безопасность как сервис становится взаимовыгодной моделью: заказчики получают современную защиту без высоких барьеров на старте, а провайдеры — устойчивый доход и прочную связь с клиентом»
Еще недавно кибербезопасность требовала крупных разовых вложений в оборудование и лицензии (CAPEX). Сегодня многие компании уходят от таких затрат к регулярной оплате сервисов (OPEX). На этом принципе строится модель Security as a Service (SECaaS) — когда функции ИБ предоставляются из облака по подписке.
Переход на безопасность по подписке дает бизнесу гибкость и масштабируемость: сервисы можно быстро подключать или изменять под актуальные потребности. Обновление и противодействие новым угрозам берет на себя провайдер, поэтому компания получает современную защиту без разворачивания сложных систем. Стартовые расходы при SECaaS минимальны — порог входа снижается за счет отсутствия крупных инвестиций на старте.
Подписная модель выгодна и поставщикам. Вместо разовых продаж они получают стабильный повторяющийся доход от регулярных платежей клиентов. Долгосрочный формат сотрудничества упрощает допродажу новых функций и сервисов по мере роста потребностей заказчика. Иными словами, безопасность превращается в постоянно обновляемый сервис, приносящий провайдеру регулярную прибыль.
Выбор между подпиской на сервисы или собственной системой безопасности зависит от нескольких факторов:
- Бюджет. Если компания не готова к большим разовым расходам, подписка обходится без крупных стартовых инвестиций. Собственная инфраструктура оправдана, когда есть ресурсы для вложений и задача — снизить общие затраты в перспективе.
- Масштабируемость. При быстрорастущем бизнесе и переменных нагрузках SECaaS позволяет оперативно масштабировать защиту, платя только за используемые ресурсы. Если же ландшафт ИБ стабилен и предсказуем, собственные средства защиты могут оказаться экономичнее.
- Экспертиза. Если не хватает своих специалистов, логично доверить защиту внешнему сервису — провайдер возьмет на себя мониторинг и реагирование на инциденты. Если же в компании сильная команда и особые требования, внутренние решения обеспечат полный контроль.
- Регуляторика. В отраслях с жесткими нормативами часто требуется хранить критичные данные внутри компании — предпочтительна собственная инфраструктура. В остальных случаях облачные сервисы отвечают требованиям безопасности и избавляют от лишних хлопот.
Российский рынок тоже движется в сторону SECaaS. Например, Angara Security и «Ростелеком-Солар» уже запустили подписные сервисы кибербезопасности. Похожие услуги предлагают BI.ZONE (группа Сбер) и оператор «МегаФон». Вместо покупки «коробочных» продуктов бизнес теперь может выбирать облачные сервисы и платить по мере использования.
Безопасность как сервис становится взаимовыгодной моделью: заказчики получают современную защиту без высоких барьеров на старте, а провайдеры — устойчивый доход и прочную связь с клиентом. Неудивительно, что все больше компаний считает сервисный подход к ИБ приоритетным — «подписная» кибербезопасность набирает силу и в России, и во всем мире.
 Николай Алёшин, инженер-программист
«Интеграторы тоже не в накладе. Если раньше они единоразово продавали решение и получали деньги, то теперь получают свой процент постоянно, так как клиент платит каждый месяц»
Действительно, все больше компаний переходит на модель «безопасность по подписке» (SECaaS). Даже крупные игроки с крутыми специалистами и отлаженными процессами, которые раньше покупали железо и софт за миллионы, отказались от всего этого и теперь платят за кибербезопасность ежемесячно, как за Netflix. Наблюдал это лично, работая в компании, где эти технологии безопасности были высоко развиты и автоматизированы. Но и они в итоге перешли на облачные решения.
Почему бизнес выбирает подписку? Основная причина — экономия. Содержать собственную команду безопасников, покупать и ремонтировать оборудование, обновлять лицензии — дорого и хлопотно. А тут заплатил фиксированную сумму в месяц и получил все то же самое из облака — без головной боли и на порядок дешевле.
Для бухгалтерии это праздник: вместо огромных трат на старте — предсказуемые ежемесячные платежи, то есть расходы переходят из капитальных затрат в операционные.
Еще один плюс подписки — гибкость. С ростом компаний увеличивается число лицензий. В кризис — пакет можно уменьшить. С купленным железом так не получится — оно либо простаивает, либо его не хватает. И, наконец, не нужно думать об обновлениях, патчах, новых версиях — все это входит в обязательства провайдера, включая сервис круглосуточной поддержки.
Как на этом зарабатывают интеграторы? Интеграторы тоже не в накладе. Если раньше они единоразово продавали решение и получали деньги, то теперь получают свой процент постоянно, так как клиент платит каждый месяц.
Первый источник дохода — комиссия с подписок. Интегратор выступает посредником между крупным вендором (типа Microsoft или Cisco) и клиентом. Процент небольшой, но стабильный.
Второй — дополнительные услуги: аудит безопасности, консалтинг, помощь с внедрением, обучение сотрудников клиента. Это разовые, но хорошо оплачиваемые проекты.
Третий источник — собственные управляемые сервисы. Самые продвинутые интеграторы сами становятся провайдерами. Создают свой SOC (центр мониторинга безопасности) и продают его как услугу. Маржа здесь выше, а клиент привязывается надолго.
Четвертый — комплексные проекты, когда нужно подружить облачную безопасность с существующими системами клиента. Это сложная работа, которая хорошо оплачивается.
Что выгоднее: купить или арендовать? Универсального ответа нет — к каждому случаю нужно подходить отдельно. Подписка выгодна, если нет свободных денег на старте, компания быстро растет или, наоборот, нестабильна. Весомые аргументы «за»: отсутствие своих сильных безопасников, нужда в постоянном ИТ-апгрейде, невозможность замораживать оборотные средства.
Покупка выгоднее, если у компании есть реальная перспектива использовать решение более 5 лет, имеется своя сильная команда безопасников и свободные деньги для инвестиций.
Главное — посчитать полную стоимость владения за несколько лет, включив в расчет не только цену железа и софта, но и зарплату специалистов, обучение, поддержку, обновления. Часто оказывается, что подписка выходит дешевле, особенно для среднего бизнеса.
 Максим Захаренко, СЕО «Облакотека»
«Сегодня для многих компаний проще и безопаснее платить за готовый сервис, чем тащить все на себе»
Да, действительно в последние годы мы наблюдаем устойчивый сдвиг: компании отказываются от покупки «железа» и классических решений в пользу подписки на сервисы безопасности. По сути, SECaaS это тот же самый отказ от капитальных затрат (CAPEX) в пользу операционных (OPEX).
И здесь логика очень простая: зачем вкладывать миллионы в оборудование и программное обеспечение, если можно получать те же самые функции «по кнопке», без рисков устаревания и с гарантией актуальности технологий? Для бизнеса такой подход решает сразу несколько задач.
Во-первых, снижается финансовая нагрузка: не нужно сразу замораживать крупный бюджет, а расходы распределяются равномерно во времени.
Во-вторых, безопасность становится более предсказуемой: клиент получает SLA, регулярные обновления, круглосуточный мониторинг и поддержку без отдельного штата специалистов.
В-третьих, скорость: сервис внедряется за дни, а не за месяцы, и сразу закрывает ключевые риски. Особенно это важно для среднего бизнеса, где зачастую нет возможности содержать собственный SOC или команду специалистов по киберзащите.
С другой стороны, интеграторы и провайдеры в этой модели тоже выигрывают. Вместо единоразовой сделки они получают регулярный доход и долгосрочные отношения с клиентом.
Сервисная модель стимулирует развивать экосистему: добавлять новые уровни защиты, встроенные аналитические модули, удобные дашборды. И самое главное, это формирует доверие, потому что клиент видит, что провайдер реально несет ответственность за его безопасность в режиме 24/7.
Вопрос, что выгоднее, подписка или покупка, решается просто — через бизнес-кейсы. Если компания крупная, с сильной собственной ИТ-службой и горизонтами планирования в 5-7 лет, то инвестиция в собственный SOC и оборудование вполне оправдана.
Но если речь идет о гибком бизнесе, где нужнее скорость изменений и снижение рисков, подписка выигрывает почти всегда. Тем более что киберугрозы развиваются настолько быстро, что «железо», купленное вчера, завтра может оказаться недостаточным. По сути, ситуация с SECaaS напоминает трансформацию, которую мы уже видели с офисным софтом или облаками для разработки.
Сегодня для многих компаний проще и безопаснее платить за готовый сервис, чем тащить все на себе. А для интеграторов это шанс перестроить бизнес-модель и зарабатывать не на единичных продажах, а на долгосрочном партнерстве и масштабировании клиентов.
 Андрей Малов, директор по продукту «ТТК.Облако»
«Для крупной компании чаще всего подходит модель покупки „железа“. Потому что она может себе позволить обеспечить правильную эксплуатацию и необходимую загрузку, чтобы оборудование действительно окупилось»
Переход на потребление различных продуктов и услуг по подписочной модели — это общемировой тренд. Всё больше компаний отказываются от капитальных затрат (CAPEX) в пользу операционных расходов (OPEX). Особенно это актуально в сфере кибербезопасности — здесь набирает силу модель Security-as-a-Service (SECaaS).
Какие преимущества даёт подписка? Компании уходят от больших капиталовложений на закупку средств защиты. Речь идёт о таких решениях, как продвинутые межсетевые экраны, которые нужны для защиты ИТ-инфраструктуры, средства защиты AntiDdos, cистемы обнаружения вторжений, сложные DLP-системы, SIEM-системы.
Компании отказываются от этой модели и переходят на ежемесячное потребление, тем самым регулируя объём услуг, которые им нужны. Это позволяет оптимально распределять ресурсы и потреблять услуги в том объеме, в котором они нужны на данном этапе развития инфраструктуры. При масштабировании бизнеса, при изменении технологий возможно оперативно и без значительных вложений обновить подписку.
Как на этом может заработать интегратор? Как и в любой ситуации — на своих услугах по внедрению. Кроме того, он может заработать на том, что становится организацией, которая упаковывает конкретный продукт в услугу — security as a service.
Например, мы в ТТК.Облако работаем по такой модели: закупаем на баланс мощные средства защиты, а затем по подписочной модели и ежемесячным платежам предлагаем эти услуги своим клиентам.
Как понять, что выгоднее — подписка или покупка? Здесь ответ на все вопросы дает финансовая модель: нужно оценить стоимость покупки и период окупаемости и сравнить эту сумму с арендной платой за тот же период. В случае капитальных затрат нужно учесть все сопутствующие расходы.
Некоторые ошибочно считают, что покупка средства защиты — единственная статья расходов. При этом забывают о стоимости услуг специалиста, который будет администрировать устройство, аренду помещения для его установки, сумму регулярных платежей за обновления баз сигнатур, баз угроз и так далее.
Ежемесячная оплата подписки, как правило, уже включает в себя все эти компоненты, а зачастую в нее входит и сервис. То есть вы получаете готовую услугу, а не просто компоненты для её организации.
Проведя эти подсчеты, нужно наложить на эти модели свои риски:
- Будет ли использоваться оборудование в течение всего срока окупаемости?
- Точно ли понадобится вся мощность оборудования? Ведь возможен постепенный рост потребностей, а не одномоментный.
Поэтому правильно сформированный бизнес-кейс с финансовой моделью и учётом рисков должен дать ответ на этот вопрос. В общем случае можно сказать, что для крупной компании чаще всего подходит модель покупки «железа». Потому что она может себе позволить обеспечить правильную эксплуатацию и необходимую загрузку, чтобы оборудование действительно окупилось.
Если же речь идёт о средних или малых компаниях, они чаще склоняются к модели подписки, потому что они сконцентрированы на основном бизнесе. Им проще потреблять сопутствующие сервисы — такие как облака, безопасность и другие — по подписке, при этом избегая существенных капитальных вложений.
 Александр Луганский, менеджер по развитию UserGate
«ФОТ и дефицит кадров — это одна из основных причин, почему развернуть и поддерживать какой бы-то ни было процесс у себя в компании становится сложнее»
Вообще, сфера информационной безопасности привержена традициям, одной из которых является размещение всей ИБ-инфраструктуры компании in-house под внутренним управлением и осязаемым контролем.
Почему эта модель не всегда работает? Система ИБ постоянно развивается и усложняется, представляя собой комплекс процессов, решений и, главное, компетентных специалистов, необходимых для того, чтобы поддерживать ее функциональность. Да, «железо» стоит дорого, но его не надо собеседовать, удерживать и дополнительно мотивировать.
Конечно же, ФОТ и дефицит кадров — это одна из основных причин, почему развернуть и поддерживать какой бы-то ни было процесс у себя в компании становится сложнее.
И вторая причина в том, что далеко не каждый бизнес способен на 100% загрузить работой такое подразделение. Соответственно, оплачивая работу всей команды, вы, фактически, пользуетесь только частью их рабочих ресурсов.
И тут мы приходим к выгодам для бизнеса при переходе на OPEX.
- Возможность запустить определённую функциональность, связанную с защитой информации, и при этом сэкономить на ФОТе, рекрутинге и прочих моментах, связанных с подбором кадров.
- Возможность заказывать и оплачивать только тот объем функциональности, который требуется.
- Нет необходимости сразу оплачивать внушительную сумму за покупку лицензий и железа, а также платить тем сотрудникам или команде, которые еще недостаточно встроены в рабочие процессы.
- Возможность получить сервис «здесь и сейчас» с минимальным временем подключения и максимально быстрым стартом работы.
Резюмируя, можно сделать вывод: безусловно, есть Enterprise-компании, которым по силам построить собственную систему ИБ. У них должен быть узнаваемый бренд, которому доверяют на рынке труда, интересные задачи, и, главное — возможность полностью загрузить команду необходимой функциональностью. Только в этом случае, размещение in-house может иметь выгоду.
 Василий Белов, исполнительный директор ITGLOBAL.COM, корпорация ITG
«Переход от капитальных расходов (CAPEX) к операционным (OPEX) стал глобальным трендом в ИТ-индустрии»
Безопасность как сервис (SECaaS) завоевывает рынок благодаря экономической эффективности и гибкости. Компании больше не хотят замораживать капитал в дорогостоящем оборудовании и программном обеспечении, предпочитая платить за результат по подписке.
Модель SECaaS включает антивирусную защиту, фильтрацию трафика, защиту от DDoS-атак и круглосуточный мониторинг, что позволяет бизнесу получить корпоративный уровень безопасности без содержания собственного ИБ-отдела. Особенно это актуально для малого и среднего бизнеса, где специалистов по информационной безопасности часто не хватает.
По выбору заказчика доступны дополнительные опции, такие как консультации по выбору решений, кастомизация сервисов под специфику бизнеса, обучение персонала и техническая поддержка.
Провайдеры могут предлагать различные пакеты с разными уровнями SLA, дополнительные модули безопасности и аудит существующей инфраструктуры.
Переход от капитальных расходов (CAPEX) к операционным (OPEX) стал глобальным трендом в ИТ-индустрии. Вместо крупных единовременных инвестиций в серверы и лицензии компании предпочитают арендовать ресурсы и услуги, оплачивая их по факту использования. Этот подход упрощает финансовое планирование, ускоряет запуск проектов и позволяет быстро масштабироваться в ответ на изменения рынка.
По прогнозам аналитиков, к 2025 году доля OPEX в ИТ-бюджетах вырастет до 60%, что особенно заметно в сфере облачных сервисов.
Клиенты выигрывают от снижения начальных затрат, постоянных обновлений безопасности и возможности сосредоточиться на основном бизнесе, передав непрофильные задачи специалистам.
Интеграторы в новых условиях зарабатывают на консалтинге, настройке систем, интеграции с существующей инфраструктурой и долгосрочной поддержке, становясь trusted advisor для своих клиентов.
Выбор между подпиской и покупкой зависит от размера компании и стабильности потребностей: подписка выгоднее для растущего бизнеса с ограниченным бюджетом, а покупка оправдана для крупных организаций с предсказуемой нагрузкой и собственным ИТ-отделом, где амортизация окупается за 3-5 лет.
 Алексей Ахмеев, руководитель Управления информационной безопасности, АО «Свой Банк»
«Если говорить о сформированном бизнесе с отлаженными процессами, применять концепцию SECaaS выйдет дороже, чем использовать классическую модель организации и управления безопасностью»
Концепция SECaaS далеко не нова. Она хорошо подходит для динамично развивающегося бизнеса или во время «смены курса». Чтобы обеспечить должный уровень информационной безопасности во время становления внутренних процессов, когда нет четкого понимания того, какие сервисы/продукты/услуги в компании исчезнут или продолжат существовать и что появится нового. В такой период нет смысла покупать «железные» решения, проще арендовать необходимые мощности и гибко управлять ими на коротких дистанциях длиной, например, в полгода.
Однако если говорить о сформированном бизнесе с отлаженными процессами, применять концепцию SECaaS выйдет дороже, чем использовать классическую модель организации и управления безопасностью.
И дело тут как раз в том, что сформированный бизнес более предсказуем, есть возможность строить долгосрочные стабильные стратегии развития с ориентиром на повышение капитализации, вкладываться в развитие ИБ для повышения стабильности и своего конкурентного преимущества.
Поэтому каждый из этих двух подходов к организации безопасности необходимо применять в свое время и на своем этапе развития бизнеса.
 Максим Оганов, «Oganov.Digital»
«Обычно облачные модели выбирает малый и средний бизнес, но иногда — даже крупные предприятия и государственные структуры»
Бизнес уже давно оценил облачные сервисы — начиная от хранилищ данных и заканчивая удаленными рабочими местами (VDI). Например, мы в нашем агентстве полностью перешли на облака. Это удобно, не требует больших вложений на покупку дорогостоящей техники и найм персонала, который будет заниматься обслуживанием оборудования.
Внедрение SECaaS — продолжение тренда на OPEX и работу с облачными сервисами. Вам не нужно закупать серверы, системы DLP или SIEM. Все работает в облаке. Решение легко масштабировать, регулярные обновления включены в подписку. Выгода интегратора — в доходе от подписок, фиксированной плате от настроек и установке.
Обычно облачные модели выбирает малый и средний бизнес, но иногда — даже крупные предприятия и государственные структуры. Свою технику сейчас приобретают в основном системообразующие предприятия, для которых критически важно хранение всех данных на собственных серверах. Но даже в этом случае больший уровень безопасности может обеспечить гибридная модель, когда часть решений находится в облаке, а часть — локально.
Смысл приобретать свое оборудование есть также в том случае, если компания уверенно растет, успешно преодолевает кризисы и вы уверены, что будете пользоваться техникой более 5–7 лет. Тогда вложения окупятся, но будьте готовы к сопутствующим расходам, например, на найм специалиста, который займется обслуживанием техники.
 Сергей Конев, руководитель отдела информационной безопасности компании Cloud4Y
«Замена крупных разовых инвестиций в „железо“ и лицензии на регулярные платежи по подписке (OPEX) снижает порог входа»
Бизнес массово переходит с капитальных затрат (CAPEX) на операционные (OPEX). Подписку выбирают всё чаще. Это ответ на растущие угрозы, нехватку специалистов и потребность в гибкости.
Ключевые преимущества модели: Предсказуемые расходы. Замена крупных разовых инвестиций в «железо» и лицензии на регулярные платежи по подписке (OPEX) снижает порог входа, упрощает бюджетирование и высвобождает капитал для других целей.
Экспертность и технологии. Провайдер предлагает связку технологий, аналитики и опыта, доступную даже среднему бизнесу. Клиент получает команду специалистов и всегда актуальные решения без затрат на их поддержку.
Гибкость. Решение легко масштабируется под меняющиеся задачи: рост штата, увеличение нагрузки, удалённая работа. Это идеально для динамичного бизнеса, где покупка оборудования нецелесообразна.
Фокус на бизнесе. Привлечённый эксперт по безопасности позволяет IT-отделу сосредоточиться на развитии инфраструктуры и основных бизнес-процессах.
В типичный SECaaS-пакет входят популярные услуги. Например, аренда антивируса Dr.Web в облаке, управляемый файрволл или резервное копирование как сервис.
Как интеграторам заработать на SECaaS? Переход клиентов на подписку открывает интеграторам новые возможности для роста. Вместо разовых сделок — регулярные платежи. А значит, предсказуемый денежный поток. Отношения тоже укрепляются — они становятся долгосрочными. И уже больше возможностей предложить дополнительные услуги (резервное копирование, защиту почты и т. д.).
Поддержка вендоров тоже крайне важна. Производители ПО поощряют партнёров бонусами, маркетинговой поддержкой и обучением за продвижение подписных моделей.
Итак, модель подписки позволяет интеграторам трансформировать бизнес и получить устойчивое конкурентное преимущество.
Покупка или подписка? Всё упирается в то, как устроен бизнес. Если нет своих специалистов по кибербезопасности, подписка — отличный вариант. Особенно для удалённой работы и постоянно растущего бизнеса. А вот если у бизнеса своя сильная команда специалистов, если инфраструктура давно сложилась — можно рассмотреть покупку.
Это даёт полный контроль и требует больше ресурсов. Но тренд очевиден: мир переходит на подписку, и безопасность закономерно становится сервисом. Это экономически обоснованный шаг, который даёт бизнесу доступ к технологиям уровня крупных корпораций — точно так же, как IaaS и SaaS когда-то демократизировали доступ к вычислительным ресурсам и ПО.
 Александр Павлычев, сооснователь, Kinescope
«Подписка выгоднее, если команда внутри редко взаимодействует с видео и хуже понимает специфику его защиты, если нужны передовые технологии, которые быстро устаревают при локальной установке»
Для сферы защиты видеоконтента переход на модель операционных расходов особенно актуален: пиратство и кибератаки растут, а стоимость создания собственной инфраструктуры защиты видео с одной стороны, слишком высока и требует постоянного обновления, а с другой — слишком узкоспециализирована. Обычно защиту видео предоставляют компании, которые занимаются хостингом видео для бизнеса и авторов.
Что получает клиент? — Снижение затрат на старте. Вместо покупки серверов, лицензий и найма команды безопасности компания платит сумму постфактум за использованный сервис.
- Масштабируемость. Когда нагрузка растёт (например, во время релиза новых курсов или премьеры фильма), облачные сервисы подстраиваются без капитальных инвестиций.
- Экспертный уровень защиты. Сервисы вроде Kinescope внедряют мульти-DRM, цифровую форензику, ИИ-мониторинг и водяные знаки. Кроме того, если мы говорим про онлайн-трансляции, на подрядчике также остаётся ответственность за её безопасность от взлома. Самостоятельно собрать такой «технологический стек» сложно и дорого.
- Актуальность технологий. Подписка гарантирует обновления и защиту от новых угроз без дополнительных закупок и модернизаций. Например, у нас действует оплата по факту: сколько ГБ видео использовали для безопасного хранения видеоданных, столько и нужно будет оплатить постфактум.
Подписка выгоднее, если команда внутри редко взаимодействует с видео и хуже понимает специфику его защиты, если нужны передовые технологии, которые быстро устаревают при локальной установке или если нагрузка нерегулярна или непредсказуема (например, онлайн-курсы или сезонные трансляции).
Но возможны и комбинированные решения. К примеру, организация может размещать конфиденциальные материалы на внутренних серверах, а для отслеживания активности и анализа данных задействовать облачные инструменты. Такая схема создает оптимальное соотношение управляемости и гибкости, однако требует продуманной настройки взаимодействия компонентов.
Ключевые слова: SECaaS, клиенты, интеграторы, CAPEX, OPEX, модель подписки.
В начало⇑
Facebook
Мой мир
Вконтакте
Одноклассники
Google+
Комментарии отсутствуют
Комментарии могут отставлять только зарегистрированные пользователи
|
_cover_small.jpg)
_cover_small.jpg)
_cover_.jpg)
_cover_.jpg)
_small.jpg)
