Budżetowanie operacji związanych z bezpieczeństwem: CapEx vs OpEx
Wprowadzenie
Bez względu na wielkość firmy bezpieczeństwo jest koniecznością niepodlegającą negocjacjom i powinno być dostępne na wszystkich frontach. Przed upowszechnieniem się modelu dostarczania chmury „jako usługi” firmy musiały posiadać własną infrastrukturę bezpieczeństwa lub ją dzierżawić. A „The Puzzle of Monogamous Marriage” przeprowadzone przez IDC wykazało, że wydatki na sprzęt, oprogramowanie i usługi związane z bezpieczeństwem wyniosą w 174.7 r. 2024 mld USD, przy skumulowanej rocznej stopie wzrostu (CAGR) w latach 8.6-2019 na poziomie 2024%. Dylematem, przed którym stoi większość firm, jest wybór pomiędzy CapEx i OpEx lub równoważenie obu, jeśli jest to konieczne. W tym artykule przyjrzymy się, co należy wziąć pod uwagę przy wyborze między CapEx a OpEx.
Wydatki kapitałowe
CapEx (Capital Expenditure) odnosi się do kosztów początkowych, jakie firma ponosi w celu zakupu, budowy lub przebudowy aktywów, które mają wartość długoterminową i według przewidywań będą korzystne poza bieżącym rokiem podatkowym. CapEx to powszechny termin określający inwestycje w aktywa fizyczne, infrastrukturę i infrastrukturę potrzebną do operacji związanych z bezpieczeństwem. W kontekście budżetowania bezpieczeństwa, CapEx obejmuje:
- Sprzęt: Obejmuje to inwestycje w fizyczne urządzenia zabezpieczające, takie jak zapory ogniowe, systemy wykrywania i zapobiegania włamaniom (IDPS), zabezpieczenia Informacja i zarządzania zdarzeniami (SIEM) oraz inne urządzenia zabezpieczające.
- Oprogramowanie: Obejmuje to inwestycje w licencje na oprogramowanie zabezpieczające, takie jak oprogramowanie antywirusowe, oprogramowanie szyfrujące, narzędzia do wykrywania luk w zabezpieczeniach i inne aplikacje związane z bezpieczeństwem.
- Infrastruktura: obejmuje koszt budowy lub modernizacji centrów danych, infrastruktury sieciowej i innej infrastruktury fizycznej wymaganej do operacji związanych z bezpieczeństwem.
- Implementacja i wdrożenie: Obejmuje to koszty związane z wdrożeniem i wdrożeniem rozwiązań bezpieczeństwa, w tym instalacją, konfiguracją, testowaniem i integracją z istniejącymi systemami.
Wydatki operacyjne
OpEx (Operating Expense) to stałe koszty ponoszone przez organizację w celu utrzymania jej regularnej działalności, w tym operacji związanych z bezpieczeństwem. Koszty OpEx są ponoszone wielokrotnie w celu utrzymania efektywności operacji bezpieczeństwa. W kontekście budżetowania bezpieczeństwa, OpEx obejmuje:
- Subskrypcje i konserwacja: Obejmuje to opłaty subskrypcyjne za usługi bezpieczeństwa, takie jak źródła informacji o zagrożeniach, usługi monitorowania bezpieczeństwa, a także opłaty za konserwację w ramach umów dotyczących pomocy technicznej dotyczącej oprogramowania i sprzętu.
- Media i materiały eksploatacyjne: Obejmuje to koszty mediów, takich jak elektryczność, woda i łączność internetowa, wymaganych do prowadzenia operacji bezpieczeństwa, a także materiałów eksploatacyjnych, takich jak wkłady do drukarek i materiały biurowe.
- Usługi w chmurze: Obejmuje to koszty związane z korzystaniem z usług bezpieczeństwa w chmurze, takich jak zapory ogniowe w chmurze, broker zabezpieczeń dostępu do chmury (CASB) i inne rozwiązania zabezpieczające w chmurze.
- Reakcja na incydenty i środki zaradcze: Obejmuje to koszty związane z reagowaniem na incydenty i działaniami naprawczymi, w tym czynnościami kryminalistycznymi, dochodzeniami i działaniami naprawczymi w przypadku naruszenia bezpieczeństwa lub incydentu.
- Wynagrodzenia: Obejmuje to pensje, premie, świadczenia i koszty szkolenia personelu ochrony, w tym analityków bezpieczeństwa, inżynierów i innych członków zespołu ds. bezpieczeństwa.
- Programy szkoleniowe i uświadamiające: Obejmuje to koszty świadomość bezpieczeństwa programy szkoleniowe np symulacja phishingu dla pracowników, a także bieżące szkolenia i certyfikacje w zakresie bezpieczeństwa dla członków zespołu ds. bezpieczeństwa.
CapEx kontra OpEx
Chociaż te dwa terminy są związane z wydatkami w finansowaniu przedsiębiorstw, istnieją pewne kluczowe różnice między wydatkami CapEx i OpEx, które mogą mieć znaczący wpływ na stan bezpieczeństwa firmy.
Wydatki CapEx są zwykle związane z początkowymi inwestycjami w aktywa zabezpieczające, które zmniejszają ekspozycję na potencjalne zagrożenia. Oczekuje się, że aktywa te zapewnią organizacji długoterminową wartość, a koszty są często amortyzowane przez okres użytkowania aktywów. Natomiast wydatki OpEx są ponoszone na obsługę i utrzymanie bezpieczeństwa. Wiąże się to z powtarzającymi się kosztami, które są potrzebne do utrzymania codziennych operacji bezpieczeństwa firmy. Ze względu na to, że wydatek CapEx jest wydatkiem początkowym, może mieć większy nakład finansowy wpływ niż wydatki operacyjne, które mogą mieć relatywnie mniejszy początkowy wpływ finansowy, ale z czasem rosnąć.
Ogólnie rzecz biorąc, wydatki CapEx wydają się być bardziej odpowiednie w przypadku większych, jednorazowych inwestycji w infrastrukturę cyberbezpieczeństwa lub projekty, takie jak restrukturyzacja architektury bezpieczeństwa. W rezultacie może być mniej elastyczny i skalowalny w porównaniu z wydatkami OpEx. Regularnie powtarzające się wydatki operacyjne zapewniają większą elastyczność i skalowalność, ponieważ organizacje mogą dostosowywać swoje wydatki operacyjne do zmieniających się potrzeb i wymagań.
Co wziąć pod uwagę przy wyborze między wydatkami CapEx i OpEx
Jeśli chodzi o wydatki na cyberbezpieczeństwo, rozważania dotyczące wyboru między CapEx a OpEx są podobne do ogólnych wydatków, ale z pewnymi dodatkowymi czynnikami specyficznymi dla cyberbezpieczeństwa:
- Potrzeby i zagrożenia w zakresie bezpieczeństwa: Decydując między wydatkami CapEx i OpEx, firmy powinny ocenić swoje potrzeby i zagrożenia w zakresie cyberbezpieczeństwa. Inwestycje CapEx mogą być bardziej odpowiednie w przypadku długoterminowych potrzeb związanych z infrastrukturą bezpieczeństwa lub sprzętem, takim jak zapory ogniowe, systemy wykrywania włamań lub urządzenia zabezpieczające. Z drugiej strony wydatki OpEx mogą być bardziej odpowiednie w przypadku bieżących usług bezpieczeństwa, subskrypcji lub zarządzanych rozwiązań bezpieczeństwa.
- Technologia i innowacje: dziedzina cyberbezpieczeństwa stale się rozwija, regularnie pojawiają się nowe zagrożenia i technologie. Inwestycje CapEx zapewniają firmom większą kontrolę nad aktywami, a także elastyczność i sprawność w przyjmowaniu nowych technologii i wyprzedzaniu ewoluujących zagrożeń. Z drugiej strony wydatki OpEx mogą pozwolić organizacjom na wykorzystanie najnowocześniejszych usług lub rozwiązań w zakresie bezpieczeństwa bez znacznych inwestycji początkowych.
- Wiedza i zasoby: Cyberbezpieczeństwo wymaga specjalistycznej wiedzy i zasobów, aby skutecznie zarządzać ryzykiem i ograniczać je. Inwestycje CapEx mogą wymagać dodatkowych zasobów na konserwację, monitorowanie i wsparcie, podczas gdy wydatki na OpEx mogą obejmować zarządzane usługi bezpieczeństwa lub opcje outsourcingu, które zapewniają dostęp do specjalistycznej wiedzy bez dodatkowych wymagań dotyczących zasobów.
- Zgodność i wymagania prawne: Organizacje mogą mieć określone wymagania dotyczące zgodności i regulacyjne związane z wydatkami na cyberbezpieczeństwo. Inwestycje CapEx mogą wymagać dodatkowych kwestii związanych ze zgodnością, takich jak śledzenie zasobów, zarządzanie zapasami i raportowanie, w porównaniu z wydatkami operacyjnymi. Organizacje powinny upewnić się, że ich podejście do wydatków na cyberbezpieczeństwo jest zgodne z ich obowiązkami w zakresie zgodności.
- Ciągłość biznesowa i odporność: Cyberbezpieczeństwo ma kluczowe znaczenie dla utrzymania ciągłości biznesowej i odporności. Firmy powinny dokładnie ocenić wpływ decyzji dotyczących wydatków na cyberbezpieczeństwo na ich ogólne strategie ciągłości biznesowej i odporności. Inwestycje CapEx w systemy nadmiarowe lub zapasowe mogą być bardziej odpowiednie dla firm o wysokich wymaganiach dotyczących odporności, podczas gdy wydatki OpEx na usługi bezpieczeństwa w chmurze lub zarządzane mogą stanowić opłacalne opcje dla mniejszych firm.
- Względy dotyczące dostawców i umów: inwestycje CapEx w cyberbezpieczeństwo mogą wiązać się z długoterminowymi umowami z dostawcami technologii, podczas gdy wydatki OpEx mogą obejmować umowy krótkoterminowe lub subskrypcje z dostawcami zarządzanych usług bezpieczeństwa. Firmy powinny dokładnie ocenić dostawcę i względy umowne związane z wydatkami CapEx i OpEx, w tym warunki umów, umowy dotyczące poziomu usług i strategie wyjścia.
- Całkowity koszt posiadania (TCO): ocena całkowitego kosztu posiadania (TCO) w całym cyklu życia aktywów lub rozwiązań zabezpieczających jest ważna przy podejmowaniu decyzji między wydatkami CapEx a wydatkami OpEx. Całkowity koszt posiadania obejmuje nie tylko początkowy koszt zakupu, ale także bieżącą konserwację, wsparcie i inne koszty operacyjne.
Wnioski
Kwestia CapEx lub OpEx dla bezpieczeństwa nie jest jednoznaczną odpowiedzią we wszystkich dziedzinach. Istnieje mnóstwo czynników, w tym ograniczenia budżetowe, które wpływają na podejście firm do rozwiązań bezpieczeństwa. Według danych Cyberbezpieczeństwo rozwiązania bezpieczeństwa oparte na chmurze, które zazwyczaj zaliczane są do wydatków OpEx, zyskują na popularności ze względu na swoją skalowalność i elastyczność. Bez względu na to, czy są to wydatki CapEx, czy wydatki OpEx, bezpieczeństwo zawsze powinno być priorytetem.
HailBytes to firma zajmująca się cyberbezpieczeństwem w chmurze, oferująca łatwe do integracji rozwiązania zarządzane usługi bezpieczeństwa. Nasze instancje AWS zapewniają gotowe do produkcji wdrożenia na żądanie. Możesz je wypróbować za darmo, odwiedzając nas na rynku AWS.
