Upload
alexey-lukatsky
View
1.460
Download
9
Embed Size (px)
DESCRIPTION
Можно ли измерить ИБ финансами?
Citation preview
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Финансовое измерение ИБ 10 реальных кейсов Алексей Лукацкий Бизнес-консультант по безопасности 19 September 2014
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2
Вложения куда проще обосновать?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3
Измерение в деньгах требует иных подходов
§ Обосновывать вложения требует бизнес!
§ Бизнес не говорит на языке ИБ! Он говорит на языке бизнеса, на языке денег!
§ Нужна иная стратегия обоснования!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
Куда мы вкладываем деньги?
Продукт ИБ
• Зачем нам конкретный продукт?
• Какую задачу он решает?
Проект ИБ
• Зачем нам этот проект ИБ?
• Какую задачу он решает?
Проект ИТ
• Зачем нам этот проект ИТ?
• Какую задачу он решает?
Бизнес-проект
• Зачем нам этот бизнес-проект?
• Какую задачу он решает?
§ Мы вообще понимаем, ДЛЯ ЧЕГО нам ИБ?
§ Варианты «так принято» и «чтобы было безопасно» не подходят! Вариант «так требуют регуляторы» возможен J но с оговорками
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5
Мы часто топчемся на одном месте, не понимая цели!
§ Мы должны понять, ЧТО у нас лучше и ЗАЧЕМ это лучше нам! Для ЧЕГО нам ИБ? Каких КОНКРЕТНЫХ результатов мы хотим достичь?
§ Для ответа на вопрос «ЗАЧЕМ нам ИБ?» необходимо провести декомпозицию задачи/проекта/продукта!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6
Декомпозиция 4 сценариев изменения стратегии продаж
Рост выручки
Рост числа клиентов
Географическая экспансия
Защищенный удаленный доступ
Рост числа сделок
Вынос PoS в «поля»
Защищенный мобильный доступ
Ускорение сделок
Новый канал продаж
Защищенный Интернет-магазин
Снижение себестоимости
Более дешевый канал продаж
Защищенный Интернет-банк
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7
ИБ сама по себе или как часть целого?
§ ИБ как самостоятельный проект – самый удобный, но и самый редкий на практике случай финансового измерения
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8
Расходы считать просто. Что с доходами / выгодами?
§ Получение новых доходов
§ Снижение расходов/потерь
§ Снижение времени
§ Снижение (высвобождение) числа людей
§ Не во всех компаниях это выгоды! Поймите, что считается выгодой именно у вас
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9
Кейс 1: средства контроля доступа в Интернет
§ Реальный пример: сотрудник тратил 6 часов из 8 на ежедневный просмотр порнографии, но за оставшиеся 2 часа приносил недельную выручку Проект по внедрению средства контроля доступа в Интернет провалился
Видимая оценка
• 1,5 часа в день на «одноклассниках»
• 200 сотрудников • 6600 часов экономии – 825 чел/дней
• $18750 в месяц (при зарплате $500)
• $225000 в год экономии
Скрытая оценка
• Блокирование доступа не значит, что сотрудники будут работать
• Работа «от» и «до» и не больше • Ухудшение псих.климата • Потери $150000 в год
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10
Кейс 2: оценка выгод от приобретения DLP-решений
§ Пока инцидент не произошел оценить его сложно!
§ Цена на инцидент стоимость расследования инцидента стоимость восстановления после инцидента стоимость PR/общения с прессой затраты на юридические издержки (опционально) затраты на нарушение соответствия (опционально) стоимость досудебного урегулирования (опционально)
§ Цена на запись стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) стоимость реагирования пострадавших, например, звонки в Help Desk (опционально) стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11
Кейс 2: оценка выгод от приобретения DLP-решений
§ Дополнительные метрики Отток клиентов (в течении 1, 3, 6, 12, n месяцев) Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев) Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)
§ А еще можно попробовать посчитать стоимость утекшей информации Информация стоит денег сама по себе (оценка нематериальных активов) Информация позволяет улучшить что-то (стоимость информации равна разнице между стоимостью «до» и «после») Информация позволяет принимать решения (выгоды от принятого решения)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12
Кейс 3: цена взлома медицинской системы
Пример США! В РФ часть потерь будет отсутствовать или незначительна
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13
Подсчет потерь - это хорошо, но это анализ постфактум!
Продуктивность • Простои • Ухудшение психологического климата
Реагирование • Расследование инцидента • PR-активность • Служба поддержки
Замена • Замена оборудования • Повторный ввод информации
Штрафы • Судебные издержки, досудебное урегулирование • Приостановление деятельности
Конкуренты • Ноу-хау, государственная, коммерческая тайна • Отток клиентов, обгон со стороны конкурента
Репутация • Гудвил • Снижение капитализации, курса акций
Другое • Снижение рейтинга • Снижение рентабельности
§ Деньги надо просить быстро! А подсчет может занять время
§ Это затыкание дыр! Нет стратегии!
§ Денег на защиту могут и не дать! Все уже случилось!
§ Могут еще и наказать! И даже уволить
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14
Что теряем?
Что тратим?
Средства защиты
«Бумажные» работы
Поддержка в актуальном состоянии
Лояльность клиентов (отток)
Штрафы
Удар по репутации
Кейс 4: выполнение требований ФЗ-152
Консалтинг
Обучение / тренинги
Сертификация СрЗИ
Уведомление субъектов ПДн
Изменение системы защиты
Управление инцидентами
Приостановление деятельности
Вы уверены?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15
Кейс 5: повышение осведомленности в области ИБ
§ Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в должностные обязанности темы ИБ Это ответ на вопрос: «ЧТО мы хотим сделать?», но не «ЗАЧЕМ мы хотим это сделать?»
§ ЗАЧЕМ необходимо ежегодное прохождение сотрудниками тренинга по ИБ? Чтобы было меньше инцидентов? è Считайте отдачу за счет снижения ущерба от инцидентов! Чтобы выполнить требования регуляторов? è Считайте штрафы от невыполнения требований!
§ Инвестиции в процессы ИБ почти всегда сопряжены с оценкой пост-фактум, что усложняет обоснование выделения ресурсов Штрафы за неисполнение каких-то требований в области ИБ пока незначительны, а правоприменительная практика практически отсутствует
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16
Оцениваете не только вы, но и вас!
§ Финансовая оценка ИБ нужна только в том случае, если бизнес вообще готов разговаривать в этом разрезе Учитывая скепсис к финансовой оценке эффективности ИТ/ИБ, это происходит не всегда
§ Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security
§ В таких случаях оценка финансовой отдачи от продуктов/проектов ИБ – просто интересная задача, не имеющая ничего общего с реальностью конкретной организации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17
«Новые» финансовые методы, которые не работают
§ «Инвестиционные» Total Value of Opportunity (TVO) Total Economic Impact (TEI) Rapid Economic Justification (REJ)
§ «Затратные» Economic Value Added (EVA) Economic Value Sourced (EVS) Total Cost of Ownership (TCO) Annual Lost Expectancy (ALE)
§ «Контекстуальные» Balanced Scorecard Customer Index Information Economics (IE) IT Scorecard
§ «Количественные вероятностные» Real Options Valuation iValue Applied Information Economics (AIE) COCOMO II and Security Extensions
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18
Кейс 6: TEI от Forrester
§ Закрытая методика, разработанная компанией Giga Group, купленной Forrester Требует участия экспертов Forrester Почти все упомянутые на предыдущем слайде методики требуют участия их авторов, работающих «на доверии» и «на имени»
§ Оценивает эффективность по трем критериям Гибкость Стоимость Преимущества
§ Использует другие методики (ROV, ROI и т.п.)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19
Стоимость женских духов и экономика ИБ: что общего?
§ «Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше»
§ Обратите внимание при какой зарплате в западных калькуляторах будут положительные ROI и иные показатели
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
Кейс 7: внедрение технологии контроля сетевого доступа
© 2005 Cisco Systems, Inc. All rights reserved.
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21
Кейс 8: удаленный защищенный доступ
• Решение Cisco Virtual Office (CVO) à перевод сотрудников на дом à уменьшение арендуемых площадей à снижение арендной платы
Офис (класс А) Стоимость м2
в год* Итого**
Башня Федерация 850$ 1700$ Александр Хаус 800€ 1600€ 8 марта, 14 570$ 1140$ Daev Plaza 1300$ 2600$ GreenWood 290$ 580$
* + стоимость стоянки $150-250 в месяц ** Из расчета 2 м2 на сотрудника
Элемент CVO Цена
Cisco 861 449$ IP Phone 7911G* 225$ Cisco Security Manager**
300$
Итого 974$
* Опционально ** В пересчете на одно место *** Дополнительно требуется ISE и HeadEnd VPN для HQ
§ Дополнительная экономия на питании сотрудников, оплате проездных, оплате канцтоваров, оплате коммунальных расходов
+ рост производительности и улучшение психологического климата
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22
Кейс 9: решение по защите от спама
§ Исходные данные: Число сотрудников (почтовых ящиков) – 7000 Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) Объем спама – 60% (42000 сообщений) Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек Суммарные дневные затраты на спам – 14,583 человеко-дня Средняя зарплата сотрудника – $1500
§ Потери компании В день – $994,29 В месяц – $21784,5 В год – $248573,86
§ Выгоден ли антиспам в данной ситуации? Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23
Кейс 10: система оценки соответствия
Статья экономии Человека/часов Цена*
Идентификация несоответствующих компьютеров 1.0 $12.00 Определение местоположения несоответствующих компьютеров 1.0 $12.00 Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер (в год) $48.00 Потенциально сэкономленные затраты на 1 компьютер (за 3 года) $144
$14400 (100 users) $72000 (500 users) $144000 * из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться от $1000 до $4000
Элемент решения Цена
Cisco ISE Appliance 3315 Server (100 users) / 3Y
$15490
Cisco ISE Appliance 3315 Server (500 users) / 3Y
$36490 (~2x)
Cisco ISE Appliance 3315 Server (1000 users) / 3Y
$62990 (~2,5x)
§ В крупных организациях автоматизация задач по ИБ всегда выгоднее, чем в небольших организациях, в которых многие задачи могут быть решены вручную
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24
Откуда брать исходные данные?!
§ Все финансовые методы (традиционные и «новые») требуют для расчета исходные данные, обычно отсутствующие у служб информационной безопасности Нет, потому что мы не знаем, где их взять Нет, потому что не дают Нет, потому что у нас нет квалификации для измерений Нет, потому что мы не верим в эффективность этих методов Нет, потому что мы боимся соваться в финансы Нет, потому что нет гарантии, что нам поверят Нет, потому что нам не верят Нет, потому что мы забыли математику Нет, потому что нет
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25
Отложенность возврата инвестиций – тоже проблема
§ В области ИБ никто не проводил таких исследований, а в области ИТ отмечается существенный временной лаг между инвестициями в ИТ и эффектами от них Лаг достигает 4-5 лет Лаг связан с длительностью изменений, связанных с адаптацией организации к новым ИТ и более полным использованием их возможностей Долгосрочные эффекты от инвестиций в ИТ намного, в 2,5-3 раза, превышают краткосрочные В ИБ, вероятнее всего, сохраняются (в лучшем случае) те же показатели
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26
Из чего должен состоять бизнес-кейс
• Описание условий реализации инициативы (внутренней и внешней среды) Где
• Описание самой инициативы Что • Оценка операционных и экономических эффектов от нормальной реализации инициативы Для чего
• Цепочка объясняющих причинно-следственных связей между инициативой и ожидаемыми эффектами Почему
• Алгоритм действий по выявлению и оценке ожидаемых эффектов, который предполагается тем или иным методом Как
• Ключевые участники инициативы и распределение между ними ответственности за получением ожидаемых эффектов Кто
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27
Благодарю за внимание