Финансовое измерение ИБ. 10 кейсов

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Финансовое измерение ИБ 10 реальных кейсов Алексей Лукацкий Бизнес-консультант по безопасности 19 September 2014


Вложения куда проще обосновать?


Измерение в деньгах требует иных подходов

§ Обосновывать вложения требует бизнес!

§ Бизнес не говорит на языке ИБ! Он говорит на языке бизнеса, на языке денег!

§ Нужна иная стратегия обоснования!


Куда мы вкладываем деньги?

Продукт ИБ

•  Зачем нам конкретный продукт?

•  Какую задачу он решает?

Проект ИБ

•  Зачем нам этот проект ИБ?


Проект ИТ

•  Зачем нам этот проект ИТ?


Бизнес-проект

•  Зачем нам этот бизнес-проект?


§ Мы вообще понимаем, ДЛЯ ЧЕГО нам ИБ?

§ Варианты «так принято» и «чтобы было безопасно» не подходят! Вариант «так требуют регуляторы» возможен J но с оговорками


Мы часто топчемся на одном месте, не понимая цели!

§ Мы должны понять, ЧТО у нас лучше и ЗАЧЕМ это лучше нам! Для ЧЕГО нам ИБ? Каких КОНКРЕТНЫХ результатов мы хотим достичь?

§ Для ответа на вопрос «ЗАЧЕМ нам ИБ?» необходимо провести декомпозицию задачи/проекта/продукта!


Декомпозиция 4 сценариев изменения стратегии продаж

Рост выручки

Рост числа клиентов

Географическая экспансия

Защищенный удаленный доступ

Рост числа сделок

Вынос PoS в «поля»

Защищенный мобильный доступ

Ускорение сделок

Новый канал продаж

Защищенный Интернет-магазин

Снижение себестоимости

Более дешевый канал продаж

Защищенный Интернет-банк


ИБ сама по себе или как часть целого?

§ ИБ как самостоятельный проект – самый удобный, но и самый редкий на практике случай финансового измерения


Расходы считать просто. Что с доходами / выгодами?

§ Получение новых доходов

§ Снижение расходов/потерь

§ Снижение времени

§ Снижение (высвобождение) числа людей

§ Не во всех компаниях это выгоды! Поймите, что считается выгодой именно у вас


Кейс 1: средства контроля доступа в Интернет

§ Реальный пример: сотрудник тратил 6 часов из 8 на ежедневный просмотр порнографии, но за оставшиеся 2 часа приносил недельную выручку Проект по внедрению средства контроля доступа в Интернет провалился

Видимая оценка

•  1,5 часа в день на «одноклассниках»

•  200 сотрудников •  6600 часов экономии – 825 чел/дней

•  $18750 в месяц (при зарплате $500)

•  $225000 в год экономии

Скрытая оценка

•  Блокирование доступа не значит, что сотрудники будут работать

•  Работа «от» и «до» и не больше •  Ухудшение псих.климата •  Потери $150000 в год


Кейс 2: оценка выгод от приобретения DLP-решений

§ Пока инцидент не произошел оценить его сложно!

§ Цена на инцидент стоимость расследования инцидента стоимость восстановления после инцидента стоимость PR/общения с прессой затраты на юридические издержки (опционально) затраты на нарушение соответствия (опционально) стоимость досудебного урегулирования (опционально)

§ Цена на запись стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) стоимость реагирования пострадавших, например, звонки в Help Desk (опционально) стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)


Кейс 2: оценка выгод от приобретения DLP-решений

§ Дополнительные метрики Отток клиентов (в течении 1, 3, 6, 12, n месяцев) Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев) Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)

§ А еще можно попробовать посчитать стоимость утекшей информации Информация стоит денег сама по себе (оценка нематериальных активов) Информация позволяет улучшить что-то (стоимость информации равна разнице между стоимостью «до» и «после») Информация позволяет принимать решения (выгоды от принятого решения)


Кейс 3: цена взлома медицинской системы

Пример США! В РФ часть потерь будет отсутствовать или незначительна


Подсчет потерь - это хорошо, но это анализ постфактум!

Продуктивность •  Простои •  Ухудшение психологического климата

Реагирование •  Расследование инцидента •  PR-активность •  Служба поддержки

Замена •  Замена оборудования •  Повторный ввод информации

Штрафы •  Судебные издержки, досудебное урегулирование •  Приостановление деятельности

Конкуренты •  Ноу-хау, государственная, коммерческая тайна •  Отток клиентов, обгон со стороны конкурента

Репутация •  Гудвил •  Снижение капитализации, курса акций

Другое •  Снижение рейтинга •  Снижение рентабельности

§ Деньги надо просить быстро! А подсчет может занять время

§ Это затыкание дыр! Нет стратегии!

§ Денег на защиту могут и не дать! Все уже случилось!

§ Могут еще и наказать! И даже уволить


Что теряем?

Что тратим?

Средства защиты

«Бумажные» работы

Поддержка в актуальном состоянии

Лояльность клиентов (отток)

Штрафы

Удар по репутации

Кейс 4: выполнение требований ФЗ-152

Консалтинг

Обучение / тренинги

Сертификация СрЗИ

Уведомление субъектов ПДн

Изменение системы защиты

Управление инцидентами

Приостановление деятельности

Вы уверены?


Кейс 5: повышение осведомленности в области ИБ

§ Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в должностные обязанности темы ИБ Это ответ на вопрос: «ЧТО мы хотим сделать?», но не «ЗАЧЕМ мы хотим это сделать?»

§ ЗАЧЕМ необходимо ежегодное прохождение сотрудниками тренинга по ИБ? Чтобы было меньше инцидентов? è Считайте отдачу за счет снижения ущерба от инцидентов! Чтобы выполнить требования регуляторов? è Считайте штрафы от невыполнения требований!

§ Инвестиции в процессы ИБ почти всегда сопряжены с оценкой пост-фактум, что усложняет обоснование выделения ресурсов Штрафы за неисполнение каких-то требований в области ИБ пока незначительны, а правоприменительная практика практически отсутствует


Оцениваете не только вы, но и вас!

§ Финансовая оценка ИБ нужна только в том случае, если бизнес вообще готов разговаривать в этом разрезе Учитывая скепсис к финансовой оценке эффективности ИТ/ИБ, это происходит не всегда

§ Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security

§ В таких случаях оценка финансовой отдачи от продуктов/проектов ИБ – просто интересная задача, не имеющая ничего общего с реальностью конкретной организации


«Новые» финансовые методы, которые не работают

§  «Инвестиционные» Total Value of Opportunity (TVO) Total Economic Impact (TEI) Rapid Economic Justification (REJ)

§  «Затратные» Economic Value Added (EVA) Economic Value Sourced (EVS) Total Cost of Ownership (TCO) Annual Lost Expectancy (ALE)

§  «Контекстуальные» Balanced Scorecard Customer Index Information Economics (IE) IT Scorecard

§  «Количественные вероятностные» Real Options Valuation iValue Applied Information Economics (AIE) COCOMO II and Security Extensions


Кейс 6: TEI от Forrester

§ Закрытая методика, разработанная компанией Giga Group, купленной Forrester Требует участия экспертов Forrester Почти все упомянутые на предыдущем слайде методики требуют участия их авторов, работающих «на доверии» и «на имени»

§ Оценивает эффективность по трем критериям Гибкость Стоимость Преимущества

§ Использует другие методики (ROV, ROI и т.п.)


Стоимость женских духов и экономика ИБ: что общего?

§  «Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше»

§ Обратите внимание при какой зарплате в западных калькуляторах будут положительные ROI и иные показатели


Кейс 7: внедрение технологии контроля сетевого доступа

© 2005 Cisco Systems, Inc. All rights reserved.


Кейс 8: удаленный защищенный доступ

•  Решение Cisco Virtual Office (CVO) à перевод сотрудников на дом à уменьшение арендуемых площадей à снижение арендной платы

Офис (класс А) Стоимость м2

в год* Итого**

Башня Федерация 850$ 1700$ Александр Хаус 800€ 1600€ 8 марта, 14 570$ 1140$ Daev Plaza 1300$ 2600$ GreenWood 290$ 580$

* + стоимость стоянки $150-250 в месяц ** Из расчета 2 м2 на сотрудника

Элемент CVO Цена

Cisco 861 449$ IP Phone 7911G* 225$ Cisco Security Manager**

300$

Итого 974$

* Опционально ** В пересчете на одно место *** Дополнительно требуется ISE и HeadEnd VPN для HQ

§ Дополнительная экономия на питании сотрудников, оплате проездных, оплате канцтоваров, оплате коммунальных расходов

+ рост производительности и улучшение психологического климата


Кейс 9: решение по защите от спама

§ Исходные данные: Число сотрудников (почтовых ящиков) – 7000 Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) Объем спама – 60% (42000 сообщений) Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек Суммарные дневные затраты на спам – 14,583 человеко-дня Средняя зарплата сотрудника – $1500

§ Потери компании В день – $994,29 В месяц – $21784,5 В год – $248573,86

§ Выгоден ли антиспам в данной ситуации? Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности


Кейс 10: система оценки соответствия

Статья экономии Человека/часов Цена*

Идентификация несоответствующих компьютеров 1.0 $12.00 Определение местоположения несоответствующих компьютеров 1.0 $12.00 Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер (в год) $48.00 Потенциально сэкономленные затраты на 1 компьютер (за 3 года) $144

$14400 (100 users) $72000 (500 users) $144000 * из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться от $1000 до $4000

Элемент решения Цена

Cisco ISE Appliance 3315 Server (100 users) / 3Y

$15490


$36490 (~2x)


$62990 (~2,5x)

§ В крупных организациях автоматизация задач по ИБ всегда выгоднее, чем в небольших организациях, в которых многие задачи могут быть решены вручную


Откуда брать исходные данные?!

§ Все финансовые методы (традиционные и «новые») требуют для расчета исходные данные, обычно отсутствующие у служб информационной безопасности Нет, потому что мы не знаем, где их взять Нет, потому что не дают Нет, потому что у нас нет квалификации для измерений Нет, потому что мы не верим в эффективность этих методов Нет, потому что мы боимся соваться в финансы Нет, потому что нет гарантии, что нам поверят Нет, потому что нам не верят Нет, потому что мы забыли математику Нет, потому что нет


Отложенность возврата инвестиций – тоже проблема

§ В области ИБ никто не проводил таких исследований, а в области ИТ отмечается существенный временной лаг между инвестициями в ИТ и эффектами от них Лаг достигает 4-5 лет Лаг связан с длительностью изменений, связанных с адаптацией организации к новым ИТ и более полным использованием их возможностей Долгосрочные эффекты от инвестиций в ИТ намного, в 2,5-3 раза, превышают краткосрочные В ИБ, вероятнее всего, сохраняются (в лучшем случае) те же показатели


Из чего должен состоять бизнес-кейс

• Описание условий реализации инициативы (внутренней и внешней среды) Где

• Описание самой инициативы Что • Оценка операционных и экономических эффектов от нормальной реализации инициативы Для чего

• Цепочка объясняющих причинно-следственных связей между инициативой и ожидаемыми эффектами Почему

•  Алгоритм действий по выявлению и оценке ожидаемых эффектов, который предполагается тем или иным методом Как

•  Ключевые участники инициативы и распределение между ними ответственности за получением ожидаемых эффектов Кто


Благодарю за внимание

Economy & Finance

Финансовое измерение ИБ. 10 кейсов