Модель ROI в информационной безопасности

9,030 views
9,020 views

Published on

Презентация Михаила Козлова о финансовой составляющей проектов по внедрению специализированных средств защиты виртуализации на конференции Инфобезопасность 2011.

Published in: Economy & Finance
0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
9,030
On SlideShare
0
From Embeds
0
Number of Embeds
7,504
Actions
Shares
0
Downloads
0
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Модель ROI в информационной безопасности

  1. 1. Экономический эффект от внедрения средств информационнойбезопасности, примеры расчета ROIhttp://devbusiness.ru/mkozloff
  2. 2. Безопасность – это ROI достигается за Угрозы, риски и бизнес-процесс, счет снижения вероятности их требующий рисков до проявления инвестиций приемлемого уровня постоянно в рамках конкретной изменяются модели угроз
  3. 3. Return on Investment (ROI) Выгода – Затраты ROI % = Затраты3
  4. 4. 1.   2.  http://www.slideshare.net/mkozloff/roi-7039990
  5. 5. Централизованная установка 20 ESX хостов (2CPU) 300 ВМ 3 администратора vCenter/vGate Настройки ИБ Годовая з/пГоризонт расчета 3 Ставка соответствуют администратора с года дисконтирования 15% требованиям PCI DSS, учетом накладных CIS, VMware Hardening расходов = $48к
  6. 6. Ручная настройка виртуальной инфраструктуры VMware для соответствия лучшим практикам CIS, VSHG и требованиям PCI DSSПрименение шаблонов vGate снижает время настройки в 4 раза
  7. 7. 
  8. 8. Приведенная Показатель Значение стоимость PV (3 года) Стоимость ручной настройки ИБ $133 683 $117 004 Эффект от vGate: снижение затрат 75% $100 262 $87 753 Затраты на vGate $40 800 $37 503 NPV (эффект - затраты) $50 249 ROI (NPV / затраты) 134% Выгода в месяц (эффект / 36 месяцев) $2 785 Период окупаемости, мес. 15Данный расчет сделан с vGate ROI Calculator для вымышленной компании
  9. 9. Оценки возможности снижения вероятности и стоимости рисковМодель угроз Вероятность при помощи для проявления и средств ИБконкретной стоимость (положительный ситуации рисков денежный поток) Модель Стоимость рисков соответствую- и средств их щих рисков уменьшения (ИБ - отрицательный денежный поток)
  10. 10.  The Value Of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March 2010, Forrester
  11. 11.  True Cost of Compliance Report, Ponemon Institute LLC, January 2011
  12. 12. Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года) Штрафы PCI DSS -$1 141 613 Потеря важной информации -$2 716 695 -$3 858 308Вариант 2: «Ручная настройка ИБ» (-95% рисков) Ручные затраты на compliance и настройку ИБ -$117 004 Потеря важной информации -$135 835 -$252 839Вариант 3: «Автоматизация настроек ИБ с vGate» (-98% рисков) Затраты на vGate -$37 503 vGate снижает ручные затраты на 75% $87 753 Оставшиеся ручные затраты -$29 251 Потеря важной информации -$54 334 -$33 335Данный расчет сделан с vGate ROI Calculator для вымышленной компании
  13. 13. Показатель Значение PV (3)Выгода от снижения рисков ручной настройки $266 810 $219 503Затраты на vGate $40 800 $37 503NPV $226 010 $182 000ROI 485%Выгода в месяц $6 278Период окупаемости, мес. 7Данный расчет сделан с vGate ROI Calculator для вымышленной компании
  14. 14. Value PV (3)Выгода от снижения рисков ручной настройки $266 810 $219 503Снижение затрат на ручную настройку 75% $100 262 $87 753Общая выгода от vGate для ВС VMware $367 072 $307 256Затраты на vGate $40 800 $37 503NPV $326 272 $269 753ROI 719%Выгода в месяц $9 063Период окупаемости, месяцев 5Данный расчет сделан с vGate ROI Calculator для вымышленной компании
  15. 15. Выгода Снижение риска Лицензии потери Внедрение информации Обучение Сегментирование администратора ПДн Администрирование • К1 = 18000 руб. на ПК • К3 = 6000 руб. на ПК Затраты
  16. 16. Риск Значение ПС (3 года)Инвестиции 1 589 174р. 1 430 488р.Выгода (снижение рисков потери данных на 10%) 13 146 650р. 10 304 243р.Фактор риска для выгоды 30% - 3 943 995р. - 3 091 273р.NPV 7 613 481р. 5 782 483р.ROI 404%Выгода в месяц 211 486р.Период окупаемости, мес. 8• Данный расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March 2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации ИСПДн при помощи TrustAccess
  17. 17. Источники ROI в ИБ: Для России нет Детали бизнес-рост эффективности публичной модели процессов и рисков процессов и угроз – делайте = точность расчета снижения рисков свою (ошибок, потериданных, штрафов…)
  18. 18. (c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используяданную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весьриск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.
  19. 19.   http://www.slideshare.net/mkozloff/michael-kozloff-business- development-2011
  20. 20.   http://www.slideshare.net/mkozloff/roi-7039990  http://devbusiness.ru/mkozloff/about/

×