• Share
  • Email
  • Embed
  • Like
  • Save
  • Private Content
Roi tco-4-cisov36-131022045336-phpapp01
 

Roi tco-4-cisov36-131022045336-phpapp01

on

  • 1,230 views

 

Statistics

Views

Total Views
1,230
Views on SlideShare
493
Embed Views
737

Actions

Likes
5
Downloads
38
Comments
0

6 Embeds 737

http://www.risspa.ru 660
http://risspa.ru 52
http://risspa.org 17
http://cloud.feedly.com 4
http://www.risspa.org 3
http://www.inoreader.com 1

Accessibility

Categories

Upload Details

Uploaded via as Adobe PDF

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

    Roi tco-4-cisov36-131022045336-phpapp01 Roi tco-4-cisov36-131022045336-phpapp01 Presentation Transcript

    • TCO, ROI & бизнес-кейс для CISO Как продать ИБ-проект бизнесу и оценивать отдачу от инвестиций (ROI) в технологии информационной безопасности Михаил Козлов Развитие Бизнеса / Ру Консультант по развитию технологического бизнеса http://devbusiness.ru/mkozloff …
    • Содержание Как продать ИТ/ИБ-проект бизнесу? От бизнес стратегии к ROI в ИТ/ИБ Пример бизнес-кейса для ИТ/ИБ-проекта Ключевые показатели для оценки инвестиций Примеры ROI моделей в ИТ/ИБ 2 …
    • Как продать ИТ/ИБ-проект бизнесу Как продать ИТ/ИБ-проект бизнесу? От бизнес стратегии к ROI в ИТ/ИБ Пример бизнес-кейса для ИТ/ИБ-проекта Ключевые показатели для оценки инвестиций Примеры ROI моделей в ИТ/ИБ …
    • ИТ стоят дорого ИТ бюджеты: 0,6-6% от доходов в зависимости от отрасли… Бюджет организации ИТ/ИБ-бюджет Бюджет развития ИТ/ИБ (Портфель ИТ проектов, инвестиции, CapEx) Операционный ИТ/ИБбюджет (Эксплуатация ИТ, OpEx) Бюджет развития (Портфель бизнес проектов, инвестиции, CapEx) 30% 70% Операционный бюджет (OpEx) Существенные инвестиции для бизнеса: конкурируют с другими затратами и инвестициями, требуют обоснования (ROI) …
    • Инвестиции - малая часть ИТ/ИБ-бюджетов инновации = создание новых продуктов и услуг Уменьшение времени вывода на рынок Time-ToValue (ROI) развитие = улучшение существующих продуктов и услуг Увеличение отдачи от ИТ (TCO, ROI) эксплуатация = поддержка существующих продуктов и услуг Источник: Gartner IT Metrics: IT Spending and Staffing Report, 2010 Уменьшение стоимости владения (TCO) …
    • Ценность ИТ/ИБ для бизнеса Улучшение бизнес показателей автоматизированного процесса vs. ручного: • Снижение ИТ и бизнесзатрат и рисков • Ускорение Time to Value • Снижение рисков Мониторинг и анализ состояния • Показателей и процессов • Бизнес-среды • Отчетность в реальном времени …
    • Ценность ИБ для бизнеса Безопасность – это бизнес-процесс, требующий инвестиций (рост затрат) ROI достигается за счет снижения рисков до приемлемого уровня в рамках конкретной модели угроз Угрозы, риски и вероятности их проявления постоянно изменяются …
    • Что такое Ценность (Value)? Выгода Стоимость …
    • Карта Ценности Стоимость Отрицательная ценность А Б Положительная ценность Выгоды Источник: Neil Rackham, John DeVincentis, Rethinking the Sales Force …
    • Методы продажи ценности Эмоциональным клиентам • Эмоции: • вау-фактор • страх Рациональным клиентам • Бизнес-кейсы: ROI …
    • Buzzword? Geek and Poke CC …
    • Ценность Продукт Вау! Привет! Это надо видеть… Клиент / Спонсор Эмоция и Коммуникация …
    • Повторим: методы продажи ИБ Эмоциональный покупатель Рациональный покупатель Теория перспектив (рискнем без ИБ) Страх ROI для ИБ Продажа ИБ как часть большего проекта Дилемма разных бюджетов (уже 1 раз купили) Сыт и нет бюджета Голодный и есть бюджет Предложить решение задачи клиента …
    • Теория перспектив*)     http://ru.wikipedia.org/wiki/Теория_перспектив …
    • Упражнение          Выберите А или Б …
    • Упражнение (2)          Выберите В или Г …
    • Неприятие потерь: позитивная формулировка приятней         …
    • Ключевой вывод    …
    • Теория перспектив объясняет почему     …
    • На что влияет профиль покупателя?    не нужно рассказывать про ROI   нужно считать ROI   …
    • Оценка по DISC (Dominance, Influence, Steadiness, Compliance)    Википедия …
    • Оценка по DISC (Dominance, Influence, Steadiness, Compliance)      Википедия …
    • Оценка по DISC (Dominance, Influence, Steadiness, Compliance)      Википедия …
    • Оценка по DISC (Dominance, Influence, Steadiness, Compliance)      Википедия …
    • Профиль DISC Господствующие, Влияющие, Устойчивые, Добросовестные Эмоциональный Рациональный Высокие: D, I, Низкие: S, C Высокие: S, C Низкие: D, I. …
    • Продажа ИБ = продажа страховки       …
    • Пример из жизни     …
    • Модель угроз Вероятность риска (аварии) • Предложение Hertz: = 100% (заранее решили что будет авария) • Статистическая (по опыту вождения) = 5% • Математическая (без учета опыта) = 50% Предлагаемая цена защиты • 1800 Евро (полная страховка, цена нулевой франшизы = 600 Евро) • 1200 Евро (франшиза 800 Евро) Стоимость риска: • 600 Евро (предложение Hertz с нулевой франшизой) • 400 Евро (800*50% - мат. вероятность риска с франшизой 800 Евро) • 40 Евро (800*5% - статистическая вероятность риска с франшизой) …
    • Продажа ИБ всегда негативная      …
    • Дилемма разных бюджетов     …
    • Второй обед будет куплен если… Вы не очень сильно расстроены потерей • Позитивные эмоции У вас еще есть деньги • Доступный бюджет … и вы действительно хотите есть • Физиологическая потребность …
    • Дилемма разных бюджетов для защиты VMware IT менеджер, купивший VMware считает: • Она безопасна • Бюджет на VMware уже потрачен Необходимо убедить клиента в необходимости соответствия виртуальной среды: • Лучшим практикам ИБ (VMware, PCI DSS, CIS) • Требованиям регуляторов (152-ФЗ) • Внутренним регламентам ИБ (разделение ответственности, мандатный доступ) …
    • Далее: продаем решение а не возможности…       …
    • Как узнать какие есть задачи у «клиента»? Разработать модель угроз, рисков и оценить их последствия для клиента Определить места хранения и способы обработки важной информации Классифицировать ИС обрабатывающие данные Разработать регламенты для обработки, хранения, передачи и защиты данных в соответствии c требованиями законодательства Разработать требования к СЗИ Предложить решение Если не знаете – спросите у консультантов! …
    • Повторим: методы продажи ИБ Эмоциональный покупатель Рациональный покупатель Теория перспектив (рискнем без ИБ) Страх ROI для ИБ Продажа ИБ как часть большего проекта Дилемма разных бюджетов (уже 1 раз купили) Сыт и нет бюджета Голодный и есть бюджет Предложить решение задачи клиента …
    • Эмоциональный покупатель  Маслоу      пирамиды …
    • Потребность в безопасности и защите  …
    • Мотивация для Спонсоров IANS …
    • ИТ-администратор уничтожил 88 виртуальных машин из McDonald’s и нанес ущерб на $800 000 …
    • Как продать ИТ/ИБ-проект рациональному спонсору? Разработайте бизнескейс Защитите бизнес-кейс перед спонсорами Цена, ценность, риски (ROI, NPV, IRR…) Продажа в стиле Мэдисон Авеню …
    • Анализ рисков – основа для выбора методов защиты и оценки ROI Модель угроз • Основные значимые угрозы, риски и уязвимости • Вероятности их проявления • Последствия их проявления = потери Бизнес-модель • Политики • Процессы • Регламенты Архитектуру ИБ • Логическую • Физическую …
    • Анализируй это         …
    • Процесс анализа рисков заставляют Уязвимости Активы уменьшить Конфиденциальность целостности доступность увеличивают Риски используют увеличивают Угрозы защищают от Source: Ken Jaworski, CISSP увеличивают уменьшают Процедуры безопасности что вызывает негативные Последствия для бизнеса устраняются через …
    • Методы оценки рисков ИБ   Источник: http://www.nist.gov/itl/csd/risk-092011.cfm …
    • Стоимость потери информации   True Cost of Compliance Report, Ponemon Institute LLC, January 2011 …
    • Пример модели угроз со стоимостью инцидентов с ИБ …
    • Модель угроз Для России не существует аналогичной модели угроз/рисков, построенной на публичных данных • Нет истории штрафов за потерю информации Но ее можно создать внутри каждой организации • Решает эмоциональные и рациональные проблемы владельцев бюджетов • Помогает подготовить бизнес-кейс для внедрения ИБ • Данные должны быть у рискменеджеров …
    • Безопасность: сбалансированный подход  Последствия рисков    Стоимость защиты от рисков …
    • Элементы бизнес-кейса Видение, основанное на результатах для бизнеса Обещание изменить жизнь к лучшему Структура бизнес-кейса: Часть 1. Описание проекта (портфеля проектов) и выгод для бизнеса Часть 2. Планируемые затраты (инвестиции) по проекту Часть 3. Прямые выгоды (ROI, который придется доказывать) • Увеличение бизнес доходов (тяжело доказать роль ИТ/ИБ) • Снижение ИТ/ИБ (TCO сегодня vs. TCO завтра) и бизнес расходов Часть 4. Косвенные выгоды …
    • Успех зависит от качества презентации Видение, основанное на результатах для бизнеса • Используйте язык бизнеса (стратегия, задачи, KPIs) • Продавайте решение проблем: • Ситуация • Предлагаемые изменения • Затраты • Выгоды, ROI • Риски Обещание изменить жизнь к лучшему • Объясните как предлагаемые изменения сделают жизнь бизнеса лучше и легче: • «Мы считаем, что сможем снизить стоимость соответствия лучшим практикам ИБ в среде VMware на 75% за счет использования шаблонов лучших практик ИБ, встроенных в ***** инвестировав 1,2М Руб. с ROI 134% и периодом окупаемости 15 месяцев» …
    • Продажа в стиле Мэдисон Авеню*… Дорого и сверх ожиданий Средний бюджет с учетом всех ожиданий Дешево и ниже ожиданий CIOInsight.com Построим новый ЦОД Частное облако для всех ДЗО Хостинг во внешних ЦОД (основной + резервный) Частное облако для ключевых ДЗО Ремонт старой серверной Частное облако для центрального офиса …
    • Расчет ROI как часть бизнес-кейса. Зачем считать отдачу от инвестиций? Универсальный метод, дающий инвестору оценку какую отдачу (выгоду) могут принести его инвестиции Основа для принятия инвестиционных решений Продавцы и покупатели должны знать какую пользу приносят инвестиции спонсорам их проектов …
    • Объясняйте источники ROI для ИТ-проектов Улучшение KPIs из-за внедрения ИТ: Выросла продуктивность Переход на более дешевые аналоги Снизились затраты на командировки 5 Снижение TCO: Внедрение сберегающих технологий …
    • Объясняйте источники ROI для ИБ-проектов Рост эффективности процессов ИБ: Управление политиками Соответствие требованиям Администрирование 5 Снижение рисков для бизнеса: Уменьшение потерь …
    • Пример ROI от снижения затрат на ручную настройку ИБ в среде VMware Значение Стоимость ручной настройки ИБ Эффект от *****: снижение затрат 75% Затраты на ***** Приведенная стоимость PV (3 года) $133 683 Показатель $117 004 $100 262 $87 753 $40 800 $37 503 NPV (эффект - затраты) ROI (NPV / затраты) Выгода в месяц (эффект / 36 месяцев) Период окупаемости, мес. Данный расчет сделан с ***** ROI Calculator для вымышленной компании $50 249 134% $2 785 15 …
    • «Да», если понятны отдача от инвестиций (ROI) и преимущества для развития бизнеса заказчика и спонсора проекта …
    • Заказчик vs. Спонсор проекта Заказчик – владелец проекта внедрения Спонсор – владелец бюджета проекта • получает ценность в виде результатов проекта для решения своих задач • Получает ценность в виде ROI, эмоций, … Могут не совпадать • Заказчик: руководитель проекта по защите ПДн • Спонсор: CISO, Вице-президент по ИТ… …
    • Методика расчета ROI в ИБ на основе модели угроз и рисков Оценки возможности снижения вероятности и стоимости рисков при помощи средств ИБ (положительный денежный поток) Вероятность проявления и стоимость рисков Модель угроз для конкретной ситуации ROI Модель соответствующих рисков Стоимость рисков и средств их уменьшения (ИБ отрицательный денежный поток) …
    • Модель рисков: нарушения ИБ и их стоимость (Forrester)      …
    • Риск не соответствия требованиям регуляторов    True Cost of Compliance Report, Ponemon Institute LLC, January 2011 …
    • Выводы: зачем измерять ROI в ИТ/ИБ? Ситуация CISO конкурирует с другими CxO за бюджет развития 6 Проблема Решение Спонсоры не понимают ценность ИТ/ИБ для бизнеса Бизнес-кейс + финансовые метрики для повышения инвестиционной привлекательности ИТ/ИБ-проектов Неохотно выделяют бюджеты на развитие ИТ/ИБ …
    • От бизнес стратегии к ROI в ИТ/ИБ Как продать ИТ/ИБ-проект бизнесу? От бизнес стратегии к ROI в ИТ/ИБ Пример бизнес-кейса для ИТ/ИБ-проекта Ключевые показатели для оценки инвестиций Примеры ROI моделей в ИТ/ИБ …
    • ИТ/ИБ стратегия — часть бизнес-стратегии 4П бизнес стратегии 4П «ИТ/ИБ стратегии» Перспектива Перспектива Принципы Принципы План Портфель ИТ/ИБ проектов План Портфель бизнес проектов Позиция Позиция …
    • Как управлять портфелем проектов? Проектные портфели управляются также как и инвестиционные: • Рискованные проекты с высокой потенциальной отдачей (ROI) должны быть сбалансированы • …проектами с предсказуемым (небольшим) ROI и небольшим уровнем риска. Важно оценивать и анализировать эффективность портфеля через набор метрик: • Ключевые показатели эффективности (KPIs) • Системы показателей (Scorecards) • … а также процессы мониторинга и контроля …
    • Как управлять портфелем ИТ/ИБ проектов? Проверить фактическую отдачу (ROI) Получить результат(ы) Следить за реализацией 6 Бизнес стратегия ставит задачи для ИТ/ИБ Управление портфелем проектов Инвестировать Предложить решение Оценить отдачу, затраты, риски, ROI, окупаемость Приоритеты проектов …
    • Отбор проектов Оценка спроса со стороны внутренних пользователей На основе корп. стратегии и бизнес-драйверов Оценка затрат/ выгод от проекта на основе ТЭО Принятие решений по портфелю проектов Определение приоритета инвестиций Стратегия NPV, ROI, IRR, EVA Окупаемость Выгоды Срочность Регуляторы • Заявка на проект • Разработка ТЭО • Определение требований • Оценка рисков • Планирование бюджета • Запрос на инвестиции • Утвержденный портфель проектов …
    • Выводы CIO/CISO должны развивать бизнес а не ИТ/ИБ ИТ/ИБ-стратегия – это часть бизнес-стратегии (4П) Управление портфелем проектов на основе баланса рисков и отдачи (ROI) – основной метод реализации стратегии …
    • Пример бизнес-кейса для ИТ/ИБ-проекта Как продать ИТ/ИБ-проект бизнесу? От бизнес стратегии к ROI в ИТ/ИБ Пример бизнес-кейса для ИТ/ИБ-проекта Ключевые показатели для оценки инвестиций Примеры ROI моделей в ИТ/ИБ …
    • Структура бизнес-кейса для ИТ/ИБ-проекта Краткое описание проекта Основные показатели проекта Предлагаемое решение Денежные потоки (для расчета ROI) Финансирование проекта Соответствие ИТ/ИБ-стандартам Классификация проекта Технологии, продукты и поставщики Шаблон бизнес-кейса для ИТ/ИБ проектов на сайте CNews …
    • Бизнес-кейс в ИТ/ИБ: краткое описание проекта I. Краткое описание проекта 1. Организация 2. Название проекта 3. Дата предоставления Имя Телефон Адрес e-Mail 4. Спонсор проекта 5. Менеджер проекта Введение для руководства и основные инвестиционные показатели проекта 6. Заказчик проекта 7. Бизнес задача, которую должен решить проект (основные тезисы) Какую проблему/задачу решает предлагаемый проект? 7.1. Какова цель инвестиции/проекта? Зачем что-то менять? 8. Инвестиционные показатели проекта 3 года 7.2. Какие бизнес-показатели требуется улучшить? Что конкретно будем менять? Что нужно устранить; какие результаты достичь? 7.3. В чем проблемы с текущими значениями этих показателей? Доказательства существования проблем Жесткие (KPI) и мягкие (косвенные) Период анализа 4 года 5 лет Инвестиции, руб. Выгода, руб. NPV руб. ROI% IRR% Период окупаемости, мес. 7 …
    • Бизнес-кейс в ИТ/ИБ: основные показатели проекта 1. Бизнес цели 2. Организация: цели, ценности, продукты и/или услуги на которые повлияет предлагаемый проект II. Основные показатели проекта 1. Бизнес цели Зачем нужен предлагаемый проект; ожидаемые результаты; в бизнес-терминах, без учета возможного решения 2. Организация: цели, ценности, продукты и/или услуги на которые повлияет предлагаемый проект На основе бизнес стратегии 3. Ценность проекта Ожидания, принципы и возможные компромиссы 3. Ценность проекта 4. Предметная область Границы проекта 4. Предметная область Продукты и услуги: Бизнес-процессы: Другое: 5. Факторы влияния 5. Факторы влияния Факторы, которые могут повлиять на успех проекта Ограничения: 6. Внешние участники проекта Проблемы: Риски: Другое: 6. Внешние участники проекта …
    • Бизнес-кейс в ИТ/ИБ: предлагаемое решение 1. Общее описание предлагаемого решения III. Предполагаемое решение 1. Общее описание предлагаемого решения 2. Выгоды 2. Выгоды Как решение улучшит бизнес Улучшение продуктов и услуг: Снижение затрат: 3. Осуществимость 4. Устойчивость результатов 5. Альтернативные варианты решения Другое: 3. Осуществимость Позитивные или негативные факторы, которые могут повлиять на успех проекта с момента начала, до получения результата Оценка: 1[ ] 2 [ ] 3 [ ] 4 [ ] Низкий риск 5 [ ] Высокий риск 4. Устойчивость результатов Позитивные или негативные факторы, которые могут повлиять на успех проекта после получения результата; достижимость выгод для бизнеса в долгосрочной перспективе Оценка: 1 [ ] 2 [ ] Низкий риск 3 [ ] 4 [ ] 5 [ ] Высокий риск 5. Альтернативные варианты решения Какие другие варианты решения рассматривались и почему не были выбраны …
    • Бизнес-кейс в ИТ/ИБ: денежные потоки (для расчета ROI) IV. Денежные потоки (для расчета ROI) 1. Затраты 2. Прямые выгоды 1. Затраты* Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 АО ПО Услуги Сотрудники Другие 3. Финансовые результат 4. Косвенные выгоды Итого: 2. Прямые выгоды* Увеличение доходов Снижение затрат … Итого: 5. Элементы ROI 3. Финансовые результат Итого: 4. Косвенные выгоды *Элементы ROI Описание Расшифровка статей затрат и выгод АО ПО Услуги … …
    • Бизнес-кейс в ИТ/ИБ: финансирование проекта 1. Риски прогнозирования затрат по проекту V. Финансирование проекта 1. Риски прогнозирования затрат по проекту Факторы, которые могут привести к росту затрат по проекту Оцените точность прогноза: 2. Другие статьи затрат 3. Источники финансирования 10% [ ] 25% [ ] 50% [ ] 75% [ ] 100% [ ] 2. Другие статьи затрат Могут ли возникнуть другие статьи затрат по проекту 3. Источники финансирования Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 Примечания Бюджет ИТ Общий инвестиционный бюджет Инвестиционный бюджет подразделения Кредитование Лизинг Другое Итого: …
    • Бизнес-кейс в ИТ/ИБ: соответствие ИТ/ИБ-стандартам 1. ИТ/ИБ-архитектура 2. Технологии 3. Другое… VI. Соответствие ИТ-стандартам 1. ИТ-архитектура Насколько предлагаемое решение соответствует стандартам и принципам построения существующей ИТ-архитектуры организации Соответствует 1. Вычислительные платформы и системы хранения данных 3. Управление данными 4. Обмен данными 5. Приложения 6. ПО промежуточного слоя 7. Клиентские системы 8. Не применимо Сети 2. Не соответствует Совместная работа 9. Информационная безопасность 10. Управление ИТ 11. … Примечания: 2. Технологии Основные технологии, предлагаемые в проекте [ ] Вычислительные системы [ ] Веб [ ] Безопасность [ ] Хранение данных [ ] Базы данных [ ] Облачные технологии [ ] Сетевые технологии [ ] Клиентские устройства [ ] Другое… …
    • Бизнес-кейс в ИТ/ИБ: классификация проекта 1. Категории проекта VII. Классификация проекта 1. Категории проекта [ ] Категория 1 2. Бизнес функции, на которые повлияет проект [ ] Категория 2 [ ] Категория 3 [ ] Категория 4 [ ] Категория 5 [ ] Категория 6 [ ] Категория 7 [ ] Категория 8 [ ] Другая [укажите] 2. Бизнес функции, на которые повлияет проект 4. Планируются ли изменения бизнес-процессов [ ] Продажи [ ] Маркетинг [ ] Производство [ ] Логистика [ ] Управление кадрами [ ] ИТ 3. Тип разработки [ ] Финансы [ ] Управление рисками [ ] Другое [укажите] [ ] Расширение ИС [ ] Обслуживание и поддержка 3. Тип разработки [ ] Новая ИС [ ] Другая: [укажите] 4. Планируются ли изменения бизнес-процессов 5. Степень изменения бизнеспроцессов 6. Описание планируемых изменений в бизнес-процессах [ ] Без изменения бизнес-процессов [ ] Несколько подразделений внутри организации [ ] Одно бизнес-подразделение [ ] Несколько организаций в группе 5. Степень изменения бизнес-процессов [ ] Без изменения бизнес-процессов [ ] Некоторые изменения в существующих процессах [ ] Серьезные изменения в существующих процессах 6. Описание планируемых изменений в бизнес-процессах …
    • Бизнес-кейс в ИТ/ИБ: технологии, продукты и поставщики 7. Технологии, продукты и поставщики Технология Продукт или вендор 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. …
    • Выводы Используйте стандарт оформления бизнес-кейса, принятый в вашей организации Оценивать ROI при внедрении новых ИТ/ИБ-проектов проще, если у вас есть модель затрат, включающая методы chargeback Многие поставщики ИТ/ИБ умеют считать ROI для своих решений …
    • Ключевые показатели для оценки инвестиций в ИТ/ИБ Как продать ИТ/ИБ-проект бизнесу? От бизнес стратегии к ROI в ИТ/ИБ Пример бизнес-кейса для ИТ/ИБ-проекта Ключевые показатели для оценки инвестиций Примеры ROI моделей в ИТ/ИБ …
    • Финансовые критерии инвестирования   8 …
    • Инвестиционные риски (примеры) Потеря всех инвестированных средств Потеря части инвестированных средств Необходимость инвестировать больше чем изначально планировалось Меньший или более поздний возврат чем ожидалось 8 …
    • Модель для сборки Прежде чем начать – убедиться в наличие жестких и мягких доказательств целесообразности инвестиции в ИТ/ИБ-проект Далее мы рассмотрим только «жесткие» показатели TCO = затраты на ИТ/ИБ 8 ROI = окупаемость Период окупаемости …
    • Ключевые инвестиционные показатели Возврат на инвестиции Внутренняя ставка окупаемости Период окупаемости Return On Investment (ROI) 8 Чистая приведенная стоимость Net Present Value (NPV) Internal Rate of Return Payback Period …
    • Return on Investment (ROI) Отдача от инвестиций ROI = Отдача – Затраты * 100% Затраты ROI, выгода и затраты рассматриваются за период проекта Если проект длинный, то необходимо учесть временную стоимость денег …
    • Return on Investment (ROI), % ROI = PV (ПДС+) - PV (ПДС-) PV (ПДС-) * 100% Для простоты: ROI = прибыль проекта / инвестиции, в % с учетом временной стоимости денег PV = present value, текущая стоимость будущих ДС ДС = поток денежных средств; ДС+ = приток; ДС- = отток ДС; ROI д.б. > стоимости привлечения капитала для инвестора 8 …
    • Return on Investment (ROI), % ROI = NPV PV (ПДС-) * 100% NPV = Net Present Value, чистая приведенная стоимость проекта ДС+ = приток, положительный поток ДС ДС- = отток ДС, отрицательный поток ДС NPV д.б. > 0 8 …
    • Центр затрат vs. Центр прибыли Отдача от инвестиции – Затраты на инвестицию Затраты на инвестицию Центр затрат Центр прибыли Увеличиваем ROI за счет снижения затрат Увеличиваем ROI за счет увеличения отдачи …
    • Как превратить затраты на ИТ/ИБ в инвестиции Снижение бизнес затрат – Инвестиции в ИТ/ИБ Инвестиции в ИТ/ИБ Бизнес путает бизнес-затраты с инвестициями в ИТ/ИБ Если не видит отдачу для бизнеса Если дополнительные затраты на ИТ/ИБ приводят к росту бизнес-доходов и/или снижению бизнес-затрат (дают положительные ROI), то затраты на ИТ/ИБ рассматриваются как инвестиции …
    • NPV – учитывает текущую стоимость будущих денег NPV вычисляет текущую стоимость для каждого потока денежных средств (ПДС) в его период и суммирует результаты для получения чистой приведенной стоимости PV (ПДС+) + PV (ПДС-): ПДС_1 (1 + СД_1)1 + ПДС_2 (1 + СД_2)2 + ПДС_n (1 + СД_2)n n – общее количество периодов 1,2…n – номер текущего периода ПДС_n – величина ПДС в соответствующий период, и СД_n – ставка дисконтирования в соответствующий период …
    • IRR IRR {NPV=0} Относительная ставка доходности проекта • По сути – это ставка кредита, по которой вы бы финансировали проект или ставка доходности проекта для инвестора Теоретический показатель для сравнения проектов …
    • NPV и IRR NPV показывает абсолютный выигрыш/потерю от инвестиции • Инвестируем в проект, если NPV>0 IRR показывает относительный выигрыш от инвестиции • Ставка доходности, если бы NPV проекта было равно нулю. • Инвестируем в проекты, если IRR > Hurdle Rate (минимально приемлемый уровень возврата) …
    • Элементы денежного потока Отток ДС CapEx OpEx Приток ДС Снижение затрат Уменьшение оборотного капитала Прямые доходы Амортизация не является потоком ДС …но влияет на возникновение затрат (отток ДС) в будущих периодах …
    • Налоговый щит Платежи процентов по кредитам • Можно отнести к себестоимости и уменьшить налогооблагаемую базу Проекты с отрицательным NPV • Могут стать выгодными См. «Принятие инвестиционных решений». А.Кобенко http://www.devbusiness.ru/development/finances/invest_desicions_kobenko.htm …
    • Затраты для ИТ/ИБ = TCO Формулировка Gartner – конец 80х TCO – Total Cost of Ownership (совокупная стоимость владения) за период: • • • • Программное обеспечение Аппаратное обеспечение Работы и услуги … …
    • TCO ИТ/ИБ-услуги CapEx + OpEx за все время жизни ИТ/ИБуслуги, включая: Стоимость услуг, АО и ПО при внедрении Стоимость поддержки и эксплуатации С учетом амортизации активов для их возобновления …
    • Традиционные статьи ИТ/ИБ бюджета Код 1001 1002 2001 2002 2003 2004 2005 2006 Статья Итого 2012 Капитальные затраты (CapEx) * Приобретение вычислительной, сетевой и оргтехники, средств связи… Приобретение, сопровождение и обновление ПО Операционные затраты (OpEx) Приобретение вычислительной, сетевой и оргтехники, средств связи… Приобретение, сопровождение и обновление ПО Расходные материалы и обслуживание техники Расходы на стационарную, мобильную связь, интернет Прочие услуги организаций Обучение и развитие персонала Итого ИТ/ИБ - затраты …
    • TCO обычно считается на период от 3 до 5 лет с учетом временной стоимости денег Показатели затрат Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 Итого Present Value OpEx Затраты на внедрение Затраты на эксплуатацию CapEx Новое ПО (м.б. и OpEx и CapEx) Новое оборудование Итог …
    • Денежный поток 2500 1500 500 Отток Приток -500 -1500 -2500 Год 1 9 Год 2 Год 3 Год 4 Хорошая ли это инвестиция? …
    • Дисконтированный период окупаемости (Discounted Payback) Количество месяцев пока накопленная выгода не сравняется с затратами. Упрощенная формула, учитывающая нормализованный дисконтированный положительный ПДС: = ПДСNPV / число месяцев в период анализа < 24 месяцев (Gartner) или целевого значения 1 …
    • Экономическая добавленная стоимость Economic Value Add (EVA)    EVA = 1 Net Operating Profit After Taxes (NOPAT) - Capital NOPAT = чистая операционная прибыль после налогов Capital = инвестированный капитал Cost of capital = стоимость капитала для инвестора  Cost of Capital …
    • EVA vs. ROI ROI = / 100 000  100% = 20% EVA = 1 20 000 20 000 - 100 000  20% =0 …
    • Сравним метрики Метрика Плюсы Минусы NPV Сравнение любых инвестиций Не показывает объемов инвестиций по отношению к выгоде ROI Сравнение любых инвестиций Не показывает объемов инвестиций по отношению к выгоде IRR Показывает чувствительность денежных потоков к ошибкам Абстрактный показатель, т.к. предполагает, что можно инвестировать по подобной ставке Payback Очень важный показатель для ИТ/ИБ Дисконтированный период окупаемости не учитывает приток ДС после окончания проекта EVA Лучший индикатор ценности для бизнеса Трудно посчитать в ИТ/ИБ проектах …
    • А как же риски? План рисков (вероятность vs. значимость) Анализ чувствительности (NPV, ROI, IRR) Сценарный анализ Дисконтирование выгоды (NPV) 1 …
    • Выводы: ключевые вопросы к инвестиционным проектам      …
    • Выводы: ключевые инвестиционные показатели позволяют оценивать и сравнивать инвестиции Возврат на инвестиции Внутренняя ставка окупаемости Период окупаемости Return On Investment (ROI) 1 Чистая приведенная стоимость Net Present Value (NPV) Internal Rate of Return Payback Period …
    • Примеры ROI моделей в ИТ/ИБ Как продать ИТ/ИБ-проект бизнесу? От бизнес стратегии к ROI в ИТ/ИБ Пример бизнес-кейса для ИТ/ИБ-проекта Ключевые показатели для оценки инвестиций Примеры ROI моделей в ИТ/ИБ 1 …
    • Пример ROI от снижения затрат на ручную настройку ИБ в среде VMware Значение Стоимость ручной настройки ИБ Эффект от *****: снижение затрат 75% Затраты на ***** Приведенная стоимость PV (3 года) $133 683 Показатель $117 004 $100 262 $87 753 $40 800 $37 503 NPV (эффект - затраты) ROI (NPV / затраты) Выгода в месяц (эффект / 36 месяцев) Период окупаемости, мес. Данный расчет сделан с ***** ROI Calculator для вымышленной компании $50 249 134% $2 785 15 …
    • Модель рисков: нарушения ИБ и их стоимость (Forrester)      …
    • 3 варианта риска потери данных в виртуальной среде на основе модели угроз Forrester Вариант 1: «Ничего не делаем« (принимаем 100% риска) Штрафы PCI DSS Потеря важной информации PV (3 года) -$1 141 613 -$2 716 695 -$3 858 308 Вариант 2: «Ручная настройка ИБ» (-95% рисков) Ручные затраты на compliance и настройку ИБ Потеря важной информации -$117 004 -$135 835 -$252 839 Вариант 3: «Автоматизация настроек ИБ с *****» (-98% рисков) Затраты на ***** ***** снижает ручные затраты на 75% Оставшиеся ручные затраты Потеря важной информации -$37 503 $87 753 -$29 251 -$54 334 Данный расчет сделан с ***** ROI Calculator для вымышленной компании -$33 335 …
    • ROI: ***** снижает число ошибок ручной настройки параметров ИБ и уменьшает затраты от потери данных Показатель Выгода от снижения рисков ручной настройки Затраты на ***** NPV ROI Выгода в месяц Период окупаемости, мес. Данный расчет сделан с ***** ROI Calculator для вымышленной компании Значение $266 810 $40 800 $226 010 $6 278 7 PV (3) $219 503 $37 503 $182 000 485% …
    • Итоговый ROI для *****: снижение затрат на ручную настройку ИБ + снижение рисков потери данных в среде VMware Выгода от снижения рисков ручной настройки Снижение затрат на ручную настройку Общая выгода от ***** для ВС VMware Затраты на ***** NPV ROI Выгода в месяц Период окупаемости, месяцев Данный расчет сделан с ***** ROI Calculator для вымышленной компании 75% Value $266 810 $100 262 $367 072 $40 800 $326 272 $9 063 5 PV (3) $219 503 $87 753 $307 256 $37 503 $269 753 719% …
    • ROI для веб фильтрации Показатель Общие затраты (приведенная стоимость, PV) Общие затраты (PV) на одного сотрудника Общая выгода (приведенная стоимость, PV) Общая выгода (PV) на одного сотрудника NPV NPV на сотрудника ROI (за весь период) Выгода в месяц, PV Период окупаемости, месяцев Значение Значение (с учетом рисков) 4 909 453,37р. 4 909 453,37р. 4 909,45р. 4 909,45р. 84 807 542,94р. 42 403 771,47р. 84 807,54р. 42 403,77р. 79 898 089,57р. 37 494 318,10р. 79 898,09р. 37 494,32р. 1727% 864% 2 355 765,08р. 1 177 882,54р. 2,08 4,17 Расчет ROI для веб-фильтрации в предположении: • • • • • 1000 пользователей в организации, имеющих постоянный доступ к веб 15 мин. в день тратят на работу в веб в личных целях Полная стоимость сотрудника (с накладными) ~ 14,2 Евро час Стоимость решения для веб-фильтрации = 50 Евро в год на пользователя Подробнее см. на http://bit.ly/e911mQ …
    • Бизнес-кейс: защита Персональных Данных при помощи решений компании «ABC» …
    • Последствия потери персональных данных (ПДн) Потеря информации Прямые потери (штрафы, отзыв лицензии) Косвенные потери (репутация) Посчитаем стоимость потери репутации …
    • Задача   …
    • Исходные данные       …
    • Уход 1 клиента из-за потери его ПДн = потеря 4080 клиентов в будущем Расскажет 8-16 знакомым У каждого в его круге влияния (250 человек) 10% или 25 человек окажутся вашей целевой аудиторией LORI MACVITTIE Первый круг Второй круг Потеряно клиентов 8 2000 40 16 2% из второго круга или 5 человек никогда не станут вашими клиентами 4000 80 …
    • Ключевые показатели CLV (Customer Lifetime Value) • Общие продажи на 1 клиента за время его обслуживания (среднее значение) CAC = Customer Acquisition Cost CtR (Cost to Replace a Customer) • Затраты на привлечение нового клиента за период • CAC = маркетинговый бюджет / число новых клиентов • Затраты на замену клиента • CtR = CAC * 51 #Узнавших о проблеме • # потерянных записей ПДн * 2000 …
    • Стоимость потери репутации …
    • Результаты 1 (если 100,000 клиентов уйдут к конкурентам из-за потери их ПДн)           …
    • Бизнес-кейс  Потеря 100 000 клиентов из-  Комплексное решение для за утечки их ПДн может защиты ПДн от ABC привести к потере до 15,5% обойдется в 0,000…% от годовой выручки возможных потерь  ROI, IRR, период окупаемости …
    • Анализ чувствительности     …
    • Результаты 2 (если 100,000 клиентов уйдут к конкурентам из-за потери их ПДн)           …
    • Посчитали ROI. Что дальше? Выводы и заключение. 1 …
    • Инвесторы выбирают проекты с учетом возврата, риска и осознанной необходимости Сравнение показателей • IRR 1 <=> IRR 2 • Риск 1 против Риск 2 •… Обязаны ли мы делать этот проект? • «Прихоть» спонсоров • Требования регуляторов …
    • Методы продажи ценности Эмоциональным клиентам • Эмоции Рациональным клиентам • Бизнес-кейсы (ROI, IRR..) …
    • Методы продажи ценности ИБ Эмоциональный покупатель Рациональный покупатель Теория перспектив (рискнем без ИБ) Страх ROI для ИБ Продажа ИБ как часть большего проекта Дилемма разных бюджетов (уже 1 раз купили) Сыт и нет бюджета Голодный и есть бюджет Предложить решение задачи клиента …
    • Объясняйте источники ROI для ИБ-проектов Рост эффективности процессов ИБ: Снижение рисков для бизнеса: Управление политиками Соответствие требованиям Администрирование Уменьшение потерь …
    • Не ROI единым… Если менеджеры полагаются только на ROI, то можно легко принимать неверные решения • В пользу краткосрочных преимуществ против долговременных 1 ROI и период окупаемости не единственные критерии, по которым выбираются проекты • Соответствие требованиям регуляторов • Ремонты • Политика • Эмоции …
    • Выводы: что нужно для расчета ROI Целесообразность • Есть ли ROI для CISO от подготовки бизнес-кейса/ROI для бизнеса? Время и деньги • Понадобиться личное участие CIO и ключевых ИТ/ИБ-специалистов • Подготовка бизнес-кейсов, учет затрат в ИТ/ИБ, расчет ROI – стоят денег Модель • Есть ли модель учета затрат на ИТ/ИБ? • Модель Chargeback/Showback? • Есть ли методы оценки отдачи от ИТ/ИБ-проекта для бизнеса? • Есть ли модель для оценки рисков? 1 …
    • Дополнительные материалы на основе частного облака эффективность инвестиций (ROI)      как продать ИТ-проект бизнесу бизнес-кейса  http://devbusiness.ru/mkozloff/about/  http://www.devbusiness.ru/mkozloff/tag/roi/ 1 …
    • СПАСИБО ЗА ВНИМАНИЕ! (c)2013, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную информацию,вВы соглашаетесь с тем, что (i) автор(ы)условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную Вы (c)2013, Михаил Козлов. Информация настоящей презентации предоставляется на не несут ответственности за использование Вами данной информации и (ii) информацию, Вы принимаете на себя весь риск, не несут ответственности за использование Вами данной информации и (ii) Вы торговые марки ивесь риск, связанный с использованием данной информации». соглашаетесь с тем, что (i) автор(ы) связанный с использованием данной информации». Упомянутые принимаете на себя названия принадлежат их законным Упомянутые торговые марки и названия принадлежат их законным владельцам. владельцам. …