BISA - Экономические аспекты информационной безопасности
•Download as PPTX, PDF•
0 likes•852 views
Как расчитать экономику информационной безопасности, получить понятные показатели эффективности и ресурсы на развитие своего подразделения. В вкладке notes я поместил стенограму самого доклада, которая добавит информативности слайдам. Запись вебинара - http://bis-expert.ru/webinar/49302
Recommended
Recommended
More Related Content
Viewers also liked
Viewers also liked (16)
Similar to BISA - Экономические аспекты информационной безопасности
Similar to BISA - Экономические аспекты информационной безопасности (13)
BISA - Экономические аспекты информационной безопасности
- 1. +7 (800) 555 54 45 www.spsr.ru Экономические аспекты информационной безопасности Дмитрий Мананников директор по информационной безопасности
- 2. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Термины и определения Эконо́мика (от др.-греч. οἶκος — дом, хозяйство хозяйствование и νόμος — ном, территория управления хозяйствованием и правило, закон, буквально «правила ведения хозяйства дома»)— хозяйственная деятельность общества, а также совокупность отношений, складывающихся в системе производства , распределения, обмена и потребления. Главная функция экономики состоит в том, чтобы постоянно создавать такие блага, которые необходимы для жизнедеятельности людейобществ и без которых они не могут развиваться. Экономика помогает удовлетворить потребности в условиях ограниченных ресурсов. Экономический кризис (греч krisis — поворотный пункт) — резкое ухудшение экономического состояния страны, проявляющееся в значительном спаде производства, нарушении сложившихся производственных связей, банкротстве предприятий, росте безработицы, и в итоге — в снижении жизненного уровня, благосостояния населения. Так же эту ситуацию можно охарактеризовать как резкое изменениесокращение ресурсной базы в результате ряда коллизий
- 3. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Антикризисные меры Распределении ресурсов (особенно во время кризиса) Нехватка ресурсов = Оптимизация Антикризисные меры Затраты на инициативы развития Затраты по текущим процессам (- бюджеты?) (- персонал?) Кто определяет эту грань? CFO ? Выходное пособие Оптимизация ресурсов Ресурсы
- 4. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Как финансы видят ИБ «Вся Власть Финансам» или антикризисное управление компанией В кризис на принятие решения о выделение ресурсов больше всего влияют финансы Фонд оплаты труда Аренда помещений Оборудование Программное обеспечение Бухгалтерское ведение Консалтинг Х ХХХ ХХХ р. ХХХ ХХХ р. Х ХХХ ХХХ р. Х ХХХ ХХХ р. ХХ ХХ р. Х ХХХ ХХХ р. 0 р. 0 р. 0 р. 0 р. 0 р. 0 р. Стало безопаснее чем вчера Compliance Лучшие практики Снижены риски Сохранены тайны Консалтинг ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ «Долго не мог дровосек уснуть, метался в постели и стонал от горя. Тут жена ему и шепчет: - Давай завтра утром отведем детей в чащу леса, разведем костер, сделаем вид, что пошли работать, а сами вернемся домой…» Братья Гримм «Гензель и Грета»
- 5. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru «Старые» методы получения ресурсов отказали Количественные показатели (Quantitative Benefits) Качественные показатели (Qualitative Benefits)VS Соответствие новым законам Жизнь без вирусов Отключили dropbox из офиса … 0 in profit Снижение рисков? Кассовый разрыв Массовое сокращение Изменение курса валют Банкротство партнеров Санкции … Вирусные атаки Утечки ком.тайны DDoS атаки Целенаправленные атаки 152ФЗ … РИСКИ? РИСКИ! FEAR MARKET
- 6. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru На что жить дальше? Под какие гарантии получить ресурсы, когда «продажа страха» больше не работает? Новые проекты Текущие процессы% % Новые угрозы Старые риски ИБ Качественные показатели Количественные показатели Экономика проекта процесса
- 7. +7 (800) 555 54 45 www.spsr.ru Но ведь экономику ИБ нельзя посчитать? МОЖНО ИБ только затратное подразделение! Прибыль от ИБ посчитать не возможно! Попробуйте посчитать бенефиты соответствия 152ФЗ или ISO 27001! 1. Изменить «точку сборки» 2. Понять выгоды (бенефиты) 3. Рассчитать стоимость владения 4. Добавить принятые в компании переменные Что нужно? bullshit cloud
- 8. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Где искать бенефиты? Или точнее где их искать не стоит. внутренний периметр регламенты внешний периметр уязвимости Экономика закрытой уязвимости? Закрытые уязвимости повышают общий уровень защищенности компании Риски были 9 теперь 6 WAF DRP DLP «традиционный» подход к ИБ
- 9. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Что компания производит? общий уровень защищённости - продукт? информационная безопасность свойство продукта? ИБ ИБ ИБ ИБ или
- 10. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru В чем бенефиты влияния на свойства продукта? затраты доходы прибыль влияние ИБ на прибыль оптимизация затрат добавление новых качеств положительная разница между суммарными доходами и затратами
- 11. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Декомпозиция продукта внутренний продукт
- 12. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru ИБ внутри продуктов Проверка остатка Запрос товара Формирование предложения Выставление счета Получить заказ товара Принять оплату Закрыть заказ товара Отправить заказанный товар Уведомить о отправке Собрать данные для BI Безопасный способ платежа Корректные данные Коммерческая тайна Непрерывность работы сервиса Резервное копирование
- 13. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru ИБ внутри процесса E Х HR Е 14 дней 24 дня ФОТ*КПД 1,5 Факт: заявление об увольнении HR 14 дней HR IS ЕЕ передача дел предупреждение за 38 дней потери компании Выход нового сотрудника KPI на подбор нового сотрудника 38 дней рекламное место сдается
- 14. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Даже делая продукт дороже… • +1,5% к стоимости компании при выходе на IPO • возможность участвовать в тендерах с обязательным требованием • упрощение процедуры подготовки к большим контрактам • Защита данных вывела компанию в лидеры корпоративного рынка и сделала в 2009 году самой быстрорастущей компанией в мире с ростом дохода на 84 % за три года несмотря на глобальную рецессию. За десять лет компания продала 50 миллионов смартфонов, что сделало BlackBerry вторым по популярности смартфоном в мире.
- 15. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Затраты. Как их считать правильно? Затраты на лицензии Затраты на оборудование Затраты на персонал Затраты на процесс Амортизация по годам Учтённые риски Затраты на исследования Общие проектные расходы Total Cost of Ownership TCO Необходимо учесть все затраты проекта и процесса который будет выстроен на его базе совокупная стоимость владения OPEX CAPEX
- 16. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Экономика проекта Финансовый показатель Вариант 1 Вариант 2 Вариант 3 Чистая стоимость (TCO) 3 077 199,07р. 4 706 107,54р. 5 157 369,55р. Чистые бенефиты 3 734 634,61р. 5 718 764,23р. 6 981 253,07р. Приведённая стоимость 657 435,53р. 1 012 656,69р. 1 823 883,52р. ROI, % 21 22 35 payback period, год 2 года 2 года 2 года Бюджет на 1-ый год 1 955 000,00р. 3 189 325,15р. 3 539 334,15р. Бюджет на 2-ой год 405 000,00р. 761 610,86р. 853 119,86р. Бюджет на 3-ий год 405 000,00р. 761 610,86р. 853 119,86р. Метрика Значение Учётная ставка 20 Расчётный период 3 года -2,000,000.00р. -1,000,000.00р. 0.00р. 1,000,000.00р. 2,000,000.00р. cash flow: вариант 1 -4,000,000.00р. -2,000,000.00р. 0.00р. 2,000,000.00р. 4,000,000.00р. cash flow: вариант 2 -4,000,000.00р. -2,000,000.00р. 0.00р. 2,000,000.00р. 4,000,000.00р. cash flow: вариант 3 -3,000,000.00р. -2,500,000.00р. -2,000,000.00р. -1,500,000.00р. -1,000,000.00р. -500,000.00р. 0.00р. 500,000.00р. 1,000,000.00р. 1,500,000.00р. 2,000,000.00р. 2,500,000.00р. 1 2 3 4 netbenefit График: break-even point Вариант 1 Вариант 2 Вариант 3
- 17. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Метрикиконстанты просто возьмите их в Финансах Как бы вы их не считали Как бы вы не планировали Ставка дисконтирования Расчетный периодIRR ? ? ?
- 18. +7 (800) 555 54 45 www.spsr.ru Что делать с уже существующими процессами? сбор статистики – метрик расчет стоимости функции инвойсирование бизнес-юнитов (выставление счетов в качестве информации) взаимозачеты разнесение затрат по ЦФО управляемый показатель SLA PROFIT Если старые процессы все еще на стадии проектов или требуют пересмотра условийресурсов Их следует рассмотреть как новые с полным расчетом экономических показателей
- 19. +7 (800) 555 54 45 www.spsr.ru Внутренние взаимозачеты Где живут затраты на сотрудников ИБ? В кадрах которые принимают их на работу? Или в бухгалтерии которая платит зарплату?
- 20. +7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Антикризисные меры Кризисный год Экономический кризис = Оптимизация затрат = Новые правила игры Антикризисные меры Затраты на инициативы развития Ресурсы Затраты по текущим процессам Оптимизация не равно сокращение! Оптимизация - повышение экономической эффективности Оптимизация ресурсов
- 21. +7 (800) 555 54 45 www.spsr.ru Какие проекты «хороши» в кризис? Проекты с низким capex`ом Проекты с высоким ROIнебольшим PP Проекты с разнесенными платежамиобязательствами Проекты обеспечивающие стратегические цели компании «Короткие» деньги которыми можно оперативно управлять в случае изменения ситуации Поддержка развития бизнесановые возможности
- 22. +7 (800) 555 54 45 www.spsr.ru Картинка на которой менеджеры меряются своими p&l ями с подписью «добро пожаловать в клуб» Да-да коллеги! Положительный P&L в этом году! Спасибо за внимание manannikov_da@spsr.ru dmitriy.manannikov@gmail.com facebook.com/dmitriy.manannikov
Editor's Notes
- Добрый день, коллеги. Буквально в двух словах о себе. Меня зовут Дмитрий Мананников, я директор по информационной безопасности компании «СПСР-Экспресс». Мой опыт в информационной безопасности коммерческих компаний более 12 лет. Я работал в разных сферах и в банковской, и в энергетике, и в ИТ компаниях и потому полагаю, что те моменты, о которых мы будем сегодня говорить применимы в практике вне зависимости от специфики деятельности. Я не полагаю такой подход, о котором мы сегодня будем говорить - универсальным или единственно правильным. Более того он так же лишен четкого фокуса на информационную безопасность, и на мой взгляд равно применим для любых процессов безопасности, экономической или физической, или для ИТ. Т.е. для подразделений, которые традиционно не сильны в экономике, и часто выглядят исключительно затратными центрами. И в том числе, сегодня я хотел бы поговорить о чувстве, которое многих из нас не переполняет, о уверенности в завтрашнем дне. О том возможно укрепить через экономические аспекты ИБ, могут ли они стать преимуществом в этот непростой год, или же наоборот существенным недостатком.
- Ну и начнем с слайда, переполненного текстом, как все любят. Я не буду его зачитывать, он нам нужен для того что бы одинаково понимать некие базисные вещи. Определения взяты из словарей, никакой отсебятины. И так экономика. На что бы я хотел сделать акцент в этом определении – на часть «Главная функция экономики состоит в том, чтобы постоянно создавать такие блага, которые необходимы для жизнедеятельности людей \обществ и без которых они не могут развиваться.». Что это за блага? Ну в случае коммерческих компаний это очевидно продукты, которые они производят. Продукт может быть услугой, может быть товаром, не суть важно. Важно то что создание продукта — это одна из главных функций экономики, а мы сегодня пляшем именно от нее. И второе определение – экономический кризис. Который мы рассматриваем сегодня как фактор экономики, который вынуждает нас погрузится в детали и понять на что же он так влияет. И если мы обратимся к определению, то увидим, что речь идет о сокращении ресурсной базы. И основной момент текущего кризиса – нехватка денежной массы на рынке. А нехватка денежной массы — это попытка каждой организации сделать «денежную подушку». А значит, как можно меньше платить партнерам, как можно быстрее забрать деньги по старым обязательствам и как можно меньше денег потратить. Т.е. период накопления и снижения издержек, а снижение издержек — это перераспределение ресурсов.
- Итак у нас кризис и компания запускает полномасштабную санацию по всем фронтам. Как я уже и говорил, вся деятельность, до каждого подразделения будет рассмотрена на предмет максимальной выжимки из него средств в резервный фонд. Что будет сокращено первым? Затраты на продажи? На маркетинг? На ИБ? Если на ИБ, то на что? Затраты на развитие, новые проекты? Или затраты на уже существующие процессы? Или вообще вся функция будет сокращена? И кто будет принимать решение в данном конкретном случае? Финансовый директор? Антикризисный управляющий? Кто? Ну на самом деле это вопрос риторический, понятно что кто-то из них. Кризис финансовый, у нас глобальная нехватка денег, а это как раз тот ресурс за использование которого отвечает финансовый директор. Да конечно он не единолично будет принимать решение, но его мнение будет определяющим и для генерального директора и для борда. Или для любого другого органа принимающего решения в компании.
- Финансисты оптимизируют затраты на ИБ. Как они это делают? Им для этого не нужно идти к вам и задавать вопросы. У них уже все есть. Финансовая\управленческая отчетность. Тем, у кого в компании принята МСФО наверняка знаком термин P&L, отчет о прибылях и убытках который ведется по каждому подразделению. У кого это не принято есть другие отчеты по центрам затрат, это не суть важно. Принцип у них один. И вот как такой отчет выглядит для информационной безопасности в подавляющем большинстве случаев. И именно так ситуация будет донесена до руководства компании. Что будет дальше? Ну… эта цитата из старой сказки Братьев Гримм о нелегких, но понятных управленческих решениях в условиях ограниченных ресурсов справедлива и в наше время. Только заменяем дровосека и жену на CEO и CFO, а детей на безопасников. В общем, в такой ситуации выдача ресурсов будет остановлена либо чрезвычайно сильно зажата, до принятия окончательного решения. Как мы знаем безопасники и маркетологи в кризис первые кандидаты на вылет. Мы так же знаем, что это чрезвычайно несправедливо, но такова злая статистика. И причина именно в этом, в финансовых показателях. Есть подразделения, которые тратят, но и зарабатывают, а есть безопасность, которая безусловно полезна, но на цифры в явном виде не влияет. Нет влияния – нет ресурсов.
- Но постойте, скажет безопасник, ведь мы в ИБ всегда жили вне «количественных показателей», мы не влияли на цифры, но при этом решали важные задачи. Осуществляли для вас комплаенс, лечили вирусы, ловили болтунов, делали 2000 разных важных дел, участвовали во всех проектах куда смогли залезть. Мы снижали риски! И все об этом прекрасно знают. Мы и договаривались изначально о том, что мы снижаем риски. Вот наши джоб дискрипшины \должностные обязанности. Кстати – я провожу небольшое исследование, и если вы напишите мне по секрету ценность вашей должности, точнее как она сформулирована у вас в компании, буду очень благодарен и обязуюсь использовать только в обезличенном виде. Но не буду отвлекаться. Итак мы минимизировали риски и вот таблица! риски 6, а не 8 как в прошлом году! Мы справились! Но вспомните, Гензеля и Гретель? Дровосек тоже любил своих детей, но что-то заставило его принять жестокое решение. Дело в том, что раньше в основном безопасность продавала страх и тут же от него успешно защищала. Вот риск, а вот мы его закрыли! Даже термин для этого уже есть – FUD маркет (акроним от - страх – неуверенность – сомнение). А теперь на рынке «страха» новый игрок. Его «страхи» покруче. И лекарства от новых «страхов» в основном в том, чтобы на старых «страхах» экономить. Ресурсов на старые «страхи» больше не осталось. Конечно можно поспорить кто сильнее вирусная атака или кассовый разрыв… но решения принимаете сейчас не вы.
- Ок. Взгляд финансов — это взгляд финансов. Сейчас кризис и он сейчас многое определяет. Он в чем-то спорен, в чем-то справедлив. В любом случае он сейчас лучше обоснован нежели позиция ИБ. И решение понятно. Но вот дилемма! Технологии то не остановились. Угрозы множатся, проблемы растут. Любой аналитический отчет покажет нам небывалые ранее темпы роста инцидентов, а бизнес все больше и больше зависим от технологий и уже не умеет без них функционировать. Вызовы таковы что многие «риски» сопоставимы со стоимостью бизнеса, а еще большее количество может останавливать основные бизнес процессы. Это реальные угрозы самого существования компании. Плюс старые проблемы никуда не делись. Все так же валит спам, все так же пишутся вирусы. Ресурсы на все это нужны, но мы оказались в ситуации, когда их под «честное» слово уже не выдают. И что делать? Какие тут нужны гарантии для того что бы нам поверили? Ответ простой – нужна экономическая подложка. Экономика проекта. Она и только она. Нам нужны цифры для финансов. Цифры понятные им и которым они поверят.
- Но ведь экономику ИБ нельзя посчитать? Я это слышу постоянно. Но люди которые так говорят, слегка не искренни. Посчитать с точки зрения экономики можно все. Но ведь экономику ИБ нельзя посчитать? Я это слышу постоянно. Но люди, которые так говорят, слегка не искренни. Посчитать с точки зрения экономики можно все. Чихание в офисе, плохую погоду. Абсолютно все. И когда мы слышим, что экономику ИБ нельзя посчитать мы на самом деле слышим – «Нельзя посчитать экономику ИБ таким образом, чтобы получилась цифра со знаком плюс». И в общем это неправда. Да! Конечно если действительно считать проекты ИБ, то выйдет что в общем далеко не все из них экономически эффективны. По разным причинам. Как и в любой другой коммерческой деятельности. Но нам нужно перебрав все множество сосредоточится на проектах выгодных. Итак, чтобы это сделать нам нужны следующие элементы. Первое! Как правило нужно немного изменить «точку сборки», это важный момент. Я буквально на следующем слайде расскажу о деталях этого процесса. Она чаще всего и рушит всю «экономику» и более того заставляет нас верить в булшит клауд. Второе! Бенефиты. О них мы тоже сегодня поговорим поподробнее. И выясним что они на самом деле ближе чем кажется. Стоимость владения. И не просто стоимость владения, а такая стоимость, в которую поверят. Т.е. мы не о прайс листе говорим, а о более широком понятии. Ну и принятые в компании переменные. В общем за исключением первого пункта нам нужно найти всего 3 цифры. Дальше все сделает набор формул. Давайте рассмотрим эти пункты в деталях.
- И начнем с точки сборки. Это слайд не столько про бенефиты, сколько про ту самую «точку сборки» которую на мой взгляд стоит изменить, чтобы их найти. Какой самый распространенный, я бы даже сказал традиционный подход к снаряду у безопасника? Он приходит смотрит вокруг, определяет некие периметры. Тут картинка скорее для образности, давайте ее детали критиковать не будем! Условно выделяет для себя линии обороны – тут я взял опять же условные внешний и внутренний периметр и некое документальное обеспечение. Далее делает аудит и находит массу уязвимостей, брешей, огрехов и всего чего угодно. Делается приоритизация по степени важности, рисуется роадмэп закрытия уязвимостей. Риски снижаются\уязвимости закрываются какими-либо программными комплексами или организационными мерами. И вот как итог работы, у нас есть закрытая уязвимость. Как посчитать ее экономику. Ну к сожалению, это очень сложно даже в тех редких случаях, когда это вообще возможно. Данный подход не ориентирован на такое упражнение. Он направлен изменение общего уровня защищенности компании. На те самые пресловутые риски, которые 6, а не 9. Модель характерная скорее госорганам, задача которых как раз повышение общего уровня защиты. В целом подход верный, но подходит ли он компании коммерческой? Вряд ли. Нет в нем нужной гибкости, и что самое важное - не избыточности. А это важные параметры для компании, которая производит продукт. Поэтому давайте детально посмотрим некий абстрактный продукт.
- Продукт компании — это совокупный результат слаженной работы разных подразделений. Кто-то его придумывает, кто-то закупает сырье, кто-то привозит сырье в цеха, кто-то производит. В конечном итоге у продукта появляется потребитель, который этот продукт потребляет в обмен на ресурсы. Основная задача любой коммерческой организации получить прибыль через производства продукта и его реализацию на рынке. Это записано в 99% уставов. Напомню, что под продуктом мы понимаем все что угодно – товары или услуги, любой результат коммерческой деятельности. Все подразделения компании работают над этим продуктом или линейкой продуктов. Каждое подразделение влияет на процесс производства. Но если мы возьмем модель с прошлого слайда, то получается, что безопасность создает некое общее состояние для компании. Но может ли такое состояние быть реализовано как продукт? Скорее нет. Это полностью внутренний фактор. Но может ли информационная безопасность повлиять на свойства производимого компанией продукта? Не на компанию в целом, а конкретно на сам продукт? Прямо или косвенно, влияя на продукт через придания неких свойств внутренним процессам его создания? Да. Влияние на продукт можно считать? Да, оно понятно и измеримо. У продукта есть четкие характеристики, через которые можно влиять на прибыль, которую этот продукт приносит. Это и есть те возможные бенефиты которые мы будем считать. Кстати обратите внимание что в скелет рыбки, хоть и сильно условный, я специально не вставил безопасность как отдельный стрим. Что бы избежать некоего выделения в безопасность ради безопасности, и как следствие поиска несуществующих бенефитов. Только процессы производства товара и только влияние на эти процессы. Риски информационные абстрактны, влияние имеют исключительно риски операционные. И что особенно важно запомнить у операционного риска всегда есть владелец. Но давайте вернемся к этому чуть позже. А сейчас поговорим о том в чем бенефиты от влияния на свойства продукта.
- Как мы уже говорили, у продукта есть свойства влияя на которые мы влияем на прибыль. Исходя из определения самого термина – прибыль, это затраты и доходы. Как безопасность может влиять на прибыль? Общим состоянием компании? Нет, только влиянием на свойства, а именно оптимизацией затрат на производство или привнесением новых качеств продукта, и через это увеличивая доходы. Кстати вторым по распространенности мифом после того «безопасность исключительно затратное подразделение» является миф – «безопасность в лучшем случае может сократить некоторые затраты, но прибыли она не приносит». Признайом что оптимизировать мы все же можем, но в увеличение доходов все равно не верим. Далее я приведу примеры по обеим статьям. Этот слайд я поставил именно сюда, для того что бы избежать узкого фокуса в область кост-сейвинга А теперь отталкиваясь от этой позиции попробуем разобраться как искать места, в которых безопасность влияет на продукт
- На мой взгляд решая большую задачу, всегда стоит сделать ее декомпозицию. Т.е. не есть слона целиком. Так и при поиске тех мест в которых безопасность будет влиять на продукт, стоит сделать полную декомпозицию процесса создания продукта и начинать искать точки пресечения именно там. Продукт компании — это сумма внутренних продуктов, которые появляются в результате операционных процессов. Что не маловажно, у каждого из таких процессов есть владелец. Не можем же мы тиранить CEO каждый раз, когда надо принимать решения по каждому из операционных рисков? Это, во-первых, во-вторых раз мы влияем через безопасность на свойства продукта, то владелец процесса тут же становится заказчиком. У него есть понятный KPI, ему его нужно соблюдать. Он отчитывается за свои показатели эффективности, показатели его внутреннего продукта и, если вы можете на них положительно влиять он будет только рад такому сотрудничеству. Давайте разберем один из таких внутренних продуктов на примере «продажи»
- На слайде простой бизнес-процесс продажи чего-либо. Давайте договоримся что это сложный сборный товар, а не мороженное в ларьке, его недостаточно просто взять и продать. Пусть это будут, например, ИТ комплектующие которые покупают сбором. Повторюсь у этого внутреннего продукта есть показатели, есть четкий и понятный результат, он может быть просчитан до рубля. Как видите отдельных блоков безопасности в процессе создания продукта не предусмотрено. Но, безопасность может, например, повлиять на проверку остатков? Может сократить количество ошибок гарантируя то, что данные всегда будут корректны? Может. Может ли безопасность обеспечить коммерческую тайну сделанного предложения и тем самым снизить количество покупателей «внезапно» ушедших к конкурентам, сделавшим более выгодное предложение? Может. Обеспечить бесперебойность систем и сервисов бухгалтерии? Ведь покупатель не станет ждать лишний день если ему нужно срочно. Организовать безопасный способ принятия платежей? В конце концов обеспечить резервное копирование данных, для последующего использования их для бизнес-анализа? Как видите внутри каждого внутреннего продукта есть точки, на которые безопасность может влиять. И это конкретные точки, а не весь процесс создания продукта, помните я ранее говорил о избыточности, которая неизбежна при подходе изменения общего состояния. А избыточность не может быть экономически эффективна. Давайте для этого посмотрим внутрь продукта. Попробуем провалится в глубину. Для разнообразия уйдем от продаж в управление персоналом. Что бы потом не говорить, мол на продажах все просто а вот попробуйте посчитать ИБ в кадрах
- В любой компании есть процесс найма новых сотрудников на смену увольняющемся. И не всегда это договорной размеренный процесс, когда сотрудник предупреждает сильно заранее, ждет замену, передает дела. Часто бывает так, что сотрудник действует способом предусмотренным законодательством, а именно предупреждает за 2 недели в письменной форме. Обычная такая ситуация. Получил джобоффер на новом месте, и оповестил кадры. Не раньше, вдруг не срастется... Сами понимаете. Кадровой службе нужно найти нового сотрудника. За 14 дней. Что в общем нереально, хотя бы по причине того, что новый сотрудник тоже будет отрабатывать эти же самые 14 дней у старого работодателя. А ведь к тому же его еще нужно найти. Это ряд собеседований, проверка кандидата и все такое. В общем оптимистичный срок найма нового сотрудника дней 40-50. На самом деле 38 если верить профильным исследованиям. Понятное дело не для всех категорий это справедливо, но для офисного сотрудника скорее да, чем нет. В итоге получаем картину что в компании должность простаивает как минимум 24 дня, т.е. рабочий месяц. А это прямой убыток, поскольку сотрудник дает компании (ну или должен по задумке) больше чем он получает. Убыток просто считаемый - мы смело можем умножить его ФОТ на коэффициент полезного действия. Плюс новый сотрудник принимает дела у «старого почтового ящика», т.е. не оптимально входит в темп, какая-то полезная информация теряется. Его КПД в первый месяц-два в лучшем случае равен 1. И это опять же все четко считаемые цифры. А продукт кадровой службы – это на 100% закрытые должности в компании. Функционирующие с заданным КПД Чем может быть полезна тут безопасность? Ну допустим с помощью функционала DLP системы мы можем заранее определить, что сотрудник готовится на выход. Опять же статистический факт – работники в среднем за 3 месяца начинают готовится к смене места работы. Выявив такой факт, безопасность дает возможность кадровой службе уговорить сотрудника остаться, или начать параллельный поиск и заменить работника в моменте, а может и за пару недель до него что бы он успел принять должность. Каждый такой факт есть факт сокращения расходов на продукт HR и факт улучшения его качества. А значит и стоимости на внутреннем рынке. При этом, считая экономику вы можете не просто делать предполагаемый прогноз пальцем в небо, а взять статистику у HR за последние 3-4 года, добавить его же экспертную оценку и построить на ней прогноз на год следующий. А значит и общую сумму бенефита. Что особенно важно - данный прогноз и цифра в итоге будут приняты самим производителем продукта. И еще один немаловажный момент. При таком подходе, во-первых, вы делаете свой прогноз не только от вашего предположения вероятности наступления некоего инцидента безопасности, который никому раньше в такой формулировке и не встречался. Если вы идете от операционных рисков, то и статистика у вас как правило под руками и экспертная оценка владельца риска. Во-вторых, если вас смущает сам факт того что вы даете цифру основываясь на прогнозе количества инцидентов, то примите во внимание что абсолютно все бизнес направления так и делают. План продаж тому самый яркий пример. А от попадания в прогноз и будет формироваться уровень доверия. Часто, когда я рассказываю этот пример мне говорят, мол DLP не для этого! Точнее не только для этого. Да, все верно! Это один из аспектов использования. Одно место из многих в которых система может дать пользу и которые мы выявляем через декомпозицию всех процессов компании. И собрав их все вместе мы получим общую экономику DLP как продукта. Идем от обратного, если вспомнить про точку сборки. Кстати на слайде вполне себе есть место для рекламы DLP вендора, если представители таковых нас сейчас слушают. Про что еще мы хотели поговорить?
- Ранее я говорил о том, не только костсейвингом жива безопасность. Давайте рассмотрим пару случаев, когда безопасность влияет на продукт увеличивая его ревеню, больше известную как доходность Частый аргумент в спорах про экономику безопасности мол попробуйте посчитать бенефиты от сертификации по ISO 27001. Затраты на СУИБ и сам процесс получения сертификата существенные. А в чем бенефиты не понятно. Ок. если смотреть со стороны безопасности, то да. Вроде сделали хорошее дело и даже подтвердили, что сделали его хорошо. Бумага есть. Но на этом все. Ок, давайте посмотрим. как сертификат может повлиять на продукт. Если продукт сама компания, сертификат дает +1,5% к ее стоимости при выходе на IPO. Это средний показатель по оценке консалтеров. Можно посчитать до рубля. Но случай довольно редкий правда? А вот возможность участия в тендерах, в которых обязательным условием является наличие такого сертификата, вполне себе реальная ситуация. Наверняка об этом можно поговорить с коммерческим директором, возможно он весьма озабочен крупными клиентами. Поверьте, он даст и прогноз таких тендеров, и цифру, на которую увеличит выручку и даже станет заказчиком этого проекта. Если экономика будет складываться. А упрощение процедур контрактования которая затягивается на месяцы? Тоже считается, правда? Или давайте возьмем прям конкретный пример, когда свойства безопасности в продукте не только повысили выручку компании, но и стали основным аспектом, который продукт двигал. Компания Blackberry. Защита данных вывела компанию в лидеры корпоративного рынка и сделала в 2009 году самой быстрорастущей компанией в мире с ростом дохода на 84 % за три года несмотря на глобальную рецессию. За десять лет компания продала 50 миллионов смартфонов, что сделало BlackBerry вторым по популярности смартфоном в мире. При этом мы все понимаем, что безопасность делала продукт только дороже. Но общий экономический эффект был обратным. Надеюсь с бенефитами в целом стало понятнее и мы перейдем затратам. И это тоже немаловажный момент в наших расчетах.
- Казалось бы, что сложного в затратах? Сделай запрос – получи прайс лист. Но в нашем случае нам очень важно, чтобы в каждую цифру, на основании которой мы строим расчет – верили и могли проверить. Что бы в ваши цифры поверили важно посчитать не только стоимость лицензий\железа, но и внедрения. Надо посчитать и процесс, который будет выстроен на результатах этого проекта. Одними только капексам никто не поверит, потому как общая практика в том, что обслуживание этого капекса почти всегда его дороже. Еще в 87 году Гартнер ввел понятие – совокупная стоимость владения. И методику ее расчета. Она много раз менялась. Много методик появилось после нее. Но в целом ее название стало нарицательным. Что важно учитывать повторюсь – надо считать все что будет иметь отношение и к проекту, и к процессу на его базе. Затраты на лицензии, затраты на оборудование, затраты на персонал, затраты на процесс, амортизацию по годам, учтённые риски, затраты на исследования, общие проектные расходы. Только показав всю эту детализацию, вы сделаете цифру понятной и вызывающей доверие.
- Оцифровав бенефиты и затраты мы уже можем считать экономику. Что бы не бы не быть голословным вот живой расчет DLP системы на небольшое количество пользователей. Да порядок цен был изменен, у нас с каждым участником подписан NDA, но общая пропорция верна. ROI – показатель возврата инвестиций одинаков. Процесс построенный на базе этой системы закрывает операционные риски для HR, Финансов, Коммерческого департамента и для Топ-менеджмента. Каждое подразделение приняло бенефиты. Стоимость каждого элемента посчитана, подготовлены SLA. Как видите в зависимости от функциональности продукта, разные системы дают разные бенефиты. Что дает возможность не только делать «доказательную» базу для финансов, но и сравнивать разные продукты на этапе принятия решения. Т.е. вы получаете еще один инструмент выбора, что согласитесь приятно. Все расчеты здесь сделаны из двух групп цифр. Это связка бенефиты-стоимость и метрики учетная ставка-расчетный период. Про метрики я буквально на следующем слайде скажу отдельно. На основании этих цифр получены все необходимые расчеты. Вы можете увидеть прибыль, которую принесете компании, срок окупаемости проекта. Что немаловажно вы можете выстроить денежные потоки, за что финансы скажут отдельное спасибо и использовать их как промежуточные показатель успешности проекта, чтобы успеть его свернуть если он не «стреляет». Весь этот расчет сделан в экселе, набор формул есть в википедии, никаких секретов тут нет. Мой коллега сделал шаблон, в который мы и используем на этом слайде. Вот такой вот проект. Здесь DLP рекламировать правда негде, все место ушло под графики.
- Про метрики я совсем кратко. Метрики и константы в каждой компании будут свои. Кому-то достаточно ставки дисконтирования, а кто-то спросит IRR. Каждый параметр можно считать, существуют сложные методики. Но все что вам нужно сделать это просто спросить у своих финансистов что им нужно, и собственно сами метрики. Они у них есть.
- Итак новые проекты посчитаны, что делать дальше и что делать с проектами которые уже запущены ранее. С текущими активностями все на самом деле сильно проще. Они уже есть, а значит у вас есть вся база для сбора статистики\метрик, не нужно угадывать. Процесс уже выстроен и легко считается. А значит остается только посчитать стоимость бенефитов на этой базе и инвойсировать бизнес-юниты. Антивирус+антиспам к примеру стоят у нас n-рублей в месяц на сотрудника. Тут в общем предстоит нелегкая борьба заставить коллег взять на себя расходы за то, за что они никогда не платили но получали. Но в целом эта задача выполнимая. И самое главное она есть в практике у каждой компании!
- Посмотрите свой P&L или на любой другой формат отчета который у вас есть по своему подразделению и увидите в нем косты на свой персонал, полный кост со всеми премиями, страховками и налогами. Он вас или в кадрах, которые принимали сотрудника на работу? Или у бухгалтерии, которая платит зарплату? Так же там скорее всего живут косты на офисную технику и мебель, которую вы заказали у хозяйственной службы, если вы поедите учится, то кост опять ваш, а не внутреннего учебного центра, там же канцелярка. Посмотрите свой P&L и вы увидите, что такая практика существует, вам не нужно ее выдумывать и внедрять на уровне компании, просто встраивайтесь в процесс. Договариваетесь о показателях – и ежемесячно разносите свои затраты по функциям на ЦФО бизнес-юнитов. Не принято разнесение затрат и раздельный учет? Нет ABC костинга? ОК! просто инвойсируйте, собирайте подписи на инвойсах. Самое главное тут выстроение диалога с бизнесом, выстроение понимания того что вы решаете его боль, а не свою надуманную. Это очень важный момент. Через него вы становитесь полезными на уровне восприятия. Да! Через такой подход иногда, ну даже чаще чем иногда, выясняется, что какие-то процессы, которые жили долгие годы – бизнесу в общем не нужны и платить за них он отказывается. Их какими бы священными коровами они не были для безопасности, от них придется избавляться. Что же до остальных проектов, то вполне возможно, что им понадобится переприоретизация. В этом и будет суть нашего следующего упражнения.
- Итак - Упражнение «финансы №2». У нас появились нормальные цифры по проектам и процессам. Они ровно такие же, как и у любого другого бизнес-юнита. Мы можем играть на одном поле. Как только безопасность приносит финансам понятные цифры можно начинать процесс оптимизации. Не обрубания непонятных костов, это важно, а именно оптимизации. И тут возникнет важная деталь! Оптимизировать, не значит минимизировать. Во многих компаниях в эпоху кризисов принят термин оптимизации, однако обычно воспринимается как простое сокращение расходов по всем статьям. Нет. Оптимизация — это обдуманный процесс, направленный на максимально эффективное использование ресурсов. Теперь, когда финансы и безопасность играют одними фигурами, в понятных условиях можно договариваться. Да безусловно, этот подход не обеспечит вам 100% сохранности раннее запланированных инициатив. Но он даст возможность отыграть какие-либо позиции. Провести оздоровление службы. Сконцентрироваться на проектах важных для компании в этом моменте.
- Какие проекты\процессы выживут с большей долей вероятности? Короткие деньги. Да. В кризис любому управляющему деньгами нужна скорость маневра. Кризис не однороден, сегодня тяжело на терпимо, ужались на 15% – а завтра 5 ключевых клиентов обанкротились, денег нет, зарплату платить нечем. В таких ситуациях проекты с «короткими деньгами» очень удобны, вы можете их резко морозить\управлять их качеством. И проекты реализующие стратегические моменты. Тут важно помнить что кризис так же и время больших возможностей и резких маневров. Проекты в глобальном видении более рисковые и их надо «страховать»
- Спасибо за внимание