Документ рассматривает финансовые аспекты обоснования инвестиций в информационную безопасность (ИБ) с примерами реальных кейсов. Автор подчеркивает важность понимания бизнес-целей и потребностей для эффективного обоснования решений в области ИБ, а также предлагает стратегии и методы оценки финансовой отдачи от вложений. Особое внимание уделяется различным сценариям и метрикам, которые помогают оценивать не только прямые экономические выгоды, но и косвенные потери от инцидентов в области безопасности.

1. Финансовое измерение ИБ
10 реальных кейсов
Алексей Лукацкий
Бизнес-консультант по безопасности
19 September 2014
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1

2. Вложения куда проще обосновать?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2

3. Измерение в деньгах требует иных подходов
§ Обосновывать вложения требует бизнес!
§ Бизнес не говорит на языке ИБ!
Он говорит на языке бизнеса, на языке денег!
§ Нужна иная стратегия обоснования!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3

4. Куда мы вкладываем деньги?
Продукт ИБ
• Зачем нам
конкретный
продукт?
• Какую
задачу он
решает?
Проект ИБ
• Зачем нам
этот проект
ИБ?
• Какую
задачу он
решает?
Проект ИТ
• Зачем нам
этот проект
ИТ?
• Какую
задачу он
решает?
Бизнес-
проект
• Зачем нам
этот бизнес-
проект?
• Какую
задачу он
решает?
§ Мы вообще понимаем, ДЛЯ ЧЕГО нам ИБ?
§ Варианты «так принято» и «чтобы было безопасно» не подходят!
Вариант «так требуют регуляторы» возможен J но с оговорками
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4

5. Мы часто топчемся на одном месте, не понимая цели!
§ Мы должны понять, ЧТО у нас лучше и ЗАЧЕМ это лучше нам!
Для ЧЕГО нам ИБ? Каких КОНКРЕТНЫХ результатов мы хотим достичь?
§ Для ответа на вопрос «ЗАЧЕМ нам ИБ?» необходимо провести
декомпозицию задачи/проекта/продукта!
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5

6. Декомпозиция 4 сценариев изменения стратегии продаж
Рост выручки
Рост числа
клиентов
Географическая
экспансия
Защищенный
удаленный
доступ
Рост числа
сделок
Вынос PoS в
«поля»
Защищенный
мобильный
доступ
Ускорение
сделок
Новый канал
продаж
Защищенный
Интернет-
магазин
Снижение
себестоимости
Более дешевый
канал продаж
Защищенный
Интернет-банк
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6

7. ИБ сама по себе или как часть целого?
§ ИБ как самостоятельный проект – самый удобный, но и самый редкий на
практике случай финансового измерения
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7

8. Расходы считать просто. Что с доходами / выгодами?
§ Получение новых доходов
§ Снижение расходов/потерь
§ Снижение времени
§ Снижение (высвобождение)
числа людей
§ Не во всех компаниях это
выгоды!
Поймите, что считается выгодой
именно у вас
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8

9. Кейс 1: средства контроля доступа в Интернет
Видимая оценка
• 1,5 часа в день на
«одноклассниках»
• 200 сотрудников
• 6600 часов экономии – 825 чел/
дней
• $18750 в месяц (при зарплате
$500)
• $225000 в год экономии
Скрытая оценка
• Блокирование доступа не значит,
что сотрудники будут работать
• Работа «от» и «до» и не больше
• Ухудшение псих.климата
• Потери $150000 в год
§ Реальный пример: сотрудник тратил 6 часов из 8 на ежедневный просмотр
порнографии, но за оставшиеся 2 часа приносил недельную выручку
Проект по внедрению средства контроля доступа в Интернет провалился
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9

10. Кейс 2: оценка выгод от приобретения DLP-решений
§ Пока инцидент не произошел оценить его сложно!
§ Цена на инцидент
стоимость расследования инцидента
стоимость восстановления после инцидента
стоимость PR/общения с прессой
затраты на юридические издержки (опционально)
затраты на нарушение соответствия (опционально)
стоимость досудебного урегулирования (опционально)
§ Цена на запись
стоимость уведомления (создание списка пострадавших, печать, почтовые услуги)
стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)
стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с
мошенничеством, средства ИБ (опционально)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10

11. Кейс 2: оценка выгод от приобретения DLP-решений
§ Дополнительные метрики
Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок
все забывает)
§ А еще можно попробовать посчитать стоимость утекшей информации
Информация стоит денег сама по себе (оценка нематериальных активов)
Информация позволяет улучшить что-то (стоимость информации равна разнице между стоимостью
«до» и «после»)
Информация позволяет принимать решения (выгоды от принятого решения)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11

12. Кейс 3: цена взлома медицинской системы
Пример США! В РФ часть потерь
будет отсутствовать или незначительна
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12

13. Подсчет потерь - это хорошо, но это анализ постфактум!
Продуктивность • Простои
• Ухудшение психологического климата
Реагирование
• Расследование инцидента
• PR-активность
• Служба поддержки
Замена • Замена оборудования
• Повторный ввод информации
Штрафы • Судебные издержки, досудебное урегулирование
• Приостановление деятельности
Конкуренты • Ноу-хау, государственная, коммерческая тайна
• Отток клиентов, обгон со стороны конкурента
Репутация • Гудвил
• Снижение капитализации, курса акций
Другое • Снижение рейтинга
• Снижение рентабельности
§ Деньги надо
просить быстро!
А подсчет может занять
время
§ Это затыкание
дыр!
Нет стратегии!
§ Денег на защиту
могут и не дать!
Все уже случилось!
§ Могут еще и
наказать!
И даже уволить
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13

14. Кейс 4: выполнение требований ФЗ-152
Что
теряем?
Что
тратим?
Поддержка в
актуальном
состоянии
«Бумажные»
работы
Средства защиты
Удар по
репутации
Штрафы
Лояльность
клиентов (отток)
Сертификация
СрЗИ
Обучение /
тренинги
Консалтинг
Изменение
системы защиты
Уведомление
субъектов ПДн
Управление
инцидентами
Приостановление
деятельности
Вы
уверены?
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14

15. Кейс 5: повышение осведомленности в области ИБ
§ Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в
должностные обязанности темы ИБ
Это ответ на вопрос: «ЧТО мы хотим сделать?», но не «ЗАЧЕМ мы хотим это сделать?»
§ ЗАЧЕМ необходимо ежегодное прохождение сотрудниками тренинга по ИБ?
Чтобы было меньше инцидентов? è Считайте отдачу за счет снижения ущерба от инцидентов!
Чтобы выполнить требования регуляторов? è Считайте штрафы от невыполнения требований!
§ Инвестиции в процессы ИБ почти всегда сопряжены с оценкой пост-фактум,
что усложняет обоснование выделения ресурсов
Штрафы за неисполнение каких-то требований в области ИБ пока незначительны, а
правоприменительная практика практически отсутствует
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15

16. Оцениваете не только вы, но и вас!
§ Финансовая оценка ИБ нужна только в том случае, если бизнес вообще готов
разговаривать в этом разрезе
Учитывая скепсис к финансовой оценке эффективности ИТ/ИБ, это происходит не всегда
§ Многие руководители (не только службы ИБ) считают, что оценить ИБ
финансово невозможно
Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность
проекта по IT Security
§ В таких случаях оценка финансовой отдачи от продуктов/проектов ИБ –
просто интересная задача, не имеющая ничего общего с реальностью
конкретной организации
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16

17. «Новые» финансовые методы, которые не работают
§ «Инвестиционные»
Total Value of Opportunity (TVO)
Total Economic Impact (TEI)
Rapid Economic Justification (REJ)
§ «Затратные»
Economic Value Added (EVA)
Economic Value Sourced (EVS)
Total Cost of Ownership (TCO)
Annual Lost Expectancy (ALE)
§ «Контекстуальные»
Balanced Scorecard
Customer Index
Information Economics (IE)
IT Scorecard
§ «Количественные вероятностные»
Real Options Valuation
iValue
Applied Information Economics (AIE)
COCOMO II and Security Extensions
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17

18. Кейс 6: TEI от Forrester
§ Закрытая методика, разработанная
компанией Giga Group, купленной
Forrester
Требует участия экспертов Forrester
Почти все упомянутые на предыдущем слайде
методики требуют участия их авторов, работающих
«на доверии» и «на имени»
§ Оценивает эффективность по трем
критериям
Гибкость
Стоимость
Преимущества
§ Использует другие методики (ROV, ROI и
т.п.)
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18

19. Стоимость женских духов и экономика ИБ: что общего?
§ «Правда заключается в том, что никакой
объективной стоимости нет в природе. Цена
любого предмета, произведенного человеком,
складывается из массы других, столь же
относительных цен – цены труда в столице,
деревне, Франции или Занзибаре, цены сырья,
цены транспортировки. Все они – условны: то,
что человечество на данном этапе своего
существования сочло ценным, совсем не
обязательно было таковым раньше»
§ Обратите внимание при какой зарплате в
западных калькуляторах будут положительные
ROI и иные показатели
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19

20. Кейс 7: внедрение технологии контроля сетевого доступа
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20
© 2005 Cisco Systems, Inc. All rights reserved.

21. Кейс 8: удаленный защищенный доступ
• Решение Cisco Virtual Office (CVO) à перевод сотрудников на дом à уменьшение
арендуемых площадей à снижение арендной платы
Офис (класс А) Стоимость м2
в год* Итого**
Башня Федерация 850$ 1700$
Александр Хаус 800€ 1600€
8 марта, 14 570$ 1140$
Daev Plaza 1300$ 2600$
GreenWood 290$ 580$
* + стоимость стоянки $150-250 в месяц
** Из расчета 2 м2 на сотрудника
Элемент CVO Цена
Cisco 861 449$
IP Phone 7911G* 225$
Cisco Security
300$
Manager**
Итого 974$
* Опционально
** В пересчете на одно место
*** Дополнительно требуется ISE и HeadEnd VPN для HQ
§ Дополнительная экономия на питании сотрудников, оплате проездных,
оплате канцтоваров, оплате коммунальных расходов
+ рост производительности и улучшение психологического климата
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21

22. Кейс 9: решение по защите от спама
§ Исходные данные:
Число сотрудников (почтовых ящиков) – 7000
Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника)
Объем спама – 60% (42000 сообщений)
Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек
Суммарные дневные затраты на спам – 14,583 человеко-дня
Средняя зарплата сотрудника – $1500
§ Потери компании
В день – $994,29
В месяц – $21784,5
В год – $248573,86
§ Выгоден ли антиспам в данной ситуации?
Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22

23. Кейс 10: система оценки соответствия
Статья экономии Человека/
часов Цена*
Идентификация несоответствующих
компьютеров 1.0 $12.00
Определение местоположения
несоответствующих компьютеров 1.0 $12.00
Приведение в соответствие 2.0 $24.00
Потенциально сэкономленные затраты на 1
компьютер (в год) $48.00
Потенциально сэкономленные затраты на 1
компьютер (за 3 года) $144
$14400 (100 users) $72000 (500 users) $144000
* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться
от $1000 до $4000
Элемент решения Цена
Cisco ISE Appliance
3315 Server (100
users) / 3Y
$15490
Cisco ISE Appliance
3315 Server (500
users) / 3Y
$36490
(~2x)
Cisco ISE Appliance
3315 Server (1000
users) / 3Y
$62990 (~2,5x)
§ В крупных организациях автоматизация задач по ИБ всегда выгоднее, чем
в небольших организациях, в которых многие задачи могут быть решены
вручную
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23

24. Откуда брать исходные данные?!
§ Все финансовые методы (традиционные и «новые») требуют для расчета
исходные данные, обычно отсутствующие у служб информационной
безопасности
Нет, потому что мы не знаем, где их взять
Нет, потому что не дают
Нет, потому что у нас нет квалификации для измерений
Нет, потому что мы не верим в эффективность этих методов
Нет, потому что мы боимся соваться в финансы
Нет, потому что нет гарантии, что нам поверят
Нет, потому что нам не верят
Нет, потому что мы забыли математику
Нет, потому что нет
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24

25. Отложенность возврата инвестиций – тоже проблема
§ В области ИБ никто не проводил таких исследований, а в области ИТ
отмечается существенный временной лаг между инвестициями в ИТ и
эффектами от них
Лаг достигает 4-5 лет
Лаг связан с длительностью изменений, связанных с адаптацией организации к новым ИТ и более
полным использованием их возможностей
Долгосрочные эффекты от инвестиций в ИТ намного, в 2,5-3 раза, превышают краткосрочные
В ИБ, вероятнее всего, сохраняются (в лучшем случае) те же показатели
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25

26. Из чего должен состоять бизнес-кейс
Где внешней среды)
Что • Описание самой инициативы
• Описание условий реализации инициативы (внутренней и
Для чего нормальной реализации инициативы
• Оценка операционных и экономических эффектов от
Почему между инициативой и ожидаемыми эффектами
• Цепочка объясняющих причинно-следственных связей
Как • Алгоритм действий по выявлению и оценке ожидаемых
эффектов, который предполагается тем или иным методом
Кто • Ключевые участники инициативы и распределение между
ними ответственности за получением ожидаемых эффектов
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26

27. Благодарю
за внимание
© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 27