Оценка отдачи вложений в ИБ

3,948 views

Published on

1 Comment
5 Likes
Statistics
Notes
  • 'Географическая экспансия' - можно цитировать?
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here
No Downloads
Views
Total views
3,948
On SlideShare
0
From Embeds
0
Number of Embeds
2,123
Actions
Shares
0
Downloads
154
Comments
1
Likes
5
Embeds 0
No embeds

No notes for slide

Оценка отдачи вложений в ИБ

  1. 1. 1/469© 2008 Cisco Systems, Inc. All rights reserved.Security Training Как оценить вложения в ИБ? Алексей Лукацкий Бизнес-консультант по безопасности
  2. 2. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 2/469 Безопасность и деньги §  Занимаясь повседневной деятельностью мы нечасто думаем о деньгах в контексте ИБ И только тогда, когда возникает необходимость попросить у руководства деньги на новый проект, продукт или услугу §  Выигрывает не тот, кто сильнее, а тот кто лучше приспособлен §  Множество проектов и инициатив при нехватке финансовых средств Особенно в условиях кризиса §  Деньги получает тот, кто может сможет лучше обосновать запрашиваемые ресурсы Сколько надо? Почему столько? Какова отдача?
  3. 3. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 3/469 Вложения куда проще обосновать?
  4. 4. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 4/469 Осязаемо и приятно!
  5. 5. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 5/469 Неприятно, но осязаемо
  6. 6. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 6/469 Неосязаемо и… вообще непонятно
  7. 7. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 7/469 Измерение в деньгах требует иных подходов §  Обосновывать вложения требует бизнес! §  Бизнес не говорит на языке ИБ! Он говорит на языке бизнеса, на языке денег! §  Нужна иная стратегия обоснования!
  8. 8. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 8/469 Какова цель, на которую мы просим денег?
  9. 9. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 9/469 Куда мы вкладываем деньги? Продукт ИБ •  Зачем нам конкретный продукт? •  Какую задачу он решает? Проект ИБ •  Зачем нам этот проект ИБ? •  Какую задачу он решает? Проект ИТ •  Зачем нам этот проект ИТ? •  Какую задачу он решает? Бизнес- проект •  Зачем нам этот бизнес- проект? •  Какую задачу он решает? §  Мы вообще понимаем, ДЛЯ ЧЕГО нам ИБ? §  Варианты «так принято» и «чтобы было безопасно» не подходит! Вариант «так требуют регуляторы» возможен J но с оговорками
  10. 10. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 10/469 Развенчание мифа о том, что ИБ не видна и не измерима §  Если что-то лучше §  ⇒ Есть признаки улучшения §  ⇒ Улучшение можно наблюдать §  ⇒ Наблюдаемое улучшение можно посчитать §  ⇒ То, что можно посчитать, можно измерить §  ⇒ То, что можно измерить, можно оценить §  …и продемонстрировать!
  11. 11. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 11/469 Все начинается с целеполагания!!! §  Но сначала мы должны понять, ЧТО у нас лучше и ЗАЧЕМ это лучше нам! Для ЧЕГО нам ИБ?
  12. 12. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 12/469 Цели бывают разные! §  Популярные цели ИБ, которые нам не помогают! Получение аттестата ФСТЭК на все АС/ИСПДн Сертификация ключевых процессов на соответствие ISO 27001 Достижение 4 уровня по СТО БР ИББС Сокращение числа инцидентов ИБ до 3 в месяц Внедрение защищенного мобильного доступа для руководства Внедрение защищенного удаленного доступа для географической экспансии Повышение устойчивости инфраструктуры к DDoS-атакам с целью повышения лояльности клиентов и снижение их текучки §  При оценке вложений нас интересует не вопрос «ЧТО мы хотим достичь?», а вопрос «для ЧЕГО?» Что изменится в результате вложений в ИБ?
  13. 13. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 13/469 Мы часто топчемся на одном месте, не понимая цели! §  Для ответа на вопрос «ЗАЧЕМ нам ИБ?» необходимо провести декомпозицию задачи/проекта/продукта! §  Каких КОНКРЕТНЫХ результатов мы хотим достичь?
  14. 14. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 14/469 Декомпозиция §  Наиболее эффективный путь – декомпозиция бизнес-цели на части и выбор метрик для каждой из них Бизнес-цель Подцель 1 Подцель 2 Подцель 3 Действие 1 Действие 2 Измерение 1 Измерение 2
  15. 15. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 15/469 Бизнес не оперирует ИБ-целями Цели топ- менеджмента Операционные цели Финансовые цели Цели ИТ Цели ИБ §  Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ Грустно это признавать, но это так
  16. 16. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 16/469 ИБ сама по себе или как часть целого?
  17. 17. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 17/469 Но есть ли все-таки связь ИБ и бизнесом? §  Согласно исследованию E&Y во время кризиса все компании начинают с сокращения затрат (без эффекта) §  7 ключевых областей для оптимизации расходов Оптимизация ассортимента продукции Изменение стратегии продаж Сокращение затрат на персонал Повышение производительности Аутсорсинг Оффшоринг Оптимизация использования и стоимости привлечения ресурсов
  18. 18. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 18/469 4 сценария изменения стратегии продаж: декомпозиция Рост выручки Рост числа клиентов Географическая экспансия Защищенный удаленный доступ Рост числа сделок Вынос PoS в «поля» Защищенный мобильный доступ Ускорение сделок Новый канал продаж Защищенный Интернет- магазин Снижение себестоимости Более дешевый канал продаж Защищенный Интернет-банк
  19. 19. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 19/469 Снижение арендной платы: декомпозиция §  Снижение арендной платы à уменьшение арендуемых площадей à перевод сотрудников на дом à решение по защищенному удаленному доступу §  Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров Оплата коммунальных расходов, а также Улучшение психологического климата за счет работы дома Рост продуктивности
  20. 20. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 20/469 Уменьшение складских запасов: декомпозиция §  Уменьшение складских запасов à удаленный доступ к складской ИС поставщиков à решение по защищенному удаленному доступу, защита Интернет- ресурсов, Identity Management §  Экономия на: Уменьшение складских площадей Оптимизация логистики Ускорение цикла поставки
  21. 21. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 21/469 Оптимизация финансовых затрат §  Оптимизация финансовых затрат à переход на лизинг или оплату в рассрочку à обращение в компании по ИТ/ИБ-финансированию §  Выгоды: CapEx переходит в OpEx Ускоренная амортизация (коэффициент – 3) Снижение налога на прибыль и имущество Не снижает Net Income, EBITDA Нет проблем списания оборудования Отсрочка платежа Фиксированная ставка в рублях Положительное влияние на финансовые показатели
  22. 22. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 22/469 Рост продуктивности сотрудников §  Рост продуктивности à снижение времени, потраченного на дорогу à перевод сотрудников на дом à решение по защищенному удаленному доступу §  Рост продуктивности – от 10% до 40% §  Дополнительно: Увеличение рабочего времени Экономия на аренде площадей Экономия на питании сотрудников Экономия на оплате проездных (если применимо) Экономия на оплате канцтоваров Улучшение психологического климата за счет работы дома
  23. 23. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 23/469 Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям Аэропорт WAN/Internet SiSi SiSi Отель Предприятие Дорога Кафе Главный офис HQ Филиал Дом §  Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…) §  Сотрудник в среднем тратит только 30–40% времени в офисе 100 сотрудников 500 сотрудников 1000 сотрудников Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К Рост продуктивности
  24. 24. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 24/469 Уменьшение числа командировок §  Уменьшение числа командировок à внедрение видеоконференцсвязи/унифицированных коммуникаций/TelePresence à решение по защищенному удаленному доступу и защите унифицированных коммуникаций §  Экономия на: Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки)
  25. 25. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 25/469 Рост продуктивности сотрудников §  Чтение электронной почты à отвлечение на незапрошенную корреспонденцию à антиспам- решение §  Экономия на: Интернет-трафике Времени чтения почты Последствия вирусных эпидемий §  Особенности Экономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников
  26. 26. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 26/469 Сокращение затрат на Интернет §  Контроль действий сотрудников в Интернет à блокирование загрузок постороннего ПО, музыки, видео и контроль посторонних сайтов à решение по контролю URL §  Экономия на: Интернет-трафике §  Дополнительно Рост продуктивности (может быть) Защита от вирусов и троянцев в загружаемом трафике
  27. 27. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 27/469 Другие примеры §  Снижение рисков путешествий (и затрат на них) для сотрудников à внедрение унифицрованных коммуникаций и Telepresence à защита коммуникаций (технологии VPN, AAA и т.п.) §  Снижение издержек на ИТ à аутсорсинг à защита и разграничение удаленного доступа (технологии VPN, AAA, МСЭ и т.п., а также проработка юридических и организационных моментов, связанных с ИБ) §  Снижение издержек на внутренний Helpdesk à внедрение системы автоматического управления паролями пользователей (технология AAA)
  28. 28. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 28/469 И еще примеры бизнес-целей, которые можно декомпозировать §  Бизнес инвестирует в проекты, приносящие отдачу Отдача не обязательно носит денежный характер Критерии •  Бизнес-ориентированный •  Связанный с приоритетами/целями компании •  Измеримый в метриках, понятных бизнесу •  Приносящий ценность или отдачу (желательно финансовую) •  Оптимальный (цель не любыми средствами) •  Выполненный в срок •  Не нарушающий законодательство Примеры •  Снижение TCO •  Защита взаимоотношений •  Рост доверия •  Соответствие требованиям •  Ускорение выхода на рынок •  Географическая экспансия •  Снижение бизнес-рисков •  Снижение текучки клиентов/партнеров •  Рост лояльности клиентов/сотрудников •  Оптимизация процессов •  Интероперабельность и интеграция •  Стандартизация •  Рост качества •  Оптимизация затрат (на внедрение, эксплуатацию, поддержку и т.п.) •  Повторное использование •  Масштабируемость
  29. 29. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 29/469 Связь ИТ и бизнес-задач по COBIT
  30. 30. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 30/469 Функции и процессы любой компании Основная деятельность (выпуск продукта, предоставление услуг) Улучшение основной деятельности (оптимизация издержек) Совершенствование предыдущей категории (управление качеством)
  31. 31. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 31/469 Всегда ли ИБ измерима деньгами?! §  ИБ не относится к первой категории функций предприятия Финансовые метрики сложно применять в этом случае, т.к. ИБ напрямую не генерит бизнес §  ИБ чаще всего относится ко второй категории функций Возможность использования финансовых метрик зависят от оцениваемого процесса Некоторые проекты ИБ могут помочь оптимизировать издержки §  Управление ИБ – это всегда третья категория функций Финансовых метрик может вообще не быть Исключение может составлять экономия на персонале за счет более эффективного управления
  32. 32. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 32/469 Нет, не всегда! §  Классические финансовые метрики определяют балансовую стоимость предприятия, его доходы и расходы §  Рыночная стоимость, капитализация определяются в т.ч. и нефинансовыми показателями Уровень корпоративного управления Наличие бренда Прозрачность Эффективность управления И т.д. §  Не зря появляется такое понятие, как система сбалансированных показателей (Balanced scorecard, BSC)
  33. 33. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 33/469 Security balanced scorecard Заказчик Финансы Внутренние процессы Обучение и рост Базовая BSC Заказчик Ценность для бизнеса Операционная эффективность Будущее Compliance
  34. 34. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 34/469 Но вернемся к оценке отдачи в ИБ §  Мало оценить расходы на продукт/проект ИБ §  Необходимо оценить получаемые выгоды §  Нужна положительная разница между выгодой и расходами
  35. 35. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 35/469 О каких выгодах можно говорить? §  Получение новых доходов §  Снижение расходов/потерь §  Снижение времени §  Снижение (высвобождение) числа людей §  Не во всех компаниях это выгоды! Поймите, что считается выгодой именно у вас
  36. 36. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 36/469 Высвобождение времени администратора – это выгода или нет? §  Выгоды у всех разные! Универсального списка нет!
  37. 37. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 37/469 Всегда ли вредно посещать порно- сайты: пример из жизни! §  Напоминание: Важно учитывать потребности бизнеса!
  38. 38. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 38/469 Выгода может означать скрытые потери! §  Задача: оценить эффективность системы контроля доступа §  Данный пример показывает оценку отдачи ДО! Видимая оценка •  1,5 часа в день на «одноклассниках» •  200 сотрудников •  6600 часов экономии – 825 чел/дней •  $18750 в месяц (при зарплате $500) •  $225000 в год экономии Скрытая оценка •  Блокирование доступа не значит, что сотрудники будут работать •  Работа «от» и «до» и не больше •  Ухудшение псих.климата •  Потери $150000 в год
  39. 39. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 39/469 Не всегда возможно оценить отдачу заранее! Оценка ДО Оценка ПОСЛЕ
  40. 40. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 40/469 Как оценить DLP-решение? §  Пока инцидент не произошел оценить его сложно! §  Цена на инцидент стоимость расследования инцидента стоимость восстановления после инцидента стоимость PR/общения с прессой затраты на юридические издержки (опционально) затраты на нарушение соответствия (опционально) стоимость досудебного урегулирования (опционально)
  41. 41. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 41/469 Почему мы не привязываемся к стоимости защищаемой информации? Она имеет ценность Имеет ценность для вас Снижает неопределенность при принятии решений Влияет на поведение людей, приводящее к экономическим последствиям Нематериальный актив (собственная стоимость) Не имеет ценности для вас, но имеет для кого-то еще Если ей воспользуются другие, то вы понесете убытки или проиграете в конкурентной борьбе Ее защита требуется государством / регулятором Она не имеет ценности, но ее принято защищать
  42. 42. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 42/469 Как оценить стоимость информации? §  Информация стоит денег сама по себе Самый простой метод Множество стандартов оценки нематериальных активов §  Информация позволяет улучшить что-то Стоимость информации равна разнице между стоимостью «до» и «после» §  Информация позволяет принимать решения Самый сложный сценарий оценки стоимости Методы AIE, iValue и другие
  43. 43. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 43/469 Как оценить DLP-решение? §  Цена на запись стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) стоимость реагирования пострадавших, например, звонки в Help Desk (опционально) стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально) §  Дополнительные метрики Отток клиентов (в течении 1, 3, 6, 12, n месяцев) Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев) Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)
  44. 44. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 44/469 А может посчитать отдачу, привязав к курсу акций?
  45. 45. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 45/469 Не всегда связь очевидна
  46. 46. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 46/469 Есть ли связь между ИБ и стоимостью акций? §  Существующие исследования Гордон, Лёб и Жу - 2003 год - падение в среднем на 2% Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в среднем на 2.1% Хова и Д'Арси - 2003 год - связи не обнаружено Каннан, Рис и Сридхар - 2004 год - падение на 0,73%. Теланг и Ваттал – 2011 год - падение на 0.6% Experian Data Breach Resolution – 2011 год – падение стоимости бренда на 12% §  При этом влияние на курс акций имеет место быть только в первый день опубликования Во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает
  47. 47. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 47/469 У любого продукта/проекта множество измерений §  Даже самый продукт ИБ обычно решает сразу несколько задач §  Выявить эти задачи (провести декомпозицию) важнейший шаг при оценке отдачи в ИБ §  У стоимости информации тоже есть разные измерения
  48. 48. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 48/469 Одно и тоже можно измерить по- разному (проект по IdM) §  Число сброшенных паролей в месяц Сброшенных после блокирования учетной записи, например. Или после забытого пароля и использования системы генерации паролей самими пользователями §  Среднее число учетных записей на пользователя Средним показателем считается 10-12. В любом случае это число демонстрирует необходимость внедрения SSO §  Число учетных записей «без пользователей» Пользователей переводя на новую работу, повышают, увольняют... А что с их учетными записями?.. §  Число новых учетных записей Насколько оно отличается от числа новых сотрудников за тот же период времени? §  Среднее время на предоставление доступа новой учетной записи к ресурсам, необходимым для работы
  49. 49. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 49/469 Одно и тоже можно измерить по- разному (проект по IdM) §  Среднее время на утверждение изменений в учетной записи и ее правах доступа §  Число систем или привилегированных учетных записей без владельца §  Число исключений при установлении правил доступа Обычно при создании новых ролей или внедрении новых приложений число таких исключений велико, но постепенно оно должно стремиться к нулю. Если нет, то есть серьезная проблема с качеством идентификационных параметров учетной записи. §  Число нарушений разделения полномочий Например, есть ли у вас в системе пользователи одновременно с правами разработчика и внедренца системы? Или с правами операциониста и контроллера?
  50. 50. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 50/469 Другой пример: средство аудита сети §  Решение по управлению изменениями Обнаружение изменений на сети в реальном режиме времени Предварительная проверка изменений перед их внедрением на сети Контроль за выполнением корпоративных правил и политик §  Аудит и анализ соответствия политиками компании Внедрение политик и правил на сети Автоматическая генерация отчетов по соответствию международным рекомендациям (SOX, VISA CISP, HIPAA, GLBA, ITIL, CobiT, COSO) §  Согласование изменений Настройка правил согласования Возможность настройки сложных правил §  Отчетность
  51. 51. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 51/469 Решаемые задачи с точки зрения разных целевых аудиторий •  Управление политиками безопасности •  Контроль изменений на сетевом оборудовании с точки зрения ИБ •  Аудит безопасности средств защиты и сетевого оборудования •  Проверка соответствия требованиям ИБ- стандартов ИБ •  Управление изменениями на сетевом оборудовании •  Распределение конфигов для удаленного оборудования •  Контроль версий ОС на сетевом оборудовании •  Проверка соответствия требованиям ИТ- стандартов (ITIL, COBIT и т.п.) ИТ
  52. 52. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 52/469 Решаемые задачи с точки зрения разных целевых аудиторий • Автоматизация управления политиками безопасности • Снижение затрат на разработку, распределение и контроль политик безопасности • Контроль действий аутсорсера ИБ/ИТ Управление предприятием • Снижение затрат на управление средствами защиты и сетевым оборудованием • Снижение TCO, CapEx и OpEx Финансы / Бухгалтерия • Снижение операционных рисков Внутренний контроль или управление рисками
  53. 53. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 53/469 Решаемые задачи с точки зрения разных целевых аудиторий •  Выполнение требований стандарта Банка России СТО БР ИББС (для финансовых организаций) •  Выполнение требований PCI DSS •  Выполнение требований ФСТЭК •  Контроль соответствия требованиям различных нормативных актов (COBIT, ITIL и т.п.) Юридическая служба
  54. 54. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 54/469 Как оценить средство аудита сети с точки зрения ИТ/ИБ? §  Число авторизованных изменений в неделю §  Число актуальных изменений, сделанных за неделю §  Число несанкционированных изменений, сделанных в обход утвержденного процесса внесений изменений (в среднем - 30-50%; у лидеров - менее 1% от общего числа изменений) §  Показатель (коэффициент) неудачных изменений, вычисляемый как отношение несанкционированных изменений к актуальным §  Число срочных изменений §  Процент времени, затрачиваемого на незапланированную работу (в среднем - 35-45%; у лидеров - менее 5% от общего числа изменений) §  Число необъяснимых изменений (вообще, это основной индикатор уровня проблем в данной сфере)
  55. 55. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 55/469 А как оценить отдачу? §  Основная выгода – экономия времени! Время – деньги! Ручной аудит •  MTTR из-за ошибки конфигурации: 150 минут •  Простои & инциденты из-за ошибок в «ручных» конфигурациях: 80% •  Среднее время обнаружения уязвимости: 2 недель •  Настройка нового устройства: 6 часов •  Изменений в час: 20 Автоматизированный аудит •  MTTR из-за ошибки конфигурации: 15 минут (10х) •  Простои & инциденты из-за ошибок в «ручных» конфигурациях: 20% •  Среднее время обнаружения уязвимости: Менее 2 минут (10080х) •  Настройка нового устройства: 20 минут (18х) •  Изменений в час: 5,000
  56. 56. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 56/469 Проект по ПДн: запускать или нет? Вот в чем вопрос! Что получаем? Что тратим? Консалтинг Реализация Поддержка Законопослушные Защита от штрафов
  57. 57. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 57/469 Стоимость 1-го этапа проекта по ПДн Интегратор 1 Интегратор 2 Интегратор 3 Интегратор 4 $55600 $30390 $123438 $31000 §  Особенности Сбор информации о ПДн – около $5K (min – 1.5K, max – 11K) Категорирование ПДн – min – 0.5K, max – 5K Сбор информации о защите – около $6K (min – 2K) Классификация ИСПДн – min – 0.5K, max – 9K Разработка модели угроз – min – 0.5K, max – 23K Разработка ТЗ - min – 1K, max – 9K Техпроект СЗПДн – min – 25K, max – 50K Подготовка к лицензированию – 3К Сопровождение в процессе лицензирования – 14К
  58. 58. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 58/469 Стоимость 2-го этапа (худший сценарий) §  Аттестация одного АРМ – 10-15К рублей §  Стоимость сертифицированной СЗИ – +10-15% к стоимости несертифицированного решения §  Обучение с выдачей документа гособразца – 50К рублей (за двоих) §  Адекватная защита АРМ – около 200-400 долларов §  Защита периметра – 5-10К долларов Очень экономно и оптимистично §  Защита сервера – около 800-1000 долларов
  59. 59. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 59/469 Редкооцениваемые затраты §  Получение согласий от всех субъектов ПДн §  Переделка договоров, форм анкет, форм на сайте §  Уведомление субъектов ПДн о фактах обработки их ПДн §  Уведомление субъектов ПДн об устранении нарушений, связанных с их ПДн §  Затраты на управление инцидентами, связанными с утечками ПДн Готовится законопроект об обязательном уведомлении об утечках
  60. 60. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 60/469 От чего защищаемся? № Название статьи Максимальное наказание 13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных) 10.000 руб. 13.14 Разглашение информации с ограниченным доступом 5.000 руб. 13.12 Нарушение правил защиты информации 20.000 руб. + конфискация + приостановление деятельности на срок до 90 суток 13.13 Незаконная деятельность в области защиты информации 20.000 руб. + конфискация
  61. 61. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 61/469 От чего защищаемся? № Название статьи Максимальное наказание 5.27 Нарушение законодательства о труде и об охране труда 50.000 руб. + приостановление деятельности на срок до 90 суток + дисквалификация должностного лица до 3-х лет 5.39 Отказ в предоставлении гражданину информации 1.000 руб. 19.4 Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль) 10.000 руб.
  62. 62. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 62/469 От чего защищаемся? № Название статьи Максимальное наказание 19.6 Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения 500 руб. 19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль) 500.000 руб. + дисквалификация должностного лица до 3-х лет 19.7 Непредставление сведений (информации) 5.000 руб. 19.20 Осуществление деятельности, не связанной с извлечением прибыли, без специального разрешения (лицензии) 20.000 руб. + приостановление деятельности на срок до 90 суток
  63. 63. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 63/469 От чего защищаемся? № Название статьи Максимальное наказание 20.25 Неуплата административного штрафа либо самовольное оставление места отбывания административного ареста Двукратное увеличение штрафа §  Уголовное и дисциплинарное наказание не применяется А если да, то не к компании, а к ее работникам §  На репутацию эти штрафы и утечки влияют слабо §  Вопрос влияния инцидентов с ПДн на лояльность клиентов в России не изучен Но вероятность влияния не высока
  64. 64. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 64/469 Число протоколов также растет
  65. 65. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 65/469 Суммы штрафов пока незначительны
  66. 66. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 66/469 Но это не все – надо учитывать и будущие изменения 10.000 руб. 1.000.000 руб. 2% от дохода Выручка за год 300.000 руб. §  Новые составы правонарушений §  Увеличение суммы штрафа §  Кумулятивное наказание §  Бесконтрольное проведение проверок
  67. 67. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 67/469 Не забывайте: не ЧТО, а ЗАЧЕМ!
  68. 68. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 68/469 Пример: повышение осведомленности §  Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в должностные обязанности темы ИБ §  Метрики Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)? Сколько инцидентов ИБ связано с человеческим фактором? Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ - аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)? Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?
  69. 69. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 69/469 Пример: повышение осведомленности §  Метрики Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)? Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)? Сколько пользователей открывают письмо от незнакомца? Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).
  70. 70. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 70/469 Пример: повышение осведомленности §  Метрики Сколько прошло времени с последнего тренинга/онлайн- курса, который посетил сотрудник. Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности. Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности? В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная - никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.
  71. 71. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 71/469 Пример: повышение осведомленности §  Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в должностные обязанности темы ИБ Это ответ на вопрос: «ЧТО мы хотим сделать?», но не «ЗАЧЕМ мы хотим это сделать?» §  ЗАЧЕМ необходимо ежегодное прохождение сотрудниками тренинга по ИБ? Чтобы было меньше инцидентов? è Считайте отдачу за счет снижения ущерба от инцидентов! Чтобы выполнить требования регуляторов? è Считайте штрафы от невыполнения требований!
  72. 72. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 72/469 А может привязаться к размеру потерь? Да! Продуктивность •  Простои •  Ухудшение психологического климата Реагирование •  Расследование инцидента •  PR-активность •  Служба поддержки Замена •  Замена оборудования •  Повторный ввод информации Штрафы •  Судебные издержки, досудебное урегулирование •  Приостановление деятельности Конкуренты •  Ноу-хау, государственная, коммерческая тайна •  Отток клиентов, обгон со стороны конкурента Репутация •  Гудвил •  Снижение капитализации, курса акций Другое •  Снижение рейтинга •  Снижение рентабельности
  73. 73. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 73/469 Не забываем про декомпозицию! Цена взлома медицинской системы Пример США! В РФ часть потерь будет отсутствовать или незначительна
  74. 74. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 74/469 Все ли так просто или есть подводные камни? §  Универсального метода финансовой оценки ИБ не существует Возможность применения различных финансовых методик зависит от знаний и опыта как стороны демонстрирующей оценку (служба ИБ), так и стороны, которой демонстрируют
  75. 75. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 75/469 Оцениваете не только вы, но и вас! §  Финансовая оценка ИБ нужна только в том случае, если бизнес вообще готов разговаривать в этом разрезе Учитывая скепсис к финансовой оценке эффективности ИТ/ ИБ, это происходит не всегда §  Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security §  В таких случаях оценка финансовой отдачи от продуктов/проектов ИБ – просто интересная задача, не имеющая ничего общего с реальностью конкретной организации
  76. 76. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 76/469 Если вас готовы слушать, то готовы ли вы говорить на языке денег? §  Это возможно, но только при условии выхода на бизнес-уровень, где вы можете посчитать отдачу! §  Если бизнес готов разговаривать, то его обычно интересуют некие граничные цифры, после превышения которых бизнес готов обращать на безопасность хоть какое-то внимание При этом бизнес должен быть согласен с оценкой, т.к. его больше интересует реальность, а не математическая точность
  77. 77. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 77/469 Безопасники не всегда готовы L §  Все финансовые методы (традиционные и «новые») требуют для расчета исходные данные, обычно отсутствующие у служб информационной безопасности Нет, потому что мы не знаем, где их взять Нет, потому что не дают Нет, потому что у нас нет квалификации для измерений Нет, потому что мы не верим в эффективность этих методов Нет, потому что мы боимся соваться в финансы Нет, потому что нет гарантии, что нам поверят Нет, потому что нам не верят Нет, потому что мы забыли математику Нет, потому что нет
  78. 78. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 78/469 Стоимость женских духов и экономика ИБ: что общего? §  Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше
  79. 79. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 79/469 Зарубежные ROI Calculator © 2005 Cisco Systems, Inc. All rights reserved.
  80. 80. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 80/469 Если вы готовы, то §  Помните про конкретные цели ИБ §  Помните про вопрос «ЗАЧЕМ?», а не только «ЧТО?» §  Помните про декомпозицию Целей, выгод и потерь §  Помните про целевую аудиторию, которой вы будете демонстрировать отдачу §  Примените универсальный способ оценки отдачи Несмотря на то, что его все равно не существует J
  81. 81. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 81/469 Универсальный метод •  Описание условий реализации инициативы (внутренней и внешней среды)Где •  Описание самой инициативы Что •  Оценка операционных и экономических эффектов от нормальной реализации инициативыДля чего •  Цепочка объясняющих причинно-следственных связей между инициативой и ожидаемыми эффектамиПочему •  Алгоритм действий по выявлению и оценке ожидаемых эффектов, который предполагается тем или иным методомКак •  Ключевые участники инициативы и распределение между ними ответственности за получением ожидаемых эффектовКто
  82. 82. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 82/469 Оценка отдачи может потребовать знания математики и финансов §  Линейный и регрессионный анализ §  Метод Монте-Карло §  Теория игр (дилемма заключенного) Когда злоумышленник сменит цель X на цель Y? Пример: почему MacOS атакуют меньше чем Windows Чтобы злоумышленники заинтересовались MacOS и стали заниматься монетизацией вредоносного ПО для нее, ее популярность должна превысить порог в 12-16% (он был превышен в 2010-м году). Поэтому сейчас мы видим такой рост интереса к вредоносному ПО для MacOS Защита А Защита Б Атака А (1- - p)fv fv Атака Б (1 – f)v (1 – p)(1 – f)v
  83. 83. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 83/469 Классические финансовые модели лежат в основе всех сложных методов §  Net Present Value (NPV) Какова ценность вкладываемых финансовых ресурсов для проекта при определенной ставке дисконтирования? §  Internal Rate of Return (IRR) Какова ставка дисконтирования, при которой проект еще имеет смысл? §  Return on Investment (ROI) Что мы потеряем и что получим от внедрения проекта? §  Playback Period (PbP) Когда вернутся инвестиции?
  84. 84. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 84/469 «Новые» финансовые методы §  «Инвестиционные» Total Value of Opportunity (TVO) Total Economic Impact (TEI) Rapid Economic Justification (REJ) §  «Затратные» Economic Value Added (EVA) Economic Value Sourced (EVS) Total Cost of Ownership (TCO) Annual Lost Expectancy (ALE) §  «Контекстуальные» Balanced Scorecard Customer Index Information Economics (IE) IT Scorecard §  «Количественные вероятностные» Real Options Valuation iValue Applied Information Economics (AIE) COCOMO II and Security Extensions
  85. 85. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 85/469 Только один пример: TEI от Forrester §  Закрытая методика, разработанная компанией Giga Group, купленной Forrester Требует участия экспертов Forrester §  Оценивает эффективность по трем критериям Гибкость Стоимость Преимущества §  Использует другие методики (ROV, ROI и т.п.)
  86. 86. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 86/469 Описание метода TEI §  TEI, базирующийся на экспертной оценке, делит эффекты на краткосрочные прямые и долгосрочные непрямые §  Краткосрочные TCO Прямой эффект от использования бизнесом §  Непрямые Через дополнительные возможности, которые открываются у бизнеса в связи с использованием данного ИБ-решения
  87. 87. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 87/469 Алгоритм метода §  Описание инициативы Ориентированы на «среднее» по отрасли предприятие §  Определение горизонта оценки Включая ставку дисконтирования риска §  Оценка TCO §  Оценка краткосрочного эффекта §  Оценка будущих возможных эффектов §  Оценка рисков реализации инициативы
  88. 88. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 88/469 TEI of Cisco Borderless Networks Study §  Базируется на методологии Forrester Total Economic Impact (TEI) §  Интервью 13 заказчиков §  Опубликованное исследование ROI базируется на организации в США с 5,000 сотрудниками §  Трехлетний расчет преимуществ и затрат
  89. 89. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 89/469 TEI of Cisco ISE и Secure DC
  90. 90. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 90/469 BN Business Benefits Calculator 1.0 §  Разработан Forrester Research §  Базируется на методологии Forrester Total Economic Impact (TEI) §  Данные базируются на: Интервью с заказчиками Отчетами заказчиков Исследованиями аналитиков §  Аудитория IT Director/Sr. Managers Business Decision Makers
  91. 91. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 91/469 Applied Information Economics §  Applied Information Economics от Hubbard Decision Research Опирается на множество дисциплин (экономика, поведенческая психология, теория принятия решений, теория игр, анализ рисков и т.п.) Опирается на понятие неопределенности возврата инвестиций и позволяет спрогнозировать различные сценарии инвестирования Базируется на методе Монте- Карло
  92. 92. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 92/469 Метод Монте-Карло §  Метод Монте-Карло появился в конце 1940-х годов для задач, в которых необходимо было оценивать вероятность успешного исхода того или иного события, не комбинаторикой, а просто большим (или очень большим) количеством экспериментов, которые и позволяют, подсчитав удачное число исходов опытов, оценить вероятность успеха §  Метод Монте-Карло не дает вам 100%-ую точность Есть ряд задач, и оценка позитивного ROI относится к ним, когда их сложность, т.е. число измерений, которые надо осуществить, чтобы получить точный ответ, может расти экспоненциально В таких случаях можно пожертвовать точностью и найти менее точный ответ, но все равно дающий точность выше 50%
  93. 93. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 93/469 Метод Монте-Карло §  В AIE, как и в других методах, используется понятие выгод и затрат от проекта по ИБ Точных цифр мы не знаем и можем только гадать о том, что скрывается за этими неопределенными переменными Поэтому мы подставляем под эти переменные интервалы возможных значений и моделируем сотни или тысячи возможных сценариев §  Результатом станет набор различных сценариев с различными результатами от реализации оцениваемого проекта
  94. 94. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 94/469 Метод Монте-Карло §  Например, может оказаться так, что В 15% случаев проект будет убыточен В 54% - доходен В 1.6% вообще может привести к краху предприятия (под крахом подразумевается убыток в сумме равной обороту всего предприятия) §  Дальше остается только принимать решение, но принимать уже основываясь на математически выверенных результатах, а не на экспертной оценке
  95. 95. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 95/469 Иногда, чем проще, тем лучше: проект по Identity Management §  Задача: оценить отдачу от проекта по внедрению единой системы управления идентификаций, аутентификацией и авторизацией С точки зрения ИБ и обычные пароли эффективны §  Вспоминаем про декомпозицию Создание ID, вход в приложения, неудачные входы, звонки в Help Desk, обслуживание пользователей… §  Исходные данные: Число пользователей – 120000 Ежегодная ротация кадров – 15% Среднее число ID/паролей – 5 Число рабочих часов в день – 8 Число рабочих дней в год - 260
  96. 96. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 96/469 Первая фаза расчета – установка ID §  Ежегодное число новых пользователей – 18000 (120000*15%) §  Необходимо поддерживать 90000 новых ID/паролей (5*18000) §  Создание нового ID/пароля – в среднем 120 секунд (анализ заявки, создание и настройка учетной записи) §  Всего на администрирование новых пользователей уходит 3000 часов (~2 человека при полной нагрузке)
  97. 97. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 97/469 Вторая фаза расчета – рутина §  В среднем 20 входов в систему/приложения ежедневно (из-за истекшего таймаута, смены приложения и т.д.) §  Среднее время регистрации – 15 секунд §  Ежедневно тратится 10000 ресурсо-часов на регистрацию §  Ежегодно тратится 2200000 ресурсо-часов на регистрацию в разные системы и приложения
  98. 98. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 98/469 Третья фаза расчета – проблемы §  В среднем 1% всех попыток регистрации заканчивается неудачно §  Повторная регистрация разрешается через 60 секунд §  Общее время на повторную регистрацию в год составляет 88000 часов
  99. 99. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 99/469 Четвертая фаза расчета – поддержка §  В среднем после 3-х неудачных попыток входа в систему учетная запись блокируется §  После 2-х неудачных попыток входа рекомендуется позвонить в службу поддержки §  2400 звонков ежедневно в службу поддержки по факту 2-х неудачных попыток входа в систему §  SLA = 4 часа на обработку одного инцидента §  18000 пользователей ждут максимум по 4 часа – 72000 часа потери времени (продуктивности) §  2400 звонка максимум по 4 часа – 9600 часов в день или 2112000 ресурсо-часов в год
  100. 100. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 100/469 Итого §  Время затраченное на администрирование новых ID/паролей, ежедневную регистрацию и повторные ввод ID/пароля составляет 2291000 часов в год… что составляет 1% всего рабочего времени компании §  Еще 2184000 ресурсо-часов в год на поддержку неудачных попыток входа… что также больше 1% всего рабочего времени компании §  Итого – 4475000 ресурсо-часов или больше 2% всего рабочего времени компании в год - только на одну задачу – управление Identity Умножьте это на свои доходы!
  101. 101. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 101/469 General Motors: реальный пример §  Предоставление доступа в среднем через 7 дней после заявки §  Синхронизация паролей и ID в разных системах – 3 дня §  50% запросов требует контактов с пользователем §  «Разруливание» проблем с доступом – 10 дней §  Конфликт между ID может приводить к задержкам в работе до 90 дней
  102. 102. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 102/469 General Motors: реальный пример §  Обработка 6600 проблем с доступом – потеря продуктивности – 3,000,000 долларов §  Восстановление доступа для 56000 учетных записей – потеря продуктивности – 18,200,000 долларов §  2500 сотрудников (учетных записей) уволено – затраты на удаление – 162,500 долларов §  Прямой ущерб – 1,200,000 долларов
  103. 103. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 103/469 Другие примеры §  Нередко бывает необходимо сравнить два и более средств защиты оценить эффективность конкретного средства защиты §  Поэтому очень часто необходимо оценивать конкретные продукты Абстрактная оценка не срабатывает При расчете эффективности с участием конкретного продукта необходимо учитывать TCO, а не только стоимость лицензии §  При финансовой оценке всегда необходимы исходные данные, которые находятся за пределами службы ИБ
  104. 104. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 104/469 Удаленный защищенный доступ Снижение арендной ставки §  Решение Cisco Virtual Office (CVO) à перевод сотрудников на дом à уменьшение арендуемых площадей à снижение арендной платы Офис (класс А) Стоимость м2 в год* Итого** Башня Федерация 850$ 1700$ Александр Хаус 800€ 1600€ 8 марта, 14 570$ 1140$ Daev Plaza 1300$ 2600$ GreenWood 290$ 580$ * + стоимость стоянки $150-250 в месяц ** Из расчета 2 м2 на сотрудника Элемент CVO Цена Cisco 861 449$ IP Phone 7911G* 225$ Cisco Security Manager** 300$ * Опционально ** В пересчете на одно место *** Дополнительно требуется ACS и HeadEnd VPN для HQ Без оценки вопросов compliance и применения сертифицированных СКЗИ
  105. 105. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 105/469 Удаленный защищенный доступ Дополнительные выгоды §  Дополнительная экономия на: Питании сотрудников Оплате проездных (если применимо) Оплате канцтоваров Оплате коммунальных расходов §  А также Улучшение психологического климата за счет работы дома Рост продуктивности на 10-40%
  106. 106. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 106/469 Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям Аэропорт WAN/Internet SiSi SiSi Отель Предприятие Дорога Кафе Главный офис HQ Филиал Дом Рост продуктивности §  Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…) §  Сотрудник в среднем тратит только 30–40% времени в офисе 100 сотрудников 500 сотрудников 1000 сотрудников Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К
  107. 107. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 107/469 Рост продуктивности Откуда берется 1 час потери продуктивности? §  Рабочий день мужчины в России – 8 часов 14 минут Переработка на 14 минут §  Рабочий день мужчины в Москве – 5 часов 33 минуты Потери 2,5 часов ежедневно (!) – преимущественно пробки §  Рабочий день женщины в России – 5 часов 44 минуты Потери 2 часов 16 минут ежедневно §  Рабочий день женщины в Москве – 5 часов 23 минуты Потери 2 часов 37 минут ежедневно Источник: Росстат, 06.06.2011
  108. 108. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 108/469 Система контроля доступа Масштаб имеет значение Статья экономии Человека/ часов Цена* Идентификация несоответствующих компьютеров 1.0 $12.00 Определение местоположения несоответствующих компьютеров 1.0 $12.00 Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер (в год) $48.00 Потенциально сэкономленный затраты на 1 компьютер (за 3 года) $144 * из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться от $1000 до $4000 Элемент решения Цена Cisco ISE Appliance 3315 Server (100 users) / 3Y $15490 Cisco ISE Appliance 3315 Server (500 users) / 3Y $36490 (~2x) Cisco ISE Appliance 3315 Server (1000 users) / 3Y $62990 (~2,5x)
  109. 109. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 109/469 Экономически целесообразен ли антиспам? §  Исходные данные: Число сотрудников (почтовых ящиков) – 7000 Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) Объем спама – 60% (42000 сообщений) Время обработки одного спам-сообщения сотрудником – 10 сек Суммарные дневные затраты на спам – 14,583 человеко-дня Средняя зарплата сотрудника – $1500 §  Потери компании В день – $994,29 В месяц – $21784,5 В год – $248573,86 §  Выгоден ли антиспам в данной ситуации? Да, как и всегда в крупных организациях
  110. 110. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 110/469 Контроль доступа в Интернет §  Оценка экономической эффективности проекта по контролю доступа в Интернет на базе Cisco Web Security §  Исходные данные 1,5 часа в день на «одноклассниках» или в «вконтакте» 200 сотрудников 6600 часов экономии – 825 чел/дней §  Потери $18750 в месяц (при зарплате $500) §  Ежегодные потери $225000 §  Стоимость Cisco Web Security Appliance (S160) - $15060 ($27100 на 3 года) Включая Web Usage Control, Web Reputation, Anti-Malware
  111. 111. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 111/469 Мы посчитали отдачу: что дальше? §  Демонстрация отдачи для бизнеса и ее использование – это разные вещи §  Снижение арендной платы à уменьшение арендуемых площадей à перевод сотрудников на дом à решение по защищенному удаленному доступу §  Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров §  Принятие решения о переводе принимает менеджмент Надо не только предлагать решение, но и продвигать его
  112. 112. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 112/469 Прямая и косвенная отдача Статья экономии Человека/часов Цена* Идентификация несоответствующих компьютеров 1.0 $12.00 Определение местоположения несоответствующих компьютеров 1.0 $12.00 Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер $48.00 §  ИБ дала возможность сэкономить, но… §  …воспользовался ли бизнес этой возможностью?
  113. 113. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 113/469 Прогресс и изменения §  Все жаждут прогресса, но никто не хочет изменений §  Люди инертны Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и т.д.) Ленивы и не будут упорно трудиться ради изменений Людей устраивает средний результат. Это зона комфорта. Best Practices никому не нужны (как и мировые рекорды) Люди считают свои решения лучшими §  Чтобы пересмотреть точку зрения, человека надо долго переубеждать или показать воочию §  Изменения происходят не вдруг – имейте терпение
  114. 114. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 114/469 Отложенность возврата инвестиций – тоже проблема §  В области ИБ никто не проводил таких исследований, а в области ИТ отмечается существенный временной лаг между инвестициями в ИТ и эффектами от них Лаг достигает 4-5 лет Лаг связан с длительностью изменений, связанных с адаптацией организации к новым ИТ и более полным использованием их возможностей Долгосрочные эффекты от инвестиций в ИТ намного, в 2,5-3 раза, превышают краткосрочные В ИБ, вероятнее всего, сохраняются (в лучшем случае) те же показатели
  115. 115. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 115/469 Новый взгляд на измерение отдачи в безопасность
  116. 116. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 116/469 Вопросы? Дополнительные вопросы Вы можете задать по электронной почте security-request@cisco.com или по телефону: +7 495 961-1410
  117. 117. © 2008 Cisco Systems, Inc. All rights reserved.Security Training 117/469

×