Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Финансовое обоснование инвестиций в ИБ банка

5,200 views

Published on

Описание нескольких кейсов, в которых возможно продемонстрировать обоснование финансовых инвестиций в ИБ на примере типичных банковских процессов - кредитование, повышение продуктивности, удержание персонала, private banking, борьба с криптолокерами, отражение DDoS и т.п.

Published in: Economy & Finance
  • Login to see the comments

Финансовое обоснование инвестиций в ИБ банка

  1. 1. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1 Финансовое обоснование инвестиций в информационную безопасность банка Алексей Лукацкий Бизнес-консультант по безопасности alukatsk@cisco.com
  2. 2. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 2 Центр  обработки  данных Центральный  офис  банка Контакт-­центры/экспертные   центры Интернет-­банк Филиал  и  допофисы Обычно на банк мы смотрим не с той точки зрения
  3. 3. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 3 «Простота» использования драйверов «продажи» ИБ • Самый  простой  способ  «продажи»  ИБ • Можно  вообще  не  знать  особенностей  и  потребность  заказчика  и  позицию   руководстваCompliance • Самый  первый  и  самый  привычный  способ  «продажи»  ИБ • Срабатывает,  если  угроза  имела  место  в  недавнем  прошлом • Требует  хорошего  контакта  с  заказчиком/руководством Страх • Новый  и  пока  еще  редкий  способ  «продажи»  ИБ • Требует  серьезного  знания  бизнеса  заказчика • Требует  выхода  на  уровень  бизнеса • Не  реплицируется  – каждое  обоснование  уникально • Обоснование  может  показать,  что  ИБ  невыгодна  или  не  нужна  заказчику! Экономика
  4. 4. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 4
  5. 5. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 5 Как руководство банка видит ИБ? Фонд  оплаты  труда Аренда  помещений Оборудование Программное   обеспечение Бухгалтерское  ведение АХО Консалтинг Х    ХХХ  ХХХ  р. ХХХ  ХХХ  р. Х  ХХХ  ХХХ  р. Х  ХХХ  ХХХ  р. ХХ  ХХ  р. ХХ  ХХ  р. Х  ХХХ  ХХХ  р. 0  р. 0  р. 0  р. 0  р. 0  р. 0  р. Стало  безопаснее  чем   вчера Выполнили  382-­П Внедрили  PCI  DSS Снижены  риски Сохранена  банковская   тайна Нашли  5  APT и  3-­х   инсайдеров ПРИБЫЛИ      (  PROFIT  ) &                                ( LOSS )      УБЫТКИ
  6. 6. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 6 Что с расходами? Оценка  экономической  эффективности  информационной  безопасности 6 70% 30% стоимость   внедрения стоимость   проекта -­ лицензии -­ оборудование -­ услуги  интегратора -­ ФОТ  сотрудников  на   время  внедрения -­ Тех.поддержка на  3  года -­ Модернизация  оборудования -­ услуги  интегратора  по  допиливанию -­ ФОТ  сотрудников  на  время   использования -­ смена  версии -­ услуги  интегратора  по  допиливанию новой  версии -­ …
  7. 7. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 7 Расходы считать просто. Что с доходами / выгодами? § Получение  новых  доходов § Снижение/оптимизация     расходов/потерь § Снижение  времени § Снижение  (высвобождение)   числа  людей § Добавление  новых  качеств § Не  во  всех  компаниях  это   выгоды! Поймите, что считается выгодой именно у вас
  8. 8. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 8 Куда мы вкладываем деньги? Продукт  ИБ • Зачем  нам   конкретный   продукт? • Какую   задачу  он   решает? Проект  ИБ • Зачем  нам   этот  проект   ИБ? • Какую   задачу  он   решает? Проект  ИТ • Зачем  нам   этот  проект   ИТ? • Какую   задачу  он   решает? Бизнес-­ проект • Зачем  нам   этот  бизнес-­ проект? • Какую   задачу  он   решает? § Мы  вообще  понимаем,  ДЛЯ  ЧЕГО  нам  ИБ? § Варианты  «так  принято»  и  «чтобы  было  безопасно»  не  подходят! Вариант  «так  требуют  регуляторы»  возможен  J но  с  оговорками
  9. 9. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 9 Вы знаете, чем занимается банк?
  10. 10. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 10 Возьмем для примера процесс кредитования
  11. 11. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 11 Детализация процесса кредитования
  12. 12. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 12 Элементы процесса кредитования § Типичный  подход  безопасника Защитить персональные данные заемщика Проверить на вирусы анкеты заемщика, получаемые по e-mail § Все  это  бизнесу  неинтересно  L § Бизнес  интересует  выгоды  и   убытки § Мы  должны  понимать  бизнес-­ процесс,  его  составные  части  и   статьи  доходов/расходов
  13. 13. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 13 Кредитование с точки зрения ИБ-финансов Регистрация  заявки  заемщика • Ключевой показатель  процесса  – время  регистрации • Что  может  помешать  процессу – недоступность  сайта  банка • К  чему  это  приведет  -­ к  потере   клиента,  то  есть  к  потере  денег • Знаем  ли  мы,  сколько  нам  денег   приносит  средний  клиент  -­ да! • Что  надо  сделать  – обеспечить   доступность  сайта  и  проверку   корректности  заполнения  полей  Web-­ анкеты Проверка  достоверности  информации   о  заемщике • Ключевой  показатель  процесса  – время  проверки  информации • Как можно  ускорить  процесс   проверки  – применить  средства   анализа  социальных  сетей • К  чему  это  приведет  – к  снижению   времени  на  проверку  заемщика,   росту  его  лояльности  и  увеличению   числа  проверяемых  заемщиков,  что   может привести  к  росту  числа   клиентов  и  денег  от  них • Что  надо  делать  – внедрить  средство   автоматизации  анализа  соцсетей
  14. 14. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 14 Разные бизнес-процессы банка с точки зрения ИБ-финансов Private  Banking • Особенности  процесса  – процентные  ставки  и  условия   обслуживания  определяются   банками  индивидуально  для   каждого  клиента • Что  может  помешать  процессу  – раскрытие  информации  широкому   кругу  лиц • К  чему  это  приведет  -­ к  потере   клиента,  то  есть  к  потере  денег • Что  надо  сделать  – защитить   информацию  о  VIP-­клиентах Управление финансами • Финансовый  директор  имеет потребность  в  оптимизации   финансовых  затрат   (предсказуемость  финансовых   потоков,  кредит/рассрочка,   снижение  налогов  на  прибыль  и   имущество,  ускоренная   амортизация  и  т.п.) • Что  надо  сделать  -­ предложить   финансовые  услуги  (кредит,  лизинг,   рассрочка)  или  новые  виды   сервисов  ИБ  (аутсорсинг,  ИБ  из   облака  и  т.п.)
  15. 15. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 15 Разные бизнес-процессы банка с точки зрения ИБ-финансов Удержание  персонала • При удержании  персонала  важно   своевременно  узнать  о  желании   сотрудника  уйти • К  чему  это  приведет  – к  простою  вакансии   и  недополученной  прибыли  (поиск  и   удержание  персонала  -­ 4:1) • Что  надо  сделать  – мониторить e-­mail в   части  рассылки  резюме  и  получения  job   offer,  а  также  мониторить доступ  к  сайтам   для  поиска  работы   ДБО • Некорректная  реализация  сервиса  ДБО   может  привести  к  хищениям  средств  со   счетов  клиентов • К  чему  это  может  привести  – не  только  к   необходимости  возмещения  средств   клиентам  (не  всегда  и  необязательно),   сколько  к  снижению  лояльности  клиентов   и  их  оттоку • Число  ушедших  клиентов  и  причины  их   ухода  можно  легко  узнать  в  департаменте   работы  с  физлицами  (юрлицами),  как  и   «стоимость»  одного  клиента • Что  надо  делать  -­ внедрять  систему   защиты  ДБО
  16. 16. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 16 ИТ-задачи с точки зрения ИБ-финансов Гостевой  Wi-­Fi-­доступ • Необходимо  предоставить  гостевой  Wi-­Fi доступ  для  клиентов  (в  т.ч.  и  VIP)  банка  на   время  нахождения  в  очереди  или  при   ожидании  оформления  договора • К  чему  это  приводит  – к  росту  лояльности   клиентов,  отслеживаниюих  поведения  и   предложения  персонализированных  услуг • Что  требуется  для  предоставления   гостевого  доступа  – отвлечение   сотрудников  ИТ  на  создание,  ведение  и   удаление  временной  учетной  записи • Что  надо  делать  – внедрять  средство   обеспечения  гостевого  доступа Стандартизация  ИТ-­платформы • Необходимо  защититься  от  установки   неразрешенного  ПО и  подключения  к   банковской  сети  неразрешенных   устройств • К  чему  это  приводит  – к  поиску   несоответствующих  ИТ-­политикам   устройств,  заражению  банковской  сети  с   несоответствующих  политике  устройств  и   т.п. • Что  надо  делать  – внедрять  средство   контроля  сетевого  доступа  и   анализа/профилирования  сетевого   трафика  (NGFW/AVC)
  17. 17. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 17 ИБ-задачи с точки зрения ИБ-финансов Борьба  с  криптолокерами • Чем  характеризуется  криптолокер – шифрованием  диска  и   вымогательством  денег • К  чему  приводит  шифрование   диска  – к  потере  доступа  к  файлам   и  простою  (компьютера,   сотрудника,  процесса),  что   приводит  к  потере  денег • Что  надо  делать  – внедрять   средство  защиты  от  вредоносного   кода Борьба  с  вирусными  эпидемиями • Чем  характеризуется  эпидемия  – необходимость  лечить  и   восстанавливать   работоспособность  большого   количества  пострадавших  ПК • К  чему  это  приводит  – к  затратам   на  процесс  локализации   пострадавших,  их  лечению  и   восстановлению  в  предатакованное состояние • Что  надо  делать  – внедрять   средство  защиты  от  вредоносного   кода
  18. 18. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 18 Иные задачи с точки зрения ИБ-финансов Борьба  с  DDoS • Чем  характеризуется  DDoS  – простоем  сайта  банка  или   Интернет-­банка • К  чему  приводит  простой  сайта  – к   снижению  лояльности  клиентов  и   уменьшению  числа  операций,  что   приводит  к  потере  денег • Что  надо  делать  – внедрять   средство  или  сервис  отражения   DDoS-­атак Рост  продуктивности  сотрудников • Что снижает  продуктивность   работников  – спам  и   бессмысленный  Интернет-­серфинг • К  чему  это  приводит  – к  временным   затратам  на  чтение  спама  и   посещение  ненужных  для  работы   сайтов,  что  в  свою  очередь   выливается  в  недополученную   прибыль • Что  надо  делать  – внедрять   средство  защиты  от  спама  и   контроля  доступа  в  Интернет
  19. 19. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 19 Борьба со снижением простоев – самый простой способ перевести ИБ в деньги § Простои  могут  быть У сотрудника У узла У процесса У приложения … § Простой  всегда  выражается  в  деньгах! Криптолокеры, эпидемии, DDoS, спам, ненужные для работы сайта, отсутствие SSO и т.п. Простой приводит к замедлению оформления кредитных договоров, замедлению осуществления транзакций, что приводит к снижениюих числа и потерям денег § Снижение  времени  простоя  (обеспечение  доступности)  должна  является   одной  из  основных  целей  ИБ,  т.к.  она  понятна  бизнесу  лучше   конфиденциальности  и  целостности  информации
  20. 20. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 20 Жизненный цикл сбоя (простоя) RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime § Степень  влияния  и  составляющие  цены  «сбоя»  меняется  с  течением   времени Эта иллюстрация может использоваться при оценке времени восстановления после атаки
  21. 21. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 21 Исходные данные для расчета цены простоя § Время  простоя  вследствие  атаки § Время  восстановления  после  атаки § Время  повторного  ввода  потерянной  информации § Зарплата  обслуживающего  персонала § Зарплата  сотрудников  атакованного  узла  или  сегмента § Численность  обслуживающего  персонала § Численность  сотрудников  атакованного  узла/сегмента § Объем  продаж,  выполненных  с  помощью  атакованного  узла  или  сегмента § Стоимость  замены  оборудования  или  запасных  частей
  22. 22. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 22 Откуда брать исходные данные?! § Все  финансовые  методы  (традиционные  и  «новые»)  требуют  для  расчета   исходные  данные,  обычно  отсутствующие  у  служб  информационной   безопасности Нет, потому что мы не знаем, где их взять Нет, потому что не дают Нет, потому что у нас нет квалификации для измерений Нет, потому что мы не верим в эффективность этих методов Нет, потому что мы боимся соваться в финансы Нет, потому что нет гарантии, что нам поверят Нет, потому что нам не верят Нет, потому что мы забыли математику Нет, потому что нет § Очень  важно  быть  облеченным  доверием  со  стороны  руководства
  23. 23. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 23 Если вы готовы, то § Поймите  ваш  бизнес  (на  чем  он  зарабатывает  деньги) § При  финансовой  оценке  вопрос  «ЗАЧЕМ  что-­то  надо  делать?»  гораздо   важнее  вопроса  «ЧТО  надо  делать?» § Помните  про  декомпозицию Целей, процессов, выгод и потерь § Помните  про  целевую  аудиторию,  которой  вы  будете  демонстрировать  отдачу
  24. 24. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 24 Из чего должен состоять бизнес-кейс • Описание  условий  реализации  инициативы  (внутренней  и   внешней  среды)Где • Описание  самой  инициативыЧто • Оценка  операционных  и  экономических  эффектов  от   нормальной  реализации  инициативыДля  чего • Цепочка  объясняющих  причинно-­следственных  связей   между  инициативой  и  ожидаемыми  эффектамиПочему • Алгоритм  действий  по  выявлению  и  оценке  ожидаемых   эффектов,  который  предполагается  тем  или  иным  методомКак • Ключевые  участники  инициативы  и  распределение  между   ними  ответственности  за  получением  ожидаемых  эффектов  Кто
  25. 25. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 25 Пишите  на  security-­request@cisco.com Быть  в  курсе  всех  последних  новостей  вам  помогут: Где вы можете узнать больше? http://www.facebook.com/CiscoRu http://twitter.com/CiscoRussia http://www.youtube.com/CiscoRussiaMedia http://www.flickr.com/photos/CiscoRussia http://vkontakte.ru/Cisco http://blogs.cisco.ru/ http://habrahabr.ru/company/cisco http://linkedin.com/groups/Cisco-­Russia-­3798428 http://slideshare.net/CiscoRu https://plus.google.com/106603907471961036146/posts http://www.cisco.ru/
  26. 26. © Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 26 Благодарю за внимание

×