Документ анализирует экономический эффект от внедрения средств информационной безопасности и расчета ROI на примере автоматизации настройки с использованием vgate. Показано, что автоматизация снижает затраты и риски, обеспечивая высокий уровень ROI до 719% и сокращая период окупаемости до 5 месяцев. Приведены различные варианты затрат и потенциальных потерь информации при разных подходах к настройке информационной безопасности.

1. Экономический эффект от внедрения средств информационной
безопасности, примеры расчета ROI
http://devbusiness.ru/mkozloff

2. Безопасность – это ROI достигается за Угрозы, риски и
бизнес-процесс, счет снижения вероятности их
требующий рисков до проявления
инвестиций приемлемого уровня постоянно
в рамках конкретной изменяются
модели угроз

3. Return on Investment (ROI)
Выгода – Затраты
ROI % =
Затраты
3

4. 1.


2.


http://www.slideshare.net/mkozloff/roi-7039990

5. Централизованная
установка 20 ESX хостов (2CPU) 300 ВМ 3 администратора
vCenter/vGate
Настройки ИБ Годовая з/п
Горизонт расчета 3 Ставка соответствуют администратора с
года дисконтирования 15% требованиям PCI DSS, учетом накладных
CIS, VMware Hardening расходов = $48к

6. Ручная настройка
виртуальной
инфраструктуры VMware
для соответствия лучшим
практикам CIS, VSHG и
требованиям PCI DSS
Применение шаблонов
vGate снижает время
настройки в 4 раза

7. 







8. Приведенная
Показатель Значение
стоимость PV (3 года)
Стоимость ручной настройки ИБ $133 683 $117 004
Эффект от vGate: снижение затрат 75% $100 262 $87 753
Затраты на vGate $40 800 $37 503
NPV (эффект - затраты) $50 249
ROI (NPV / затраты) 134%
Выгода в месяц (эффект / 36 месяцев) $2 785
Период окупаемости, мес. 15
Данный расчет сделан с vGate ROI Calculator для вымышленной компании

9. Оценки
возможности
снижения
вероятности и
стоимости рисков
Модель угроз Вероятность при помощи
для проявления и средств ИБ
конкретной стоимость (положительный
ситуации рисков денежный поток)
Модель Стоимость рисков
соответствую- и средств их
щих рисков уменьшения (ИБ -
отрицательный
денежный поток)

10. 


The Value Of Corporate Secrets. How Compliance And Collaboration Affect
Enterprise Perceptions Of Risk. March 2010, Forrester

11. 


True Cost of Compliance Report, Ponemon Institute LLC, January 2011

12. Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года)
Штрафы PCI DSS -$1 141 613
Потеря важной информации -$2 716 695
-$3 858 308
Вариант 2: «Ручная настройка ИБ» (-95% рисков)
Ручные затраты на compliance и настройку ИБ -$117 004
Потеря важной информации -$135 835
-$252 839
Вариант 3: «Автоматизация настроек ИБ с vGate» (-98% рисков)
Затраты на vGate -$37 503
vGate снижает ручные затраты на 75% $87 753
Оставшиеся ручные затраты -$29 251
Потеря важной информации -$54 334
-$33 335
Данный расчет сделан с vGate ROI Calculator для вымышленной компании

13. Показатель Значение PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Затраты на vGate $40 800 $37 503
NPV $226 010 $182 000
ROI 485%
Выгода в месяц $6 278
Период окупаемости, мес. 7
Данный расчет сделан с vGate ROI Calculator для вымышленной компании

14. Value PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Снижение затрат на ручную настройку 75% $100 262 $87 753
Общая выгода от vGate для ВС VMware $367 072 $307 256
Затраты на vGate $40 800 $37 503
NPV $326 272 $269 753
ROI 719%
Выгода в месяц $9 063
Период окупаемости, месяцев 5
Данный расчет сделан с vGate ROI Calculator для вымышленной компании

15. Выгода
Снижение риска Лицензии
потери Внедрение
информации
Обучение
Сегментирование администратора
ПДн
Администрирование
• К1 = 18000 руб. на
ПК
• К3 = 6000 руб. на ПК
Затраты

16. Риск Значение ПС (3 года)
Инвестиции 1 589 174р. 1 430 488р.
Выгода (снижение рисков потери данных на 10%) 13 146 650р. 10 304 243р.
Фактор риска для выгоды 30% - 3 943 995р. - 3 091 273р.
NPV 7 613 481р. 5 782 483р.
ROI 404%
Выгода в месяц 211 486р.
Период окупаемости, мес. 8
• Данный расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК
• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March
2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)
• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации
ИСПДн при помощи TrustAccess

17. Источники ROI в ИБ: Для России нет Детали бизнес-
рост эффективности публичной модели процессов и рисков
процессов и угроз – делайте = точность расчета
снижения рисков свою
(ошибок, потери
данных, штрафов…)

18. (c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя
данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь
риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.

19. 
 http://www.slideshare.net/mkozloff/michael-kozloff-business-
development-2011

20. 
 http://www.slideshare.net/mkozloff/roi-7039990

 http://devbusiness.ru/mkozloff/about/