2. Образец заголовка
Оценка экономической эффективности информационной безопасности 2
Дмитрий Мананников,
директор по безопасности,
SPSR Express
Управляю информационной безопасностью в коммерческих
компаниях с 2003 года.
Имею успешный опыт выстраивания процессов
безопасности в кредитно-финансовой сфере, энергетике,
логистике и ИТ.
3. Образец заголовка
Оценка экономической эффективности информационной безопасности
О чем этот мастер-класс
3
информационная
безопасность
управление
бизнес-функцией
цель : изменение точки сборки. умение посмотреть на
информационную безопасность глазами собственника,
финансиста, директора и т.д.
4. Образец заголовка
Оценка экономической эффективности информационной безопасности
Что останется за рамками
4
- Универсальные кейсы
- Магические формулы
- Решение частных случаев
- Волшебные бобы
*слайдов которые можно потом понять без звукового
сопровождения тоже почти не будет
5. Образец заголовка
Оценка экономической эффективности информационной безопасности
Начнем издалека…
5
Зачем вообще нужна
оценка экономической
эффективности?
6. Образец заголовка
Оценка экономической эффективности информационной безопасности
Экономика
6
от др.-греч. ο κος — дом, хозяйство хозяйствование и νόμος — ном, территорияἶ
управления хозяйствованием и правило, закон, буквально «правила ведения
хозяйства дома»
хозяйственная деятельность общества, а также совокупность отношений,
складывающихся в
системе производства , распределения, обмена и потребления.
Главная функция экономики состоит в том, чтобы постоянно создавать
такие продукты, которые необходимы для жизнедеятельности людейобществ
и без которых они не могут развиваться. Экономика помогает удовлетворить
потребности в условиях ограниченных ресурсов.
7. Образец заголовка
Оценка экономической эффективности информационной безопасности
Цель компании
7
99% Уставов содержат довольно четкую
формулировку –
«основной целью деятельности Общества
является извлечение прибыли»
затраты доходы
положительная
разница
между суммарными
доходами и затратами
реализация продукта
8. Образец заголовка
Оценка экономической эффективности информационной безопасности
ИБ как совокупные затраты
8
Сколько стоит ИБ для средней компании (1000-1200 сотрудников) в год?
Фонд оплаты труда
оклад выплаты бонус итого за год
начальник отдела 140 000 42 000 ₽ 280 000 ₽ 2 464 000 ₽
ведущий специалист 120 000 36 000 ₽ 240 000 ₽ 2 112 000 ₽
специалист 90 000 27 000 ₽ 180 000 ₽ 1 584 000 ₽
специалист 90 000 27 000 ₽ 180 000 ₽ 1 584 000 ₽
итого: 7 744 000 ₽
Обеспечение рабочих мест
аренда 25 кв.м. в офисе B+ 425 000 ₽
прочие расходы 192 000 ₽
итого: 617 000 ₽
Минимальные "игрушки"
антивирус (1000 - 1200 пользователей) 700 000 ₽
антиспам (1000 - 1200 пользователей) 800 000 ₽
защита web-ресурсов (1-2 ресурса) 500 000 ₽
итого: 2 000 000 ₽
10361000₽
9. Образец заголовка
Оценка экономической эффективности информационной безопасности
ИБ как совокупные доходы
9
?? ₽
?? ₽
?? ₽
?? ₽
?? ₽
?? ₽
Стало безопаснее чем вчера
Compliance
Лучшие практики
Снижены риски
Сохранены тайны
Консалтинг
10. Образец заголовка
Оценка экономической эффективности информационной безопасности
ИБ без экономической оценки
10
СТРАХОВАНИЕ
КАСКО
98-ФЗ
ОСАГО
152-ФЗ
это почти как
только без возмещения ущерба
11. Образец заголовка
Оценка экономической эффективности информационной безопасности
Зачем измерять эффективность?
11
• Привязка своей деятельности к целям компании
• Достижение целей компании
• Оценка своего вклада в достижение общей цели
• Способность оценки систем и процессов
внутри компании
• Прозрачность процессов для менеджмента
• Оценка эффективности собственной деятельности
Если вы не можете оценить свою эффективность вы не можете ответить на
вопросы нужны ли вы компании и достаточны ли вы для компании. Вы
можете только предположить. Чаще всего даже не имея основания в виде
статистики.
13. Образец заголовка
Оценка экономической эффективности информационной безопасности
Периметровый подход
13
внутренний периметр
регламенты
внешний периметр
уязвимости
Прибыль от закрытой уязвимости?
Или какой либо параметр?
Закрытые уязвимости
повышают общий уровень
защищенности компании
Риски были 9 теперь 6 WAF
DRP
DLP
«традиционный» подход к ИБ
14. Образец заголовка
Оценка экономической эффективности информационной безопасности
Избыточность периметрового
14
0
25
50
75
100
Цели маркетинга
Цели юристов
Цели коммерческого
отдела
Цели логистов
Цели финансов
Цели ИТ
Цели HR
Показатель
защищенности
Периметра в %
С экономической точки зрения
периметровый подход
избыточен и неэффективен
16. Образец заголовка
Оценка экономической эффективности информационной безопасности
Влияние на операционные показатели
16
Проверка
остатка
Запрос
товара
Формирование
предложения
Х
Выставление
счета
Х
Получить заказ
товара
Принять оплату
Закрыть заказ
товара
Отправить
заказанный
товар
Уведомить
о отправке
Собрать
данные
для BI
Безопасный способ
платежа
Корректные
данные
Коммерческая
тайна
Непрерывность
работы сервиса
Резервное
копирование
18. Образец заголовка
Оценка экономической эффективности информационной безопасности
База для расчета финансовых методик
18
Сколько
стоит
?
Как
повлияет
на
прибыль
?
1
2
ROI
NPV
IRR
Break-even
Совокупные
доходы
Совокупные
расходы
return on investment или
отдача на капитал
net present value или
чистая приведенная
стоимость
net present value или
чистая приведенная
стоимость
точка окупаемости
Методы оценки
3 Внутренние константы
19. Образец заголовка
Оценка экономической эффективности информационной безопасности
Затраты как базис расчета
19
Сколько
стоит
?
1
Сколько
стоит
на самом
деле?
2
Прайс
лист TCOvs.
?3
20. Образец заголовка
Оценка экономической эффективности информационной безопасности
Совокупная стоимость владения
20
70%
30%
стоимость
внедрения
стоимость
проекта
- лицензии
- оборудование
- услуги интегратора
- ФОТ сотрудников на
время внедрения
- Тех.поддержка на 3 года
- Модернизация оборудования
- услуги интегратора по допиливанию
- ФОТ сотрудников на время использования
- смена версии
- услуги интегратора по допиливанию новой
версии
- …
22. Образец заголовка
Оценка экономической эффективности информационной безопасности
ИБ внутри процесса
22
E Х
HR Е
14 дней
24 дня
ФОТ*КПД 1,5
Факт:
заявление
об увольнении
HR
14 дней
HR
IS
ЕЕ передача
дел
предупреждение
за 38 дней
потери компании
Выход
нового
сотрудника
KPI на подбор
нового
сотрудника
38 дней
23. Образец заголовка
Оценка экономической эффективности информационной безопасности
Прогнозы
23
“Как это не парадоксально, но всякая точная наука
основывается на приблизительности. Если кто-то говорит
вам, что точно знает что-то, можете смело делать вывод: вы
разговариваете с человеком, не имеющим понятия о
точности.”
План продаж
Маркетинговый эффект
Годовой бюджет
Все это построено на
статистике прошлого периода
и прогнозе на следующий
Бертран Рассел
математик
наконец то пригодится та самая оценка рисков
1
2
24. Образец заголовка
Оценка экономической эффективности информационной безопасности
Статистика, аналитика и прогнозы
24
“Как это не парадоксально, но всякая точная наука
основывается на приблизительности. Если кто-то говорит
вам, что точно знает что-то, можете смело делать вывод: вы
разговариваете с человеком, не имеющим понятия о
точности.”
План продаж
Маркетинговый эффект
Годовой бюджет
Все это построено на
статистике прошлого периода
и прогнозе на следующий
Бертран Рассел
математик
наконец то пригодится та самая оценка рисков
1
2
25. Образец заголовка
Оценка экономической эффективности информационной безопасности
Экономика DLP при разном количестве
лицензий
25
Финансовый показатель Вариант 1 Вариант 2 Вариант 3
Чистая стоимость (TCO) 3 077 199,07р. 4 706 107,54р. 5 157 369,55р.
Чистые бенефиты 3 734 634,61р. 5 718 764,23р. 6 981 253,07р.
Приведённая стоимость 657 435,53р. 1 012 656,69р. 1 823 883,52р.
ROI, % 21 22 35
payback period, год 2 года 2 года 2 года
Бюджет на 1-ый год 1 955 000,00р. 3 189 325,15р. 3 539 334,15р.
Бюджет на 2-ой год 405 000,00р. 761 610,86р. 853 119,86р.
Бюджет на 3-ий год 405 000,00р. 761 610,86р. 853 119,86р.
Метрика Значение
Учётная ставка 20
Расчётный
период
3 года
27. Образец заголовка
Оценка экономической эффективности информационной безопасности
Переоцените существующие процессы
27
сбор
статистикиметрик
расчет стоимости
функции
выставление счетов
в качестве
информации
1
2
3
28. Образец заголовка
Оценка экономической эффективности информационной безопасности
Разносите затраты по центрам финансовой
отчетности (ЦФО)
28
Где живут затраты на сотрудников ИБ?
В кадрах которые принимают их на работу?
Или в бухгалтерии которая платит зарплату?
29. Образец заголовка
Оценка экономической эффективности информационной безопасности
Создавайте продукты ИБ внутри компании
29
Антивирусная защита
75 рублей в месяц
Антиспам
30 рублей в месяц
Расследование
инцидента
6000 рублей
Резервное
копирование
500 рублей
за гигабайт
30. Образец заголовка
Оценка экономической эффективности информационной безопасности
Компания начала играть в ABC костинг?
Присоединяйтесь!
30
Расчёт себестоимости по видам деятельности (англ. Activity-based
Costing, ABC) — специальная модель описания затрат, которая
идентифицирует работы фирмы и назначает затраты каждой такой
работы в соответствии с настоящей стоимостью каждой отдельно
взятой работы. Эта модель также переводит накладные расходы в
прямые затраты, в отличие от обычной модели описания затрат.
31. Образец заголовка
Оценка экономической эффективности информационной безопасности
Участвуйте в инвестиционных проектах
31
ресурсы
Показатель
эффективности
(пусть будет
NPV в мл.руб)
Бизнесу нужен единый инструмент принятия инвестиционных
решений, а значит все проекты должны измеряться одинаково
Понятная приоритизация проектов
32. Образец заголовка
Спасибо за внимание!
manannikov_da@spsr.ru
dmitriy.manannikov@gmail.com
facebook.com/dmitriy.manannikov
Дмитрий Мананников
Editor's Notes
Добрый день! Меня зовут Дмитрий Мананников, я директор по безопасности компании SPSR Express. До СПСР я успел поработать в целом ряде различных компаний, в энергетике-банках-ит. Попробовал себя наверное во всех «подразделах» ИБ, за исключением наверное только АСУ ТП. Прошел путь от специалиста до директора по ИБ, и сейчас отвечаю за всю функцию безопасности, хотя все равно информационная безопасность остается одной из самых значимых задач. СПСР большая компания, один из крупнейших российских почтовых операторов. Мы геораспределены по всей территории РФ от Камчатки до Калининграда, у нас своя разработка ПО и свои уникальные системы. Тем не менее направление ИБ в компании довольно молодое, ему как самостоятельной функции 2 года. Сейчас у нас ИБ занимается 6 человек, ИБ интегрирована во все процессы компании и является частью общей системы безопасности. И мы продолжаем развиваться и расти отвечая на новые вызовы которые появляются перед компанией.
Зачем я это все рассказываю? Вчера на открытии форума, мы начали с того что исследования показывают огромный интерес к ИБ у топ-менеджмента, но тут же последовали реплики из зала, мол где же эти самые компании, я хочу там работать. И картина почти повсеместно такая, что мы видим глобальное непонимание топ менеджмента и безопасника. При этом безопаснику кажется что его не ценят и не считают нужным. Но это не так. Его считают нужным, иначе кто бы ему платил деньги. Просто от него ждут немного другой отдачи.
Именно этому и посвящен мой мастер класс и вот о чем мы сегодня будем говорить
Как это ни странно, но я сегодня не буду говорить о ИБ. Не то что бы совсем, у нас же сегодня профильное мероприятие, но все что будет сказано равно применимо к любой другой бизнес-функции. В этом кстати и есть особая фишка, в рамках управления функцией не сильно принципиально какой именно функцией вы управляете. Логика довольно одинакова
ИБ без оценки влияния на прибыль – не более чем страховка
Только без возмещения ущерба
Или даже противоугонная система
Неплохое сравнение, оба явления вполне себе практика.
Только средний процент страховки не превышает 1-2% как и стоимость противоугонки
Вы сами сколько платите за страховку и сигнализацию?
Кейс с консалтиновой компанией