SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"

Образец заголовкаЭкономические аспекты
информационной
безопасности
Дмитрий Мананников
директор по безопасности

Образец заголовка
Экономические аспекты информационной безопасности
Термины и определения
2
Экономика
(от др.-греч. ο κος —ἶ дом, хозяйство хозяйствование и νόμος — ном, территория
управления хозяйствованием и правило, закон, буквально «правила ведения хозяйства
дома»)— хозяйственная деятельность общества, а также совокупность отношений,
складывающихся в системе производства , распределения, обмена и потребления.
Главная функция экономики состоит в том, чтобы постоянно создавать
такие благапродукты, которые необходимы для жизнедеятельности людейобществ и
без которых они не могут развиваться. Экономика помогает удовлетворить потребности в
условиях ограниченных ресурсов.
Экономический кризис
(греч krisis — поворотный пункт) — резкое ухудшение экономического состояния страны,
проявляющееся в значительном спаде производства, нарушении сложившихся
производственных связей, банкротстве предприятий, росте безработицы, и в итоге — в
снижении жизненного уровня, благосостояния населения. Так же эту ситуацию можно
охарактеризовать как резкое изменениесокращение ресурсной базы в результате ряда
коллизий

Кризисный год
3
Антикризисные
меры
Экономический кризис = Оптимизация затрат
Антикризисные
меры
Затраты на инициативы развития
Ресурсы
Затраты по текущим процессам
Кто определяет эту грань?
Оптимизация не равно сокращение!
Оптимизация - повышение экономической эффективности
CFO
?
Оптимизация ресурсов

Риски, Инциденты и Цели компании
4
Риски
сократились
с 9 до 6
Компания
заняла 20%
рынка
Инциденты
сократились
с 40 до 20
Стоимость
компании
увеличилась
на $20mil
???
???
Может ли бы быть KPI для ИБ – количество уволенных сотрудников
за разглашение коммерческой тайны?

Взгляд бизнеса на оценку рисков ИБ
5
Количественные показатели
(Quantitative Benefits) Качественные показатели
(Qualitative Benefits)
VS
Соответствие новым законам
Жизнь без вирусов
Отключили dropbox из офиса
…
0 in profit
Снижение рисков?
Кассовый разрыв
Массовое сокращение
Изменение курса валют
Банкротство партнеров
Санкции
…
Вирусные атаки
Утечки ком.тайны
DDoS атаки
Целенаправленные атаки
152ФЗ
…
РИСКИ? РИСКИ!
FEAR
MARKET

Взгляд финансов на нефинансовые
оценки ИБ
6
Как бизнес видит ИБ
Фонд оплаты труда
Аренда помещений
Оборудование
Программное обеспечение
Бухгалтерское ведение
Консалтинг
Х ХХХ ХХХ р.
ХХХ ХХХ р.
ХХ ХХ р.
0 р.
0 р.
0 р.
0 р.
0 р.
0 р.
Стало безопаснее чем вчера
Compliance
Лучшие практики
Снижены риски
Сохранены тайны
Консалтинг
ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ
«Долго не мог дровосек уснуть, метался в постели и стонал от горя.
Тут жена ему и шепчет: - Давай завтра утром отведем детей в чащу
леса, разведем костер, сделаем вид, что пошли работать, а сами
вернемся домой…»
Братья Гримм «Гензель и Грета»

Периметровый подход
7
внутренний периметр
регламенты
внешний периметр
уязвимости
Прибыль от закрытой уязвимости?
Достижение цели компании?
Закрытые уязвимости
повышают общий уровень
защищенности компании
Риски были 9 теперь 6 WAF
DRP
DLP
«традиционный» подход к ИБ

Цели компании как внутренние продукты
8
Цель Логистики –
сократить количество
логистических
расходов на 20%
относительно
прошлого периода
Продукт Логистики –
Доставка товаров к клиентам
Доставка сырья на производство
Внутренняя логистика

Продукт компании как сумма внутренних
процессов
9
ИБ
ИБ
ИБ
ИБ
общий уровень защищённости - продукт?
информационная безопасность свойство продукта?
или

ИБ внутри продукта
10
Проверка
остатка
Запрос
товара
Формирование
предложения
Х
Выставление
счета
Х
Получить заказ
товара
Принять оплату
Закрыть заказ
товара
Отправить
заказанный
товар
Уведомить
о отправке
Собрать
данные
для BI
Безопасный способ
платежа
Корректные
данные
Коммерческая
тайна
Непрерывность
работы сервиса
Резервное
копирование
Влияние на
операционные
показатели

Обратная декомпозиция
11
исследования
разработка
производство
продажи
маркетинг
логистика
ИБ
Затраты на лицензии
Затраты на оборудование
Затраты на персонал
Затраты на процесс
….
Продукт
Внутренний
продукт
Стоимость владение
продуктом безопасности
Продукт
безопасности
Совокупное
влияние на
продукт
Через сумму изменений свойств внутренних продуктов мы можем посчитать
общее влияние на продукт компании, что делает проект ИБ значимым на уровне
бизнеса, поскольку становится понятно как он влияет на прибыль.

База для расчета финансовых методик
12
Сколько
стоит
деле?
Как
повлияет
на
прибыль
?
1
2
ROI
NPV
IRR
Break-even
Совокупные
доходы
Совокупные
расходы
return on investment или
отдача на капитал
net present value или
чистая приведенная
стоимость
internal rate of return или
Внутренняя норма
доходности
точка окупаемости
Методы оценки
3 Внутренние константы
Ставка дисконтирования Расчётный период

TCO
13
• Затраты на лицензии
• Затраты на оборудование
• Затраты на персонал
• Затраты на процесс
• Амортизация по годам
• Учтённые/застрахованые риски
• Затраты на исследования
• Общие проектные расходы
Total Cost of Ownership
TCOсовокупная стоимость владения
1987 год –
компания Gartner опубликовала
отчет, который суммировал и
популяризировал методику TCO Total
Cost of Ownership или совокупная
стоимость вложения. Данный год
считается началом структурной
оценки затрат на проекты в области
ИТ. Отчет был разработан
аналитиком Michael Smith, который
продолжает работать в компании
Gartner.

Расчет процесса и расчет проекта
14
Gartner говорит, что управление
стоимостью владения подчиняется 4
основным законам*
•Любая инвестиция в технологию вызывает
нескончаемы поток затрат на поддержание
и изменения
•Несколько десятилетий компании
оценивали, что проект в технологиях это
изначальные капитальные затраты, а потом
это операционные затраты, НО это не так
•Без управления жизненным циклом
проекта и программного обеспечения, вы
получите непредсказуемые «взрывы»
затрат
•Расходы на программное быстро
развиваемые технологии растут по
экспоненте.
* “The four laws of applications total cost of
ownership”.G00230382
70%
30%
По оценке Garthner -
Стоимость внедрения составляет в
среднем 1/3 от стоимости всего
проекта. При оценке стоимости
внедрения важно оценивать не только
ресурсы «внешнего» внедренца, но и
внутренние ресурсы компании.

Прайс-лист против TCO
15
Сколько стоит антивирусная защита
на 1000 сотрудников в год?
Прайс-лист: 1 лицензия стоит 100 рублей,
следовательно 1000 лицензий стоит 100 000 рублей
Факт: 1 лицензия стоит 100 рублей,
следовательно 1000 лицензий стоит 100 000 рублей
сервер обновлений – 150 000 рублей
обслуживание антивируса – 1 ччас в день – 247 часов
– 30 раб дней – 1,5 оклада сотрудника – 150 000 рублей
Решение инцидентов – 150 000 рублей
оверхеды – 100 000 рублей
следовательно все это стоит – 550 000 рублей

Бенефиты как базис расчета
16
затраты доходы
влияние ИБ на прибыль
оптимизация затрат добавление новых
качеств
положительная
разница
между суммарными
доходами и затратами

ИБ внутри процесса
17
E Х
HR Е
14 дней
24 дня
ФОТ*КПД 1,5
Факт:
заявление
об увольнении
HR
14 дней
HR
IS
ЕЕ передача
дел
предупреждение
за 38 дней
потери компании
Выход
нового
сотрудника
KPI на подбор
нового
сотрудника
38 дней

Увеличение доходов
18
• +1,5% к стоимости компании при выходе на IPO
• возможность участвовать в тендерах с
обязательным требованием
• упрощение процедуры подготовки к
большим контрактам
• Защита данных вывела компанию в лидеры
корпоративного рынка и сделала в 2009 году
самой быстрорастущей компанией в мире с
ростом дохода на 84 % за три года несмотря на
глобальную рецессию. За десять лет компания
продала 50 миллионов смартфонов, что
сделало BlackBerry вторым по популярности
смартфоном в мире.

Расчет от показателей бизнес-юнита
19
Бенефиты
процессные
Бенефиты
событийные
Построенные
на уровне
оказываемого
сервиса
Построенные
решении
инцидента

Статистика и прогнозы
20
“Как это не парадоксально, но всякая точная
наука основывается на приблизительности. Если
кто-то говорит вам, что точно знает что-то,
можете смело делать вывод: вы разговариваете
с человеком, не имеющим понятия о точности.”
План продаж
Маркетинговый эффект
Годовой бюджет
Все это построено на
статистике прошлого периода
и прогнозе на следующий
Бертран Рассел
Британский математик.

Кейс – DLP
21
Финансовый показатель Вариант 1 Вариант 2 Вариант 3
Чистая стоимость (TCO) 3 077 199,07р. 4 706 107,54р. 5 157 369,55р.
Чистые бенефиты 3 734 634,61р. 5 718 764,23р. 6 981 253,07р.
Приведённая стоимость 657 435,53р. 1 012 656,69р. 1 823 883,52р.
ROI, % 21 22 35
payback period, год 2 года 2 года 2 года
Бюджет на 1-ый год 1 955 000,00р. 3 189 325,15р. 3 539 334,15р.
Бюджет на 2-ой год 405 000,00р. 761 610,86р. 853 119,86р.
Бюджет на 3-ий год 405 000,00р. 761 610,86р. 853 119,86р.
Метрика Значение
Учётная ставка 20
Расчётный
период
3 года

Измерение эффективности информационной безопасности
Кейс – IDM
22

Переоценка существующих процессов
23
сбор статистики –
метрик
расчет стоимости
функцииПродукта ИБ
инвойсирование
бизнес-юнитов
(выставление счетов в
качестве информации)
взаимозачеты
разнесение затрат по
ЦФО
управляемый
показатель SLA
PROFIT
Если старые процессы
все еще на стадии
проектов или требуют
пересмотра
условийресурсов
Их следует
рассмотреть как
новые с полным
расчетом
экономических
показателей

Разнесение костов ИБ
24
Где живут затраты на сотрудников ИБ?
В кадрах которые принимают их на работу?
Или в бухгалтерии которая платит зарплату?

Участие в инвестиционных проектах
25
ресурсы
Показатель
эффективности
(пусть будет
NPV в мл.руб)
Бизнесу нужен единый инструмент принятия инвестиционных
решений, а значит все проекты должны измеряться одинаково
Понятная приоритизация проектов

Да-да коллеги!
Положительны
й P&L в этом
году!
Спасибо за
внимание!
Дмитрий Мананников
dmitriy.manannikov@gmail.com
www.facebook.com/dmitriy.manannikov

SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"

More Related Content

What's hot

Similar to SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"

More from Expolink

SPSR. Дмитрий Мананников "Экономические аспекты информационной безопасности"

Editor's Notes