Документ освещает важность бизнес-метрик в области информационной безопасности (ИБ) для руководства финансовых организаций. Подробно рассматриваются как ключевые показатели эффективности, так и примеры метрик, которые могут не волновать топ-менеджеров, а также факторы, влияющие на ликвидность банка в контексте ИБ. В заключение предложен методологический подход к измерению ценности ИБ через призму бизнес-целей организации.

1. Лукацкий Алексей, бизнес-консультант по ИБ
Бизнес-метрики ИБ для
руководства финансовой
организации
То, что реально работает

2. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Примеры метрик, которые не волнуют топ-
менеджмент
• Число инцидентов, требующих ручного управления
• Mean-Time-to-Fix (время восстановления после инцидента)
• Также TTR (Time-to-Recovery) или TTC (Time-to-Contain)
• Mean-Time-to-Detect (время обнаружения инцидента)
• Mean-Time-to-Patch
• Вовлеченность персонала в ИБ
• Стоимость устранения уязвимостей

3. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Примеры метрик, которые не волнует топ-
менеджмент
• % систем без уязвимостей с CVSS >7.0
• % изменений с security review
• % изменений с security exceptions
• Стоимость защитной меры в % от бюджета (общего, ИТ, ИБ)
• Иногда волнует, но в целом по всей ИБ
• Уровень соответствия требованиям compliance
• Иногда волнует, если серьезный compliance, которого в ИБ почти нет
• Стоимость инцидента
• Иногда волнует, если инцидент серьезный

4. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Почти нереально Маловероятно Возможно Вероятно Очень вероятно
Катастрофически 6 7 8 9 10
Значительно 5 6 7 8 9
Умеренно 4 5 6 7 8
Незначительно 3 4 5 6 7
Несущественно 2 3 4 5 6
Принять
(уровень = 2,3)
Мониторить
(уровень = 4,5)
Управлять
(уровень = 6)
Избежать /
разрулить
(уровень = 7)
Немедленно
избежать /
разрулить
(уровень = 8, 9, 10)
Как обычно показывают ИБ руководству?
• Неконкретно, не количественно, условно…

5. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public

6. © 2019 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что такое
кибербезопасность?
Информационная
безопасность - состояние
защищенности интересов
стейкхолдеров
предприятия в
информационной сфере,
определяющихся
совокупностью
сбалансированных
интересов личности,
общества, государства и
бизнеса
6
Или
процесс?
Не столь
важно!

7. Какова цель вашей
организации?
Рост прибыли / выручки /
маржинальности / доли
рынка?

8. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Вопросы для определения стратегических
бизнес-метрик ИБ
• Что остановит или замедлит операции в вашей организации?
• Неработоспособность АБС? «Падение» ДБО? Нарушение правил эксплуатации КИИ?
Длительность проверки заемщика?
• Что приведет к снижению прибыли / выручки / маржинальности
/ доли рынка финансовой организации?
• Кража денег с корсчета? Рост резервируемого на покрытие рисков капитала? Потеря
клиентов? Рост затрат на ИБ?
• Что приведет к снижению качества предоставляемого вами
банковского продукта / услуги?
• DDoS? Уязвимости в коде?
• Что приведет к негативному влиянию на цель банка / бизнес-
подразделения / бизнес-проекта / executive sponsor?

9. Что важнее для банка?
Сохранение ликвидности
или выполнение
требований по ИБ?

10. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что влияет на ликвидность банка в контексте
ИБ?
• Активы банка
• Кража денежных средств банка
• Качество активов
• Количество мошенников
• Количество невозвратных кредитов из-за плохой проверки
заемщиков

11. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Время
Продуктивность
0
20
40
60
80
100
А
В
С
ВТ
Т1 Т2 Т3
D = Отказ/сбой системы
R = Возможность ослабления или смягчения
эффекта до или во время негативного события
A = Способность амортизировать и
деградировать
В = Нижний предел; пороговое значение
ВТ = Длительность нижнего предела
С = Возможность вернуться к исходному уровню
D → R
Как инциденты ИБ видит бизнес?
Уменьшить А?
Уменьшить Вт?
Уменьшить С?
Уменьшить Т1, Т2 и Т3?

12. Попробуем переформулировать наши цели
Увеличение прибыли
Географическая
экспансия
Увеличение объема
продаж
Оптимизация
производства
Сокращение затрат на
логистику
Сокращение потерь
X часов простоя
работников из-за
шифровальщиков
Y часов простоя
процесса из-за DDoS
Z часов простоя
сотрудников из-за
спама
N рублей штрафов от
надзора
Бизнес
ИБ

13. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Формы потерь от инцидентов ИБ
Продуктивность
•Простои
•Ухудшение психологического климата
Реагирование
•Расследование инцидента
•PR-активность
•Служба поддержки
Замена
•Замена оборудования
•Повторный ввод информации
Штрафы
•Судебные издержки, досудебное урегулирование
•Приостановление деятельности
Конкуренты
•Ноу-хау, государственная, коммерческая тайна
•Отток клиентов, обгон со стороны конкурента
Репутация
•Гудвил
•Снижение капитализации, курса акций
Другое
•Снижение рейтинга
•Снижение рентабельности

14. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несущественно Незначительно Умеренно Значительно Катастрофически
Финансовый
ущерб на более
чем Y миллионов
рублей
₽1М ₽5М ₽10М ₽50М ₽100М
Давайте быть конкретнее и считать рублем
• Стоимость прямых потерь от нарушения бизнес-операций
• Стоимость восстановления бизнес-операций
• Снижение стоимости акций (стрёмный показатель, но иногда тоже поддается измерению)
• Размер штрафов
• Упущенная выгода (если вы можете ее посчитать)
• Снижение лояльности заказчиков
• Замена оборудования или повторный ввод информации
• Взаимодействие с пострадавшими заказчиками и т.д.
Градация
зависит от
масштаба
бизнеса

15. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: защита от DDoS на сайт ДБО
75%
55%
Q2
Q1
Число потерянных
клиентов / ущерб
Число инцидентов
с Web-сайтом
Время простоя
Динамика инцидентов
$35M127
Объем недополученной
прибыли
75%
Снижение
репутации
75%
55%
Q2
Q1
Динамика оттока клиентов
75%
55%
Q2
Q1
Динамика потерь
75%
55%
Q2
Q1
Динамика негативных
публикаций в прессе
Но тут нет прямой связи между временем простоя и недополученной прибылью

16. Если инцидент значимо
не влияет показатели
бизнеса, то для
бизнеса он
неинтересен!

17. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несущественно Незначительно Умеренно Значительно Катастрофически
Перебой в работе
для более чем X
заказчиков
10 заказчиков 100 заказчиков 500 заказчиков 1000 заказчиков 5000 заказчиков
Прерывание
бизнес операций
на Z часов
1 час 4 часа 8 часов 2 дня 5 дней
Утечка данных B
заказчиков
100 заказчиков 1000 заказчиков 5000 заказчиков 10000 заказчиков 100000
заказчиков
Отток C
заказчиков
5 заказчиков 10 заказчиков 25 заказчиков 50 заказчиков 100 заказчиков
Потеря доли
рынка на D%
0% 0% 1% 3% 7%
Снижение
продуктивности
на E%
0% 1% 3% 5% 10%
А если нельзя посчитать рублем?
На самом
деле можно

18. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: борьба со спамом
75%
55%
Q2
Q1
Потери от «чтения»
спама
Число почтовых
ящиков
Объем спама от
общего числа e-mail
Динамика объема спама
$35M5К
Затраты на хранение и
передачу спама
75%
55%
Q2
Q1
Динамика потерь от
«чтения» спама
75%
55%
Q2
Q1
Динамика затрат на хранение
и передачу спама
75% $11M

19. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Длительность инцидента ИБ с точки зрения ИБ
и бизнеса
§ Степень влияния и составляющие цены инцидента меняется с
течением времени
Эта иллюстрация может использоваться при оценке времени восстановления после
атаки
RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime

20. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Несущественно Незначительно Умеренно Значительно Катастрофически
Публикация в
СМИ
Отсутствуют В местных
потребительских
печатных
изданиях
По местному ТВ
или в местных
отраслевых
печатных
изданиях
По
национальному
ТВ или в
национальных
потребительских
печатных
изданиях
Выделенная
передачи или
репортаж по
национальному ТВ
или в
национальных
отраслевых
печатных
изданиях
Специфическая метрика в одном из банков

21. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Пример: снижение числа увольнений
75%
55%
Q2
Q1
Недополученная
прибыль на сотрудника
Число уволенных
сотрудников
Среднее время
простоя вакансии
Динамика увольнений
$35M12
Число «обращенных»
сотрудников
75%
55%
Q2
Q1
Динамика потерь
75%
55%
Q2
Q1
Динамика «обращения»
сотрудников
38

22. А как измерить ИБ для
бизнеса, но не рублем?

23. Что волнует топ-менеджеров в части ИБ?
1. Мы защищены?
2. Как мы узнаем, что нас взломали?
3. Как мы соотносимся с
конкурентами?
4. Мы тратим достаточно на
обеспечение нашей безопасности?
5. Насколько эффективно мы
инвестируем в безопасность?

24. 0
0,5
1
1,5
2
2,5
3
3,5
4
4,5
План & бюджет
Организация
Защитные меры
Архитектура
Процессы и операции
Осведомленность
Реагирование
Управление уязвимостями
Оценка рисков
Корпоративное управление
В среднем по отрасли
У нас
Лайфхак: вместо сравнения с конкурентами (если данных
нет), можно сравнивать себя в разных состояниях (было –
сейчас – через год – идеал)
ГОСТ 57580.2 позволяет сравнивать себя с
другими финансовыми организациями

25. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
5 более важных метрик
• % активностей по ИБ, несвязанных с бизнес-целями
• Количество проектов/активностей, связанных с бизнес-целями
• % важных для бизнеса проектов/активов/услуг,
неудовлетворяющих требованиям ИБ
• Неконтролируемый удаленный доступ подрядчиков
• % важных для бизнеса проектов/активов/услуг, меры защиты
которых неадекватны или неэффективны
• Или для которых во время инцидента не сработал план реагирования
• Вероятность предоставления услуг в течение инцидента ИБ
Можно еще поиграться с рисками…

26. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Что надо для работы с метриками?
Источники
данных
Адаптеры /
Коннекторы
Множества
данных
Метрики Дашборды /
отчеты

27. © 2018 Cisco and/or its affiliates. All rights reserved. Cisco Public
Где и как брать данные?
• Сырые данные необходимо брать либо от средств
защиты, либо от решений класса SIEM
• Для работы с топ-менеджментом понадобятся
обязательно данные от бизнес-систем (CRM, HRM,
АБС, ДБО и т.п.)
• У абсолютного большинства современных систем
(исключая большинство средств защиты
отечественного производства) есть развитый API
• Для захвата и обработки данных можно
использовать Python / R или иные языки
программирования или RPA (Robotics Process
Automation)
• Можно попробовать «допилить» SIEM

28. Ключевые факторы успеха
• Вы должны понимать, что вы делаете в
области ИБ
• Вы должны понимать бизнес своего
финансовой организации
• Вы должны понимать свою целевую
аудиторию
• Вы должны уметь совмещать эти три
элемента вместе
• Вы должны знать, где лежат данные
• Вы должны уметь программировать

29. Как показать ценность ИБ: шаг за шагом
1. КТО ваша целевая аудитория?
2. ЧТО нужно вашей целевой аудитории?
3. КАКОЕ решение должно быть принято?
4. На КАКИЕ вопросы нужно ответить?
5. КАК визуализировать?
6. Создание макета
7. Создание прототипа
8. Итоговый результат (дашборд / отчет)

30. Резюме
В отличие от технических, бизнес-метрики
не имеют универсального характера (и
каталога) и зависят от множества
индивидуальных особенностей банка –
учредителей, круга клиентов, срока
функционирования банка, специализации,
системы менеджмента, только после
анализа которых можно выбрать
конкретные метрики, которые могут иметь
значимое значение в масштабе бизнеса
банка

31. Новыйвзглядна
измерениебезопасности

32. Спасибо!
security-request@cisco.com