Как обосновать затраты на информационную безопасность

1/469© 2008 Cisco Systems, Inc. All rights reserved.Security Training
Как оценить
вложения в ИБ?
Алексей Лукацкий
Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved.Security Training 2/469
Безопасность и деньги
§  Занимаясь повседневной деятельностью мы
нечасто думаем о деньгах в контексте ИБ
И только тогда, когда возникает необходимость попросить у
руководства деньги на новый проект, продукт или услугу
§  Выигрывает не тот, кто сильнее, а тот кто лучше
приспособлен
§  Множество проектов и инициатив при нехватке
финансовых средств
Особенно в условиях кризиса
§  Деньги получает тот, кто может сможет лучше
обосновать запрашиваемые ресурсы
Сколько надо? Почему столько? Какова отдача?

Вложения куда проще обосновать?

Осязаемо и приятно!

Неприятно, но осязаемо

Неосязаемо и… вообще непонятно

Измерение в деньгах требует иных
подходов
§  Обосновывать вложения требует бизнес!
§  Бизнес не говорит на языке ИБ!
Он говорит на языке бизнеса, на языке денег!
§  Нужна иная стратегия обоснования!

Какова цель, на которую мы просим
денег?

Куда мы вкладываем деньги?
Продукт ИБ
•  Зачем нам
конкретный
продукт?
•  Какую
задачу он
решает?
Проект ИБ
этот проект
ИБ?
•  Какую
задачу он
решает?
Проект ИТ
этот проект
ИТ?
•  Какую
задачу он
решает?
Бизнес-
проект
этот бизнес-
проект?
•  Какую
задачу он
решает?
§  Мы вообще понимаем, ДЛЯ ЧЕГО нам ИБ?
§  Варианты «так принято» и «чтобы было безопасно»
не подходит!
Вариант «так требуют регуляторы» возможен J но с
оговорками

Развенчание мифа о том, что ИБ не
видна и не измерима
§  Если что-то лучше
§  ⇒ Есть признаки улучшения
§  ⇒ Улучшение можно наблюдать
§  ⇒ Наблюдаемое улучшение можно посчитать
§  ⇒ То, что можно посчитать, можно измерить
§  ⇒ То, что можно измерить, можно оценить
§  …и продемонстрировать!

Все начинается с целеполагания!!!
§  Но сначала мы должны понять, ЧТО у нас лучше и
ЗАЧЕМ это лучше нам!
Для ЧЕГО нам ИБ?

Цели бывают разные!
§  Популярные цели ИБ, которые нам не помогают!
Получение аттестата ФСТЭК на все АС/ИСПДн
Сертификация ключевых процессов на соответствие ISO 27001
Достижение 4 уровня по СТО БР ИББС
Сокращение числа инцидентов ИБ до 3 в месяц
Внедрение защищенного мобильного доступа для руководства
Внедрение защищенного удаленного доступа для
географической экспансии
Повышение устойчивости инфраструктуры к DDoS-атакам с
целью повышения лояльности клиентов и снижение их текучки
§  При оценке вложений нас интересует не вопрос «ЧТО
мы хотим достичь?», а вопрос «для ЧЕГО?»
Что изменится в результате вложений в ИБ?

Мы часто топчемся на одном месте, не
понимая цели!
§  Для ответа на вопрос «ЗАЧЕМ нам ИБ?» необходимо
провести декомпозицию задачи/проекта/продукта!
§  Каких КОНКРЕТНЫХ результатов мы хотим достичь?

Декомпозиция
§  Наиболее эффективный путь – декомпозиция
бизнес-цели на части и выбор метрик для каждой
из них
Бизнес-цель
Подцель 1 Подцель 2 Подцель 3
Действие 1 Действие 2
Измерение 1 Измерение 2

Бизнес не оперирует ИБ-целями
Цели топ-
менеджмента
Операционные
цели
Финансовые цели Цели ИТ
Цели ИБ
§  Цели ИБ в данной ситуации вторичны, т.к. их никто
не понимает кроме службы ИБ
Грустно это признавать, но это так

ИБ сама по себе или как часть целого?

Но есть ли все-таки связь ИБ и
бизнесом?
§  Согласно исследованию E&Y во время кризиса все
компании начинают с сокращения затрат (без
эффекта)
§  7 ключевых областей для оптимизации расходов
Оптимизация ассортимента продукции
Изменение стратегии продаж
Сокращение затрат на персонал
Повышение производительности
Аутсорсинг
Оффшоринг
Оптимизация использования и стоимости привлечения
ресурсов

4 сценария изменения стратегии
продаж: декомпозиция
Рост выручки
Рост числа
клиентов
Географическая
экспансия
Защищенный
удаленный
доступ
Рост числа
сделок
Вынос PoS в
«поля»
мобильный
доступ
Ускорение
сделок
Новый канал
продаж
Интернет-
магазин
Снижение
себестоимости
Более дешевый
канал продаж
Интернет-банк

Снижение арендной платы:
декомпозиция
§  Снижение арендной платы à уменьшение
арендуемых площадей à перевод сотрудников на
дом à решение по защищенному удаленному
доступу
§  Экономия на:
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
Оплата коммунальных расходов, а также
Улучшение психологического климата за счет работы дома
Рост продуктивности

Уменьшение складских запасов:
декомпозиция
§  Уменьшение складских запасов à удаленный доступ
к складской ИС поставщиков à решение по
защищенному удаленному доступу, защита Интернет-
ресурсов, Identity Management
Уменьшение складских площадей
Оптимизация логистики
Ускорение цикла поставки

Оптимизация финансовых затрат
§  Оптимизация финансовых затрат à переход на
лизинг или оплату в рассрочку à обращение в
компании по ИТ/ИБ-финансированию
§  Выгоды:
CapEx переходит в OpEx
Ускоренная амортизация (коэффициент – 3)
Снижение налога на прибыль и имущество
Не снижает Net Income, EBITDA
Нет проблем списания оборудования
Отсрочка платежа
Фиксированная ставка в рублях
Положительное влияние на финансовые показатели

Рост продуктивности сотрудников
§  Рост продуктивности à снижение времени,
потраченного на дорогу à перевод сотрудников на
дом à решение по защищенному удаленному
доступу
§  Рост продуктивности – от 10% до 40%
§  Дополнительно:
Увеличение рабочего времени
Экономия на аренде площадей
Экономия на питании сотрудников
Экономия на оплате проездных (если применимо)
Экономия на оплате канцтоваров

Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
Аэропорт
WAN/Internet
SiSi
SiSi
Отель
Предприятие
Дорога
Кафе
Главный
офис HQ
Филиал Дом
§  Многие компании фокусируются на предоставлении сервиса на своей
территории (зарплата, билеты, документооборот…)
§  Сотрудник в среднем тратит только 30–40% времени в офисе
100
сотрудников
500
1000
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К

Уменьшение числа командировок
§  Уменьшение числа командировок à внедрение
видеоконференцсвязи/унифицированных
коммуникаций/TelePresence à решение по
защищенному удаленному доступу и защите
унифицированных коммуникаций
Командировочных затратах ($300-400 на авиабилет + $100 на
гостиницу в сутки)

Рост продуктивности сотрудников
§  Чтение электронной почты à отвлечение на
незапрошенную корреспонденцию à антиспам-
решение
Интернет-трафике
Времени чтения почты
Последствия вирусных эпидемий
§  Особенности
Экономия на времени чтения почты имеет значение для
предприятий с большим числом сотрудников

Сокращение затрат на Интернет
§  Контроль действий сотрудников в Интернет à
блокирование загрузок постороннего ПО, музыки,
видео и контроль посторонних сайтов à решение по
контролю URL
Интернет-трафике
§  Дополнительно
Рост продуктивности (может быть)
Защита от вирусов и троянцев в загружаемом трафике

Другие примеры
§  Снижение рисков путешествий (и затрат на них) для
сотрудников à внедрение унифицрованных
коммуникаций и Telepresence à защита
коммуникаций (технологии VPN, AAA и т.п.)
§  Снижение издержек на ИТ à аутсорсинг à защита и
разграничение удаленного доступа (технологии VPN,
AAA, МСЭ и т.п., а также проработка юридических и
организационных моментов, связанных с ИБ)
§  Снижение издержек на внутренний Helpdesk à
внедрение системы автоматического управления
паролями пользователей (технология AAA)

И еще примеры бизнес-целей, которые
можно декомпозировать
§  Бизнес инвестирует в проекты, приносящие отдачу
Отдача не обязательно носит денежный характер
Критерии
•  Бизнес-ориентированный
•  Связанный с приоритетами/целями
компании
•  Измеримый в метриках, понятных бизнесу
•  Приносящий ценность или отдачу
(желательно финансовую)
•  Оптимальный (цель не любыми
средствами)
•  Выполненный в срок
•  Не нарушающий законодательство
Примеры
•  Снижение TCO
•  Защита взаимоотношений
•  Рост доверия
•  Соответствие требованиям
•  Ускорение выхода на рынок
•  Географическая экспансия
•  Снижение бизнес-рисков
•  Снижение текучки клиентов/партнеров
•  Рост лояльности клиентов/сотрудников
•  Оптимизация процессов
•  Интероперабельность и интеграция
•  Стандартизация
•  Рост качества
•  Оптимизация затрат (на внедрение,
эксплуатацию, поддержку и т.п.)
•  Повторное использование
•  Масштабируемость

Связь ИТ и бизнес-задач по COBIT

Функции и процессы любой компании
Основная деятельность
(выпуск продукта,
предоставление услуг)
Улучшение основной
деятельности
(оптимизация издержек)
Совершенствование
предыдущей категории
(управление качеством)

Всегда ли ИБ измерима деньгами?!
§  ИБ не относится к первой категории функций
предприятия
Финансовые метрики сложно применять в этом случае, т.к. ИБ
напрямую не генерит бизнес
§  ИБ чаще всего относится ко второй категории
функций
Возможность использования финансовых метрик зависят от
оцениваемого процесса
Некоторые проекты ИБ могут помочь оптимизировать
издержки
§  Управление ИБ – это всегда третья категория
функций
Финансовых метрик может вообще не быть
Исключение может составлять экономия на персонале за счет
более эффективного управления

Нет, не всегда!
§  Классические финансовые метрики определяют
балансовую стоимость предприятия, его доходы и
расходы
§  Рыночная стоимость, капитализация определяются
в т.ч. и нефинансовыми показателями
Уровень корпоративного управления
Наличие бренда
Прозрачность
Эффективность управления
И т.д.
§  Не зря появляется такое понятие, как система
сбалансированных показателей (Balanced scorecard,
BSC)

Security balanced scorecard
Заказчик Финансы
Внутренние
процессы
Обучение и рост
Базовая
BSC
Заказчик
Ценность для
бизнеса
Операционная
эффективность
Будущее
Compliance

Но вернемся к оценке отдачи в ИБ
§  Мало оценить
расходы на
продукт/проект ИБ
§  Необходимо
оценить
получаемые
выгоды
§  Нужна
положительная
разница между
выгодой и
расходами

О каких выгодах можно говорить?
§  Получение новых
доходов
§  Снижение
расходов/потерь
времени
(высвобождение)
числа людей
§  Не во всех компаниях это выгоды!
Поймите, что считается выгодой именно у вас

Высвобождение времени
администратора – это выгода или нет?
§  Выгоды у всех разные! Универсального списка нет!

Всегда ли вредно посещать порно-
сайты: пример из жизни!
§  Напоминание: Важно учитывать потребности бизнеса!

Выгода может означать скрытые
потери!
§  Задача: оценить эффективность системы контроля
доступа
§  Данный пример показывает оценку отдачи ДО!
Видимая оценка
•  1,5 часа в день на
«одноклассниках»
•  200 сотрудников
•  6600 часов экономии –
825 чел/дней
•  $18750 в месяц (при
зарплате $500)
•  $225000 в год экономии
Скрытая оценка
•  Блокирование доступа не
значит, что сотрудники
будут работать
•  Работа «от» и «до» и не
больше
•  Ухудшение псих.климата
•  Потери $150000 в год

Не всегда возможно оценить отдачу
заранее!
Оценка ДО
Оценка ПОСЛЕ

Как оценить DLP-решение?
§  Пока инцидент не произошел оценить его сложно!
§  Цена на инцидент
стоимость расследования инцидента
стоимость восстановления после инцидента
стоимость PR/общения с прессой
затраты на юридические издержки (опционально)
затраты на нарушение соответствия (опционально)
стоимость досудебного урегулирования (опционально)

Почему мы не привязываемся к
стоимости защищаемой информации?
Она имеет ценность
Имеет ценность для вас
Снижает неопределенность при
принятии решений
Влияет на поведение людей,
приводящее к экономическим
последствиям
Нематериальный актив
(собственная стоимость)
Не имеет ценности для вас, но
имеет для кого-то еще
Если ей воспользуются другие,
то вы понесете убытки или
проиграете в конкурентной
борьбе
Ее защита требуется
государством / регулятором
Она не имеет ценности, но ее
принято защищать

Как оценить стоимость информации?
§  Информация стоит денег сама по себе
Самый простой метод
Множество стандартов оценки нематериальных активов
§  Информация позволяет улучшить что-то
Стоимость информации равна разнице между стоимостью
«до» и «после»
§  Информация позволяет принимать решения
Самый сложный сценарий оценки стоимости
Методы AIE, iValue и другие

Как оценить DLP-решение?
§  Цена на запись
стоимость уведомления (создание списка пострадавших,
печать, почтовые услуги)
стоимость реагирования пострадавших, например, звонки в
Help Desk (опционально)
стоимость защитных мер у заказчиков, например,
регулярные уведомления, системы борьбы с
мошенничеством, средства ИБ (опционально)
§  Дополнительные метрики
Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n
месяцев)
Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в
месяцах измерять нет смысла - рынок все забывает)

А может посчитать отдачу, привязав к
курсу акций?

Не всегда связь очевидна

Есть ли связь между ИБ и стоимостью
акций?
§  Существующие исследования
Гордон, Лёб и Жу - 2003 год - падение в среднем на 2%
Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в
среднем на 2.1%
Хова и Д'Арси - 2003 год - связи не обнаружено
Каннан, Рис и Сридхар - 2004 год - падение на 0,73%.
Теланг и Ваттал – 2011 год - падение на 0.6%
Experian Data Breach Resolution – 2011 год – падение
стоимости бренда на 12%
§  При этом влияние на курс акций имеет место быть
только в первый день опубликования
Во второй и последующие дни серьезного влияния на
стоимость акций безопасность уже не оказывает

У любого продукта/проекта множество
измерений
§  Даже самый продукт ИБ
обычно решает сразу
несколько задач
§  Выявить эти задачи
(провести
декомпозицию)
важнейший шаг при
оценке отдачи в ИБ
§  У стоимости
информации тоже есть
разные измерения

Одно и тоже можно измерить по-
разному (проект по IdM)
§  Число сброшенных паролей в месяц
Сброшенных после блокирования учетной записи, например. Или после
забытого пароля и использования системы генерации паролей самими
пользователями
§  Среднее число учетных записей на пользователя
Средним показателем считается 10-12. В любом случае это число
демонстрирует необходимость внедрения SSO
§  Число учетных записей «без пользователей»
Пользователей переводя на новую работу, повышают, увольняют... А что с
их учетными записями?..
§  Число новых учетных записей
Насколько оно отличается от числа новых сотрудников за тот же период
времени?
§  Среднее время на предоставление доступа новой учетной
записи к ресурсам, необходимым для работы

Одно и тоже можно измерить по-
разному (проект по IdM)
§  Среднее время на утверждение изменений в учетной записи и
ее правах доступа
§  Число систем или привилегированных учетных записей без
владельца
§  Число исключений при установлении правил доступа
Обычно при создании новых ролей или внедрении новых приложений число
таких исключений велико, но постепенно оно должно стремиться к нулю.
Если нет, то есть серьезная проблема с качеством идентификационных
параметров учетной записи.
§  Число нарушений разделения полномочий
Например, есть ли у вас в системе пользователи одновременно с правами
разработчика и внедренца системы? Или с правами операциониста и
контроллера?

Другой пример: средство аудита сети
§  Решение по управлению
изменениями
Обнаружение изменений на сети в
реальном режиме времени
Предварительная проверка изменений
перед их внедрением на сети
Контроль за выполнением
корпоративных правил и политик
§  Аудит и анализ соответствия
политиками компании
Внедрение политик и правил на сети
Автоматическая генерация отчетов по
соответствию международным
рекомендациям (SOX, VISA CISP,
HIPAA, GLBA, ITIL, CobiT, COSO)
§  Согласование изменений
Настройка правил согласования
Возможность настройки сложных
правил
§  Отчетность

Решаемые задачи с точки зрения
разных целевых аудиторий
•  Управление политиками безопасности
•  Контроль изменений на сетевом оборудовании с
точки зрения ИБ
•  Аудит безопасности средств защиты и сетевого
оборудования
•  Проверка соответствия требованиям ИБ-
стандартов
ИБ
•  Управление изменениями на сетевом
оборудовании
•  Распределение конфигов для удаленного
оборудования
•  Контроль версий ОС на сетевом оборудовании
•  Проверка соответствия требованиям ИТ-
стандартов (ITIL, COBIT и т.п.)
ИТ

• Автоматизация управления политиками безопасности
• Снижение затрат на разработку, распределение и
контроль политик безопасности
• Контроль действий аутсорсера ИБ/ИТ
Управление
предприятием
• Снижение затрат на управление средствами защиты и
сетевым оборудованием
• Снижение TCO, CapEx и OpEx
Финансы /
Бухгалтерия
• Снижение операционных рисков
Внутренний
контроль или
управление
рисками

•  Выполнение требований
стандарта Банка России СТО БР
ИББС (для финансовых
организаций)
•  Выполнение требований PCI DSS
•  Выполнение требований ФСТЭК
•  Контроль соответствия
требованиям различных
нормативных актов (COBIT, ITIL и
т.п.)
Юридическая
служба

Как оценить средство аудита сети с
точки зрения ИТ/ИБ?
§  Число авторизованных изменений в неделю
§  Число актуальных изменений, сделанных за неделю
§  Число несанкционированных изменений, сделанных в обход
утвержденного процесса внесений изменений (в среднем -
30-50%; у лидеров - менее 1% от общего числа изменений)
§  Показатель (коэффициент) неудачных изменений, вычисляемый
как отношение несанкционированных изменений к актуальным
§  Число срочных изменений
§  Процент времени, затрачиваемого на незапланированную
работу (в среднем - 35-45%; у лидеров - менее 5% от общего
числа изменений)
§  Число необъяснимых изменений (вообще, это основной
индикатор уровня проблем в данной сфере)

А как оценить отдачу?
§  Основная выгода – экономия времени!
Время – деньги!
Ручной аудит
•  MTTR из-за ошибки
конфигурации:
150 минут
•  Простои & инциденты из-за
ошибок в «ручных»
конфигурациях: 80%
•  Среднее время обнаружения
уязвимости: 2 недель
•  Настройка нового
устройства: 6 часов
•  Изменений в час: 20
Автоматизированный аудит
•  MTTR из-за ошибки
конфигурации:
15 минут (10х)
•  Простои & инциденты из-за
ошибок в «ручных»
конфигурациях: 20%
•  Среднее время обнаружения
уязвимости: Менее 2 минут
(10080х)
•  Настройка нового
устройства: 20 минут (18х)
•  Изменений в час: 5,000

Проект по ПДн: запускать или нет? Вот
в чем вопрос!
Что
получаем?
Что
тратим?
Консалтинг
Реализация
Поддержка
Законопослушные
Защита от
штрафов

Стоимость 1-го этапа проекта по ПДн
Интегратор 1 Интегратор 2 Интегратор 3 Интегратор 4
$55600 $30390 $123438 $31000
§  Особенности
Сбор информации о ПДн – около $5K (min – 1.5K, max – 11K)
Категорирование ПДн – min – 0.5K, max – 5K
Сбор информации о защите – около $6K (min – 2K)
Классификация ИСПДн – min – 0.5K, max – 9K
Разработка модели угроз – min – 0.5K, max – 23K
Разработка ТЗ - min – 1K, max – 9K
Техпроект СЗПДн – min – 25K, max – 50K
Подготовка к лицензированию – 3К
Сопровождение в процессе лицензирования – 14К

Стоимость 2-го этапа (худший сценарий)
§  Аттестация одного АРМ – 10-15К рублей
§  Стоимость сертифицированной СЗИ – +10-15% к
стоимости несертифицированного решения
§  Обучение с выдачей документа гособразца – 50К
рублей (за двоих)
§  Адекватная защита АРМ – около 200-400 долларов
§  Защита периметра – 5-10К долларов
Очень экономно и оптимистично
§  Защита сервера – около 800-1000 долларов

Редкооцениваемые затраты
§  Получение согласий от всех субъектов ПДн
§  Переделка договоров, форм анкет, форм на сайте
§  Уведомление субъектов ПДн о фактах обработки их
ПДн
§  Уведомление субъектов ПДн об устранении
нарушений, связанных с их ПДн
§  Затраты на управление инцидентами, связанными с
утечками ПДн
Готовится законопроект об обязательном уведомлении об
утечках

От чего защищаемся?
№ Название статьи Максимальное
наказание
13.11 Нарушение установленного законом
порядка сбора, хранения, использования
или распространения информации о
гражданах (персональных данных)
10.000 руб.
13.14 Разглашение информации с ограниченным
доступом
5.000 руб.
13.12 Нарушение правил защиты информации 20.000 руб. +
конфискация +
приостановление
деятельности на
срок до 90 суток
13.13 Незаконная деятельность в области защиты
информации
20.000 руб. +
конфискация

наказание
5.27 Нарушение законодательства о труде и об
охране труда
50.000 руб. +
срок до 90 суток +
дисквалификация
должностного
лица до 3-х лет
5.39 Отказ в предоставлении гражданину
информации
1.000 руб.
19.4 Неповиновение законному распоряжению
должностного лица органа,
осуществляющего государственный надзор
(контроль)
10.000 руб.

наказание
19.6 Непринятие мер по устранению причин и
условий, способствовавших совершению
административного правонарушения
500 руб.
19.5 Невыполнение в срок законного
предписания (постановления,
представления, решения) органа
(должностного лица), осуществляющего
государственный надзор (контроль)
500.000 руб. +
дисквалификация
должностного
лица до 3-х лет
19.7 Непредставление сведений (информации) 5.000 руб.
19.20 Осуществление деятельности, не связанной
с извлечением прибыли, без специального
разрешения (лицензии)
20.000 руб. +
срок до 90 суток

наказание
20.25 Неуплата административного штрафа либо
самовольное оставление места отбывания
административного ареста
Двукратное
увеличение
штрафа
§  Уголовное и дисциплинарное наказание не
применяется
А если да, то не к компании, а к ее работникам
§  На репутацию эти штрафы и утечки влияют слабо
§  Вопрос влияния инцидентов с ПДн на лояльность
клиентов в России не изучен
Но вероятность влияния не высока

Число протоколов также растет

Суммы штрафов пока незначительны

Но это не все – надо учитывать и
будущие изменения
10.000
руб.
1.000.000
руб.
2% от
дохода
Выручка
за год
300.000
руб.
§  Новые составы правонарушений
§  Увеличение суммы штрафа
§  Кумулятивное наказание
§  Бесконтрольное проведение проверок

Не забывайте: не ЧТО, а ЗАЧЕМ!

Пример: повышение осведомленности
§  Цель – ежегодное прохождение сотрудниками
тренинга по ИБ и включение в должностные
обязанности темы ИБ
§  Метрики
Сколько пользователей знают, что в компании существует
политика безопасности? А сколько ее читало? А сколько ее
понимает (измеряется с помощью обычных опросов)?
Сколько инцидентов ИБ связано с человеческим фактором?
Сколько сотрудников сообщают в службу ИБ об инцидентах
ИБ (при их организации со стороны самой службы ИБ -
аудит, тесты на проникновение, спланированный
социальный инжиниринг и т.п.)?
Сколько пользователей поддалось на попытки
спланированной службой ИБ социального инжиниринга?

Сколько пользователей имеют слабые пароли
(определяется путем применения систем подбора
паролей)?
Сколько систем не выполняют требования политики
безопасности (позволяет идентифицировать
администраторов, которые не выполняют возложенные на
них обязанности)?
Сколько пользователей открывают письмо от незнакомца?
Сколько пользователей знают, куда обращаться в случае
инцидента? Сколько пользователей знают процедуру своих
действий при реагировании на инциденты? Эти же метрики
могут помочь оценить и процесс управления инцидентами
(среди других метрик).

Сколько прошло времени с последнего тренинга/онлайн-
курса, который посетил сотрудник. Эта метрика скорее
оценивает саму службу ИБ, ответственную за регулярные
процедуры повышения осведомленности.
Сколько сотрудников было уволено или получило выговоры
за нарушение политики безопасности? В российских
компаниях этот показатель равен, как правило, нулю. Но
это не значит, что все идеально. Скорее, ситуация обратная
- никаких наказаний за нарушения политики ИБ просто не
предусмотрено или все плюют на них, а влияния на их
применение у службы ИБ не хватает. Сюда же можно
отнести и число внешних исков со стороны пострадавших
клиентов. Но в России это пока тоже из области
фантастики.

§  Цель – ежегодное прохождение сотрудниками
тренинга по ИБ и включение в должностные
обязанности темы ИБ
Это ответ на вопрос: «ЧТО мы хотим сделать?», но не
«ЗАЧЕМ мы хотим это сделать?»
§  ЗАЧЕМ необходимо ежегодное прохождение
сотрудниками тренинга по ИБ?
Чтобы было меньше инцидентов? è Считайте отдачу за
счет снижения ущерба от инцидентов!
Чтобы выполнить требования регуляторов? è Считайте
штрафы от невыполнения требований!

А может привязаться к размеру
потерь? Да!
Продуктивность
•  Простои
•  Ухудшение психологического климата
Реагирование
•  Расследование инцидента
•  PR-активность
•  Служба поддержки
Замена
•  Замена оборудования
•  Повторный ввод информации
Штрафы
•  Судебные издержки, досудебное урегулирование
•  Приостановление деятельности
Конкуренты
•  Ноу-хау, государственная, коммерческая тайна
•  Отток клиентов, обгон со стороны конкурента
Репутация
•  Гудвил
•  Снижение капитализации, курса акций
Другое
•  Снижение рейтинга
•  Снижение рентабельности

Не забываем про декомпозицию!
Цена взлома медицинской системы
Пример США! В РФ часть потерь
будет отсутствовать или незначительна

Все ли так просто или есть подводные
камни?
§  Универсального метода финансовой оценки ИБ не
существует
Возможность применения различных финансовых методик
зависит от знаний и опыта как стороны демонстрирующей
оценку (служба ИБ), так и стороны, которой демонстрируют

Оцениваете не только вы, но и вас!
§  Финансовая оценка ИБ нужна только в том случае,
если бизнес вообще готов разговаривать в этом
разрезе
Учитывая скепсис к финансовой оценке эффективности ИТ/
ИБ, это происходит не всегда
§  Многие руководители (не только службы ИБ)
считают, что оценить ИБ финансово невозможно
Но можно оценить стоимость защищаемой информации,
ущерб от инцидентов, эффективность проекта по IT Security
§  В таких случаях оценка финансовой отдачи от
продуктов/проектов ИБ – просто интересная задача,
не имеющая ничего общего с реальностью
конкретной организации

Если вас готовы слушать, то готовы
ли вы говорить на языке денег?
§  Это возможно, но только при условии выхода на
бизнес-уровень, где вы можете посчитать отдачу!
§  Если бизнес готов разговаривать, то его обычно
интересуют некие граничные цифры, после
превышения которых бизнес готов обращать на
безопасность хоть какое-то внимание
При этом бизнес должен быть согласен с оценкой, т.к. его
больше интересует реальность, а не математическая
точность

Безопасники не всегда готовы L
§  Все финансовые методы (традиционные и «новые»)
требуют для расчета исходные данные, обычно
отсутствующие у служб информационной
безопасности
Нет, потому что мы не знаем, где их взять
Нет, потому что не дают
Нет, потому что у нас нет квалификации для измерений
Нет, потому что мы не верим в эффективность этих методов
Нет, потому что мы боимся соваться в финансы
Нет, потому что нет гарантии, что нам поверят
Нет, потому что нам не верят
Нет, потому что мы забыли математику
Нет, потому что нет

Стоимость женских духов и экономика
ИБ: что общего?
§  Правда заключается в том, что
никакой объективной стоимости
нет в природе. Цена любого
предмета, произведенного
человеком, складывается из
массы других, столь же
относительных цен – цены
труда в столице, деревне,
Франции или Занзибаре, цены
сырья, цены транспортировки.
Все они – условны: то, что
человечество на данном этапе
своего существования сочло
ценным, совсем не обязательно
было таковым раньше

Зарубежные ROI Calculator
© 2005 Cisco Systems, Inc. All rights reserved.

Если вы готовы, то
§  Помните про конкретные цели ИБ
§  Помните про вопрос «ЗАЧЕМ?», а не только
«ЧТО?»
§  Помните про декомпозицию
Целей, выгод и потерь
§  Помните про целевую аудиторию, которой вы
будете демонстрировать отдачу
§  Примените универсальный способ оценки отдачи
Несмотря на то, что его все равно не существует J

Универсальный метод
•  Описание условий реализации инициативы (внутренней и
внешней среды)Где
•  Описание самой инициативы
Что
•  Оценка операционных и экономических эффектов от
нормальной реализации инициативыДля чего
•  Цепочка объясняющих причинно-следственных связей
между инициативой и ожидаемыми эффектамиПочему
•  Алгоритм действий по выявлению и оценке ожидаемых
эффектов, который предполагается тем или иным методомКак
•  Ключевые участники инициативы и распределение между
ними ответственности за получением ожидаемых эффектовКто

Оценка отдачи может потребовать
знания математики и финансов
§  Линейный и регрессионный анализ
§  Метод Монте-Карло
§  Теория игр (дилемма заключенного)
Когда злоумышленник сменит цель X на цель Y?
Пример: почему MacOS атакуют меньше чем Windows
Чтобы злоумышленники заинтересовались MacOS и стали
заниматься монетизацией вредоносного ПО для нее, ее
популярность должна превысить порог в 12-16% (он был
превышен в 2010-м году). Поэтому сейчас мы видим такой
рост интереса к вредоносному ПО для MacOS
Защита А Защита Б
Атака А (1- - p)fv fv
Атака Б (1 – f)v (1 – p)(1 – f)v

Классические финансовые модели
лежат в основе всех сложных методов
§  Net Present Value (NPV)
Какова ценность вкладываемых финансовых ресурсов для
проекта при определенной ставке дисконтирования?
§  Internal Rate of Return (IRR)
Какова ставка дисконтирования, при которой проект еще
имеет смысл?
§  Return on Investment (ROI)
Что мы потеряем и что получим от внедрения проекта?
§  Playback Period (PbP)
Когда вернутся инвестиции?

«Новые» финансовые методы
§  «Инвестиционные»
Total Value of Opportunity
(TVO)
Total Economic Impact (TEI)
Rapid Economic Justification
(REJ)
§  «Затратные»
Economic Value Added (EVA)
Economic Value Sourced
(EVS)
Total Cost of Ownership
(TCO)
Annual Lost Expectancy
(ALE)
§  «Контекстуальные»
Balanced Scorecard
Customer Index
Information Economics (IE)
IT Scorecard
§  «Количественные
вероятностные»
Real Options Valuation
iValue
Applied Information
Economics (AIE)
COCOMO II and Security
Extensions

Только один пример: TEI от Forrester
§  Закрытая методика,
разработанная компанией
Giga Group, купленной
Forrester
Требует участия экспертов
Forrester
§  Оценивает эффективность
по трем критериям
Гибкость
Стоимость
Преимущества
§  Использует другие
методики (ROV, ROI и т.п.)

Описание метода TEI
§  TEI, базирующийся на экспертной оценке, делит
эффекты на краткосрочные прямые и долгосрочные
непрямые
§  Краткосрочные
TCO
Прямой эффект от использования бизнесом
§  Непрямые
Через дополнительные возможности, которые открываются у
бизнеса в связи с использованием данного ИБ-решения

Алгоритм метода
§  Описание инициативы
Ориентированы на «среднее» по отрасли предприятие
§  Определение горизонта оценки
Включая ставку дисконтирования риска
§  Оценка TCO
§  Оценка краткосрочного эффекта
§  Оценка будущих возможных эффектов
§  Оценка рисков реализации инициативы

TEI of Cisco Borderless Networks Study
§  Базируется на
методологии Forrester
Total Economic Impact
(TEI)
§  Интервью 13 заказчиков
§  Опубликованное
исследование ROI
базируется на
организации в США с
5,000 сотрудниками
§  Трехлетний расчет
преимуществ и затрат

TEI of Cisco ISE и Secure DC

BN Business Benefits Calculator 1.0
§  Разработан Forrester
Research
§  Базируется на методологии
Forrester Total Economic
Impact (TEI)
§  Данные базируются на:
Интервью с заказчиками
Отчетами заказчиков
Исследованиями аналитиков
§  Аудитория
IT Director/Sr. Managers
Business Decision Makers

Applied Information Economics
§  Applied Information
Economics от Hubbard
Decision Research
Опирается на множество
дисциплин (экономика,
поведенческая психология,
теория принятия решений,
теория игр, анализ рисков и
т.п.)
Опирается на понятие
неопределенности возврата
инвестиций и позволяет
спрогнозировать различные
сценарии инвестирования
Базируется на методе Монте-
Карло

Метод Монте-Карло
§  Метод Монте-Карло появился в конце 1940-х годов
для задач, в которых необходимо было оценивать
вероятность успешного исхода того или иного
события, не комбинаторикой, а просто большим
(или очень большим) количеством экспериментов,
которые и позволяют, подсчитав удачное число
исходов опытов, оценить вероятность успеха
§  Метод Монте-Карло не дает вам 100%-ую точность
Есть ряд задач, и оценка позитивного ROI относится к ним,
когда их сложность, т.е. число измерений, которые надо
осуществить, чтобы получить точный ответ, может расти
экспоненциально
В таких случаях можно пожертвовать точностью и найти
менее точный ответ, но все равно дающий точность выше
50%

§  В AIE, как и в других методах, используется понятие
выгод и затрат от проекта по ИБ
Точных цифр мы не знаем и можем только гадать о том, что
скрывается за этими неопределенными переменными
Поэтому мы подставляем под эти переменные интервалы
возможных значений и моделируем сотни или тысячи
возможных сценариев
§  Результатом станет набор различных сценариев с
различными результатами от реализации
оцениваемого проекта

§  Например, может оказаться так, что
В 15% случаев проект будет убыточен
В 54% - доходен
В 1.6% вообще может привести к краху предприятия (под
крахом подразумевается убыток в сумме равной обороту
всего предприятия)
§  Дальше остается только
принимать решение, но
принимать уже основываясь
на математически
выверенных результатах,
а не на экспертной оценке

Иногда, чем проще, тем лучше: проект
по Identity Management
§  Задача: оценить отдачу от проекта по внедрению
единой системы управления идентификаций,
аутентификацией и авторизацией
С точки зрения ИБ и обычные пароли эффективны
§  Вспоминаем про декомпозицию
Создание ID, вход в приложения, неудачные входы, звонки в
Help Desk, обслуживание пользователей…
§  Исходные данные:
Число пользователей – 120000
Ежегодная ротация кадров – 15%
Среднее число ID/паролей – 5
Число рабочих часов в день – 8
Число рабочих дней в год - 260

Первая фаза расчета – установка ID
§  Ежегодное число новых пользователей – 18000
(120000*15%)
§  Необходимо поддерживать 90000 новых ID/паролей
(5*18000)
§  Создание нового ID/пароля – в среднем 120 секунд
(анализ заявки, создание и настройка учетной
записи)
§  Всего на администрирование новых пользователей
уходит 3000 часов (~2 человека при полной
нагрузке)

Вторая фаза расчета – рутина
§  В среднем 20 входов в систему/приложения
ежедневно (из-за истекшего таймаута, смены
приложения и т.д.)
§  Среднее время регистрации – 15 секунд
§  Ежедневно тратится 10000 ресурсо-часов на
регистрацию
§  Ежегодно тратится 2200000 ресурсо-часов на
регистрацию в разные системы и приложения

Третья фаза расчета – проблемы
§  В среднем 1% всех попыток регистрации
заканчивается неудачно
§  Повторная регистрация разрешается через 60
секунд
§  Общее время на повторную регистрацию в год
составляет 88000 часов

Четвертая фаза расчета – поддержка
§  В среднем после 3-х неудачных попыток входа в
систему учетная запись блокируется
§  После 2-х неудачных попыток входа рекомендуется
позвонить в службу поддержки
§  2400 звонков ежедневно в службу поддержки по
факту 2-х неудачных попыток входа в систему
§  SLA = 4 часа на обработку одного инцидента
§  18000 пользователей ждут максимум по 4 часа –
72000 часа потери времени (продуктивности)
§  2400 звонка максимум по 4 часа – 9600 часов в день
или 2112000 ресурсо-часов в год

Итого
§  Время затраченное на администрирование новых
ID/паролей, ежедневную регистрацию и повторные
ввод ID/пароля составляет 2291000 часов в год…
что составляет 1% всего рабочего времени компании
§  Еще 2184000 ресурсо-часов в год на поддержку
неудачных попыток входа…
что также больше 1% всего рабочего времени компании
§  Итого – 4475000 ресурсо-часов или больше 2%
всего рабочего времени компании в год - только на
одну задачу – управление Identity
Умножьте это на свои доходы!

General Motors: реальный пример
§  Предоставление доступа в среднем через 7 дней
после заявки
§  Синхронизация паролей и ID в разных системах – 3
дня
§  50% запросов требует контактов с пользователем
§  «Разруливание» проблем с доступом – 10 дней
§  Конфликт между ID может приводить к задержкам в
работе до 90 дней

General Motors: реальный пример
§  Обработка 6600 проблем с доступом – потеря
продуктивности – 3,000,000 долларов
§  Восстановление доступа для 56000 учетных
записей – потеря продуктивности – 18,200,000
долларов
§  2500 сотрудников (учетных записей) уволено –
затраты на удаление – 162,500 долларов
§  Прямой ущерб – 1,200,000 долларов

Другие примеры
§  Нередко бывает необходимо
сравнить два и более средств защиты
оценить эффективность конкретного средства защиты
§  Поэтому очень часто необходимо оценивать
конкретные продукты
Абстрактная оценка не срабатывает
При расчете эффективности с участием конкретного
продукта необходимо учитывать TCO, а не только
стоимость лицензии
§  При финансовой оценке всегда необходимы
исходные данные, которые находятся за пределами
службы ИБ

Удаленный защищенный доступ
Снижение арендной ставки
§  Решение Cisco Virtual Office (CVO) à перевод
сотрудников на дом à уменьшение арендуемых
площадей à снижение арендной платы
Офис (класс А)
Стоимость
м2 в год*
Итого**
Башня Федерация 850$ 1700$
Александр Хаус 800€ 1600€
8 марта, 14 570$ 1140$
Daev Plaza 1300$ 2600$
GreenWood 290$ 580$
* + стоимость стоянки $150-250 в месяц
** Из расчета 2 м2 на сотрудника
Элемент CVO Цена
Cisco 861 449$
IP Phone 7911G* 225$
Cisco Security
Manager**
300$
* Опционально
** В пересчете на одно место
*** Дополнительно требуется ACS и HeadEnd VPN
для HQ
Без оценки вопросов compliance и применения сертифицированных СКЗИ

Удаленный защищенный доступ
Дополнительные выгоды
§  Дополнительная экономия на:
Питании сотрудников
Оплате проездных (если применимо)
Оплате канцтоваров
Оплате коммунальных расходов
§  А также
Рост продуктивности на 10-40%

Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
Аэропорт
WAN/Internet
SiSi
SiSi
Отель
Предприятие
Дорога
Кафе
Главный
офис HQ
Филиал Дом
§  Многие компании фокусируются на предоставлении сервиса
на своей территории (зарплата, билеты, документооборот…)
§  Сотрудник в среднем тратит только 30–40% времени в офисе
100
500
1000
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К

Откуда берется 1 час потери продуктивности?
§  Рабочий день мужчины в России – 8 часов 14 минут
Переработка на 14 минут
§  Рабочий день мужчины в Москве – 5 часов 33
минуты
Потери 2,5 часов ежедневно (!) – преимущественно пробки
§  Рабочий день женщины в России – 5 часов 44
минуты
Потери 2 часов 16 минут ежедневно
§  Рабочий день женщины в Москве – 5 часов 23
минуты
Потери 2 часов 37 минут ежедневно
Источник: Росстат, 06.06.2011

Система контроля доступа
Масштаб имеет значение
Статья экономии
Человека/
часов
Цена*
Идентификация
несоответствующих
компьютеров
1.0 $12.00
Определение
местоположения
несоответствующих
1.0 $12.00
Приведение в
соответствие
2.0 $24.00
Потенциально сэкономленные затраты
на 1 компьютер (в год)
$48.00
Потенциально сэкономленный затраты
на 1 компьютер (за 3 года)
$144
* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра
может варьироваться от $1000 до $4000
Элемент
решения
Цена
Cisco ISE
Appliance 3315
Server (100
users) / 3Y
$15490
Cisco ISE
Appliance 3315
Server (500
users) / 3Y
$36490
(~2x)
Cisco ISE
Appliance 3315
Server (1000
users) / 3Y
$62990
(~2,5x)

Экономически целесообразен ли
антиспам?
§  Исходные данные:
Число сотрудников (почтовых ящиков) – 7000
Объем электронной корреспонденции – 70000 в сутки (10 сообщений
на сотрудника)
Объем спама – 60% (42000 сообщений)
Время обработки одного спам-сообщения сотрудником – 10 сек
Суммарные дневные затраты на спам – 14,583 человеко-дня
Средняя зарплата сотрудника – $1500
§  Потери компании
В день – $994,29
В месяц – $21784,5
В год – $248573,86
§  Выгоден ли антиспам в данной ситуации?
Да, как и всегда в крупных организациях

Контроль доступа в Интернет
§  Оценка экономической эффективности проекта по
контролю доступа в Интернет на базе Cisco Web
Security
§  Исходные данные
1,5 часа в день на «одноклассниках» или в «вконтакте»
200 сотрудников
6600 часов экономии – 825 чел/дней
§  Потери $18750 в месяц (при зарплате $500)
§  Ежегодные потери $225000
§  Стоимость Cisco Web Security Appliance (S160) -
$15060 ($27100 на 3 года)
Включая Web Usage Control, Web Reputation, Anti-Malware

Мы посчитали отдачу: что дальше?
§  Демонстрация отдачи для бизнеса и ее использование
– это разные вещи
§  Снижение арендной платы à уменьшение арендуемых
площадей à перевод сотрудников на дом à решение
по защищенному удаленному доступу
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
§  Принятие решения о переводе принимает менеджмент
Надо не только предлагать решение, но и продвигать его

Прямая и косвенная отдача
Статья экономии Человека/часов Цена*
Идентификация несоответствующих компьютеров
1.0 $12.00
Определение местоположения несоответствующих
1.0 $12.00
Приведение в соответствие
2.0 $24.00
Потенциально сэкономленные затраты на 1 компьютер
$48.00
§  ИБ дала возможность сэкономить, но…
§  …воспользовался ли бизнес этой возможностью?

Прогресс и изменения
§  Все жаждут прогресса, но никто не хочет изменений
§  Люди инертны
Склонны верить тому, что узнали в самом начале (ВУЗе,
первой работе и т.д.)
Ленивы и не будут упорно трудиться ради изменений
Людей устраивает средний результат. Это зона комфорта.
Best Practices никому не нужны (как и мировые рекорды)
Люди считают свои решения лучшими
§  Чтобы пересмотреть точку зрения, человека надо
долго переубеждать или показать воочию
§  Изменения происходят не вдруг – имейте терпение

Отложенность возврата инвестиций –
тоже проблема
§  В области ИБ никто не проводил таких
исследований, а в области ИТ отмечается
существенный временной лаг между инвестициями
в ИТ и эффектами от них
Лаг достигает 4-5 лет
Лаг связан с длительностью изменений, связанных с
адаптацией организации к новым ИТ и более полным
использованием их возможностей
Долгосрочные эффекты от инвестиций в ИТ намного, в 2,5-3
раза, превышают краткосрочные
В ИБ, вероятнее всего, сохраняются (в лучшем случае) те же
показатели

Новый взгляд на измерение отдачи в
безопасность

Вопросы?
Дополнительные вопросы Вы можете задать по электронной
почте security-request@cisco.com
или по телефону: +7 495 961-1410

Как обосновать затраты на информационную безопасность

Recommended

Recommended

More Related Content

What's hot

What's hot (20)

Similar to Как обосновать затраты на информационную безопасность

Similar to Как обосновать затраты на информационную безопасность (20)

More from RISClubSPb

More from RISClubSPb (20)

Как обосновать затраты на информационную безопасность