Downloaded 33 times
Uploaded byDmitriy Manannikov
Экономические аспекты ИБ в условиях кризиса
Документ обсуждает экономические аспекты информационной безопасности в условиях кризиса, акцентируя внимание на антикризисных мерах, оптимизации ресурсов и важности финансового управления для эффективного принятия решений. Описываются последствия экономического кризиса, такие как снижение благосостояния и банкротства, а также необходимость учета как количественных, так и качественных показателей для обоснования экономических вложений в информационную безопасность. В заключении выделяются типы проектов, подходящих для кризисного времени, с низким капексом и высоким ROI.
![[Long 14-30] Владимир Гнинюк - В поисках взаимопонимания ИБ и Бизнеса](https://cdn.slidesharecdn.com/ss_thumbnails/l14-30-111212043321-phpapp02-thumbnail.jpg?width=640&height=640&fit=bounds)
Экономические аспекты ИБ в условиях кризиса
- 1. +7 (800) 55554 45 www.spsr.ru Экономические аспекты информационной безопасности в условиях кризиса Дмитрий Мананников директор по информационной безопасности
- 2. +7 (800) 55554 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Термины и определения Эконо́мика (от др.-греч. οἶκος — дом, хозяйство хозяйствование и νόμος — ном, территория управления хозяйствованием и правило, закон, буквально «правила ведения хозяйства дома»)— хозяйственная деятельность общества, а также совокупность отношений, складывающихся в системе производства , распределения, обмена и потребления. Главная функция экономики состоит в том, чтобы постоянно создавать такие блага, которые необходимы для жизнедеятельности людейобществ и без которых они не могут развиваться. Экономика помогает удовлетворить потребности в условиях ограниченных ресурсов. Экономический кризис (греч krisis — поворотный пункт) — резкое ухудшение экономического состояния страны, проявляющееся в значительном спаде производства, нарушении сложившихся производственных связей, банкротстве предприятий, росте безработицы, и в итоге — в снижении жизненного уровня, благосостояния населения. Так же эту ситуацию можно охарактеризовать как резкое изменениесокращение ресурсной базы в результате ряда коллизий
- 3. +7 (800) 55554 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Антикризисные меры Кризисный год Экономический кризис = Нехватка ресурсов = Новые правила игры = Оптимизация Антикризисные меры Затраты на инициативы развития Затраты по текущим процессам (- бюджеты?) (- персонал?) Кто определяет эту грань? CFO ? Выходное пособие Оптимизация ресурсов Ресурсы
- 4. +7 (800) 55554 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Как финансы видят ИБ «Вся Власть Финансам» или антикризисное управление компанией В кризис на принятие решения о выделение ресурсов больше всего влияют финансы Фонд оплаты труда Аренда помещений Оборудование Программное обеспечение Бухгалтерское ведение Консалтинг Х ХХХ ХХХ р. ХХХ ХХХ р. Х ХХХ ХХХ р. Х ХХХ ХХХ р. ХХ ХХ р. Х ХХХ ХХХ р. 0 р. 0 р. 0 р. 0 р. 0 р. 0 р. Стало безопаснее чем вчера Compliance Лучшие практики Снижены риски Сохранены тайны Консалтинг ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ «Долго не мог дровосек уснуть, метался в постели и стонал от горя. Тут жена ему и шепчет: - Давай завтра утром отведем детей в чащу леса, разведем костер, сделаем вид, что пошли работать, а сами вернемся домой…» Братья Гримм «Гензель и Грета»
- 5. +7 (800) 55554 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru «Старые» методы получения ресурсов отказали Количественные показатели (Quantitative Benefits) Качественные показатели (Qualitative Benefits)VS Соответствие новым законам Жизнь без вирусов Отключили dropbox из офиса … 0 in profit Снижение рисков? Кассовый разрыв Массовое сокращение Изменение курса валют Банкротство партнеров Санкции … Вирусные атаки Утечки ком.тайны DDoS атаки Целенаправленные атаки 152ФЗ … РИСКИ? РИСКИ! FEAR MARKET
- 6. +7 (800) 55554 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru На что жить дальше? Под какие гарантии получить ресурсы, когда «продажа страха» больше не работает? Новые проекты Текущие процессы% % Новые угрозы Старые риски ИБ Качественные показатели Количественные показатели Экономика проекта процесса
- 7. +7 (800) 55554 45 www.spsr.ru Но ведь экономику ИБ нельзя посчитать? МОЖНО ИБ только затратное подразделение! Прибыль от ИБ посчитать не возможно! Попробуйте посчитать бенефиты соответствия 152ФЗ или ISO 27001! Бенефиты Стоимость владения Перестаньте искать их внутри себя Договаривайтесь о снижении операционных рисков с их владельцами Стоимость лицензийжелеза Стоимость процесса выстроенного на этой базе Что нужно? Что важно? bullshit cloud
- 8. +7 (800) 55554 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Экономика проекта Финансовый показатель Вариант 1 Вариант 2 Вариант 3 Чистая стоимость (TCO) 3 077 199,07р. 4 706 107,54р. 5 157 369,55р. Чистые бенефиты 3 734 634,61р. 5 718 764,23р. 6 981 253,07р. Приведённая стоимость 657 435,53р. 1 012 656,69р. 1 823 883,52р. ROI, % 21 22 35 payback period, год 2 года 2 года 2 года Бюджет на 1-ый год 1 955 000,00р. 3 189 325,15р. 3 539 334,15р. Бюджет на 2-ой год 405 000,00р. 761 610,86р. 853 119,86р. Бюджет на 3-ий год 405 000,00р. 761 610,86р. 853 119,86р. Метрика Значение Учётная ставка 20 Расчётный период 3 года -2,000,000.00р. -1,000,000.00р. 0.00р. 1,000,000.00р. 2,000,000.00р. cash flow: вариант 1 -4,000,000.00р. -2,000,000.00р. 0.00р. 2,000,000.00р. 4,000,000.00р. cash flow: вариант 2 -4,000,000.00р. -2,000,000.00р. 0.00р. 2,000,000.00р. 4,000,000.00р. cash flow: вариант 3 -3,000,000.00р. -2,500,000.00р. -2,000,000.00р. -1,500,000.00р. -1,000,000.00р. -500,000.00р. 0.00р. 500,000.00р. 1,000,000.00р. 1,500,000.00р. 2,000,000.00р. 2,500,000.00р. 1 2 3 4 netbenefit График: break-even point Вариант 1 Вариант 2 Вариант 3
- 9. +7 (800) 55554 45 www.spsr.ru Что делать с уже существующими процессами? сбор статистики – метрик расчет стоимости функции инвойсирование бизнес-юнитов (выставление счетов в качестве информации) взаимозачеты разнесение затрат по ЦФО управляемый показатель SLA PROFIT Если старые процессы все еще на стадии проектов или требуют пересмотра условийресурсов Их следует рассмотреть как новые с полным расчетом экономических показателей
- 10. +7 (800) 55554 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru Антикризисные меры Кризисный год Экономический кризис = Оптимизация затрат = Новые правила игры Антикризисные меры Затраты на инициативы развития Ресурсы Затраты по текущим процессам Кто определяет эту грань? Оптимизация не равно сокращение! Оптимизация - повышение экономической эффективности CFO !!! Оптимизация ресурсов
- 11. +7 (800) 55554 45 www.spsr.ru Какие проекты «хороши» в кризис? Проекты с низким capex`ом Проекты с высоким ROIнебольшим PP Проекты с разнесенными платежамиобязательствами Проекты обеспечивающие стратегические цели компании «Короткие» деньги которыми можно оперативно управлять в случае изменения ситуации Поддержка развития бизнесановые возможности
- 12. +7 (800) 55554 45 www.spsr.ru Картинка на которой менеджеры меряются своими p&l ями с подписью «добро пожаловать в клуб» Да-да коллеги! Положительный P&L в этом году! Спасибо за внимание
Editor's Notes
- #2 Сегодня хотел бы поговорить о чувстве которое многих из нас не переполняет, я о уверенности в завтрашнем дне и возможно укрепить его обсуждением экономических аспектов ИБ и о том в каком виде они могут стать преимуществом в этот непростой год, и в каком могут стать существенным недостатком.
- #3 Основной момент текущего кризиса – нехватка денежной массы на рынке. А нехватка денежной массы это попытка каждой организации сделать «денежную подушку», а значит как можно меньше платить партнерам, как можно быстрее забрать деньги по старым обязательствам и как можно меньше потратить. Т.е. период накопления и снижения издержек
- #4 Итак у нас кризис и компания запускает полномасштабную санацию по всем фронтам. Как я уже и говорил, вся деятельность каждого подразделения будет рассмотрена на предмет максимальной выжимки из него средств в резервный фонд. Что будет сокращено первым? Затраты на продажи? На маркетинг? На бэкофис? На ИБ? Если на ИБ, то на что? Затраты на развитие, новые проекты? Или затраты на уже существующие процессы? Или вообще вся функция будет сокращена? Кто будет принимать решение в данном конкретном случае? Финансовый директор? Антикризисный управляющий? Да! Кризис его проблема. У нас глобальная нехватка денег, а это как раз тот ресурс за использование которого отвечает финансовый директор. Да конечно он не единолично будет принимать решение, но его мнение будет определяющим и для генерального директора и для борда.
- #5 Итак финансисты оптимизируют затраты на ИБ. Как они это делают? Им для этого не нужно идти к вам и задавать вопросы. У них уже все есть. Финансовая\управленческая отчетность. Тем у кого в компании принята МСФО наверняка знаком термин P&L, отчет о прибылях и убытках который ведется по каждому подразделению. И вот как он выглядит в ИБ в подавляющем большинстве случаев. И именно так ситуация будет донесена до руководства компании. Что будет дальше? Ну… эта цитата из старой сказки Братьев Гримм о нелегких но понятных управленческих решениях в условиях ограниченных ресурсов справедлива и в наше время. Только заменяем дровосека и жену на CEO и CFO, а детей на безопасников. В общем, в такой ситуации выдача ресурсов будет остановлена либо чрезвычайно сильно зажата, до принятия окончательного решения. Как мы знаем безопасники и маркетологи в кризис первые кандидаты на вылет. И причина именно в этом
- #6 Постойте, скажет безопасник, но ведь мы в ИБ всегда жили вне «количественных показателей», но при этом решали важные задачи. Осуществляли для вас комплаенс, лечили вирусы, ловили болтунов. Мы снижали риски, и все об этом прекрасно знают. Мы договаривались изначально о том что мы снижаем риски. Вот таблица - риски 6 а не 8 как в прошлом году! Помните, дровосек тоже любил своих детей, но что то заставило его принять жестокое решение. Дело в том, что раньше в основном безопасность продавала страх и тут же от него успешно защищала. А теперь на рынке «страха» новый игрок. Его «страхи» покруче. И лекарства от новых «страхов» в основном в том, что бы на старых «страхах» экономить. Ресурсов на старые «страхи» больше не осталось
- #7 Ок. Взгляд финансов это взгляд финансов. Сейчас кризис и он сейчас многое определяет. Он в чем то спорен, в чем то справедлив. В любом случае он сейчас лучше обоснован нежели позиция ИБ. И решение понятно. Но вот дилемма – технологии то не остановились. Угрозы множатся, проблемы растут. Любой аналитический отчет покажет нам небывалые ранее темпы роста инцидентов, а бизнес все больше и больше зависим от технологий и уже не умеет без них функционировать. Вызовы таковы что многие «риски» сопоставимы со стоимостью бизнеса, еще большее количество может останавливать основные бизнес процессы. Плюс старые проблемы никуда не делись. Все так же валит спам, все так же пишутся вирусы. Ресурсы на все это нужны, но мы оказались в ситуации когда их под «честное» слово уже не выдают. Что делать? Какие тут нужны гарантии? Экономика проекта. Она и только она. Нам нужны цифры для финансов. Цифры понятные им и которым они поверят.
- #8 Но ведь экономику ИБ нельзя посчитать? Я это слышу постоянно. Но люди которые так говорят, слегка не искренни. Посчитать с точки зрения экономики можно все. Чихание в офисе, плохую погоду. Абсолютно все. И когда мы слышим что экономику ИБ нельзя посчитать мы на самом деле слышим – «Нельзя посчитать экономику ИБ таким образом что бы получилась цифра со знаком плюс». И в общем это неправда. Вопрос в том, что да действительно если считать проекты ИБ то выйдет что в общем далеко не все из них экономически эффективны. По разным причинам. Но нам нужно перебрав все множество сосредоточится на проектах выгодных. Итак что бы их найти нам на самом деле нужны всего два параметра. Бенефиты и стоимость владения. Дальше все сделает набор формул. Итак какие важные моменты нам нужно понять для того что бы получить эти параметры, и самое главное что бы нам поверили в те расчеты которые мы на этих параметрах сделаем. 1) Не ищите бенефиты в ИБ. Их там нет. Бенефиты от любого процесса безопасности лежат в области операционных рисков. Операционные риски всегда легко просчитываемы. Сделайте декомпозицию своего проекта по бенефитам, определите какие оп риски вы с его помощью решите. И получите подтверждение от бизнес-юнита владельца риска. Вы работаете на него, вы договариваетесь о результате за который он готов платить. Да, вы вместе будете прогнозировать и я часто слышу опасения что изначальный прогноз не сбудется до каждого цента и вообще рассчитаны очень приблизительно -мы предполагали но точно не уверены. Все так. Но дело в том, что в абсолютно любом коммерческом проекте ситуация выглядит ровно так же. План продаж на год – условная категория. Прогнозируемый маркетингом спрос на новый товар – условная категория. В этом и есть суть по которой оценивается бизнес-чутье каждого менеджера. Насколько желаемое совпадет по итогам с действительным. Считайте стоимость всего процесса. Посчитайте всех участников, все затраты. Продумайте процесс заранее, как он будет функционировать, какие у него показатели эффективности. Никто не дает денег на что то что вы еще не придумали как применять
- #9 Что бы не быть голословным вот живой расчет DLP системы на небольшое количество пользователей. Да порядок цен был пропорционально изменен, у нас с каждым участником подписан NDA. Процесс построенный на базе этой системы закрывает операционные риски для HR, Финансов, Коммерческого департамента и для Топ-менеджмента. Каждое подразделение приняло бенефиты. Стоимость каждого элемента посчитана, заключены SLA. Как видите в зависимости от функциональности продукта, разные процессы дают разные бенефиты. Что дает возможность не только делать «доказательную» базу для финансов, но и сравнивать разные продукты на этапе принятия решения. Итак новые проекты посчитаны, что делать дальше и что делать с проектами которые уже запущены ранее.
- #10 С текущими активностями все на самом деле сильно проще. Они уже есть, а значит у вас есть вся база для сбора статистики\метрик, не нужно угадывать. Процесс уже выстроен и легко считается. А значит остается только посчитать стоимость бенефитов на этой базе и инвойсировать бизнес-юниты. Антивирус+антиспам к примеру стоят у нас n-рублей в месяц на сотрудника. Тут в общем предстоит нелегкая борьба заставить коллег взять на себя расходы за то, за что они никогда не платили но получали. Но в целом эта задача выполнимая. И самое главное она есть в практике у каждой компании! Посмотрите свой P&L и увидите в нем косты на свой персонал, полный кост со всеми премиями, страховками и налогами. Он у вас а не у кадров которые принимали сотрудника на работу и не у бухгалтерии которая платит налоги. Так же там скорее всего живут косты на офисную технику и мебель которую вы заказали у хозяйственной службы, если вы поедите учится то кост опять ваш а не внутреннего учебного центра. Посмотрите свой P&L и вы увидите что такая практика существует, вам не нужно ее выдумывать и внедрять на уровне компании, просто встраивайтесь в процесс. Договариваетесь о показателях – и ежемесячно разносите свои затраты по функциям на ЦФО бизнес-юнитов. Да через такой подход иногда выясняется, что какие то процессы которые жили долгие годы – бизнесу в общем не нужны и платить за них он отказывается. Но в этом и будет суть нашего следующего упражнения.
- #11 Упражнение «финансы №2». Как только безопасность приносит финансам понятные цифры можно начинать процесс оптимизации. Не обрубания непонятных костов, а именно оптимизации. И тут возникнет важная деталь! Оптимизировать, не значит минимизировать. Во многих компаниях в эпоху кризисов принят термин оптимизации, однако обычно воспринимается как простое сокращение расходов по всем статьям. Оптимизация — это обдуманный процесс, направленный на максимально эффективное использование ресурсов. Теперь когда финансы и безопасность играют одними фигурами, в понятных условиях можно договариваться. Да безусловно, этот подход не обеспечит вам 100% сохранности раннее запланированных инициатив. Но он даст возможность отыграть какие либо позиции. Провести оздоровление службы. Сконцентрироваться на вещах важных для компании в этом моменте.
- #12 Итак какие проекты\процессы выживут с большей долей вероятности? Короткие деньги. В кризис любому управляющему деньгами нужна скорость маневра. Кризис не однороден, сегодня тяжело на терпимо, ужались на 15% – а завтра 5 ключевых клиентов обанкротились, денег нет, зарплату платить нечем. В таких ситуациях проекты с «короткими деньгами» очень удобны, вы можете их резко морозить\управлять их качеством. И проекты реализующие стратегические моменты. Тут важно помнить что кризис так же и время больших возможностей и резких маневров. Проекты в глобальном видении более рисковые и их надо «страховать»
- #13 Спасибо за внимание