Документ рассматривает экономическую эффективность информационной безопасности (ИБ), подчеркивая важность определения объекта измерения для оценки эффективности мер защиты. Авторы обсуждают различные методы финансовой оценки ИБ, включая ROI и TCO, а также подчеркивают необходимость ведения учета экономического воздействия на бизнес. В документе также приводятся примеры расчета затрат и выгод, связанных с внедрением систем защиты и оптимизацией процессов.

1. Экономическая
эффективность ИБ.
Обоснование перед
руководством
Алексей Лукацкий, бизнес-консультант по безопасности
© Cisco, 2010. Все права защищены. 1/49

2. © Cisco, 2010. Все права защищены. 2

3. • Уровень опасности или сколько мы потеряем?
• Сколько денег на ИБ достаточно?
• Мы достигли цели?
• Насколько оптимально мы движемся к цели?
• Сколько стоит информация?
• Насколько мы соответствуем стандартам или требованиям?
• Какая из мер защиты выгоднее/лучше?
• Как мы соотносимся с другими?
• …
© Cisco, 2010. Все права защищены. 3/49

4. • Самое важное – определить объект измерения!
• Что для вас информационная безопасность?
Снижение числа вредоносных программ?
Получение аттестата PCI Council?
Снижение числа запросов в Help Desk по поводу забытых паролей?
Снижение числа утечек конфиденциальной информации?
Защита от наездов регуляторов?
• Что конкретно ВЫ имеете ввиду?!
• Определитесь с объектом измерения и половина работы по
измерению будет проведена!
© Cisco, 2010. Все права защищены. 4/49

5. • Мало кто может сказать, что такое эффективность –
большинство может сослаться на разрозненные наблюдения,
которые ассоциируются у них с эффективностью
Число эпидемий стало меньше
Заказчики стали меньше звонить в Help Desk по поводу недоступности
сайта
Пользователи стали реже заносить вредоносные программы на флешках
Руководство не жалуется, что не может «достучаться» до корпоративной
ИС из командировки
Сервер AD ни разу не «упал» в этом месяце
• Эффективность – это поддающийся количественному
определению вклад в достижение конечных целей
• Важно в конкретном случае детализировать понятие
«эффективность» (объект измерения)
© Cisco, 2010. Все права защищены. 5/49

6. © Cisco, 2010. Все права защищены. 6/49

7. • Универсального метода финансовой оценки ИБ не
существует
Возможность применения различных финансовых методик зависит от
знаний и опыта как стороны демонстрирующей оценку (служба ИБ), так и
стороны, которой демонстрируют
• Многие руководители (не только службы ИБ) считают, что
оценить ИБ финансово невозможно
Но можно оценить стоимость защищаемой информации, ущерб от
инцидентов, эффективность проекта по IT Security
• Это возможно, но только при условии выхода на бизнес-
уровень, где вы можете посчитать отдачу!
© Cisco, 2010. Все права защищены. 7/49

8. • Помните про цели и определение объекта измерения!
• Что вы хотите измерить деньгами
Сколько вы потеряете, не внедрив систему защиты?
Сколько я сэкономлю на данной системе защиты?
Какова цена защищаемой информации?
Сколько вы потратите на систему защиты за 3 года?
За сколько лет вернутся деньги, потраченные на систему защиты?
Выгоден ли этот проект? (определите, что для вас выгода)
Какая система защиты из двух дешевле? Или выгоднее?
Рискованны ли инвестиции в этот проект?
© Cisco, 2010. Все права защищены. 8/49

9. • Total Cost of Ownership (TCO)
Во сколько обойдется проект с учетом косвенных и всех прямых затрат?
• Net Present Value (NPV)
Какова ценность вкладываемых финансовых ресурсов для проекта при
определенной ставке дисконтирования?
• Internal Rate of Return (IRR)
Какова ставка дисконтирования, при которой проект еще имеет смысл?
• Return on Investment (ROI)
Что мы потеряем и что получим от внедрения проекта?
• Playback Period (PbP)
Когда вернутся инвестиции?
© Cisco, 2010. Все права защищены. 9/49

10. • Оценка стоимости нематериальных активов
МСФО 38 «Нематериальные активы»
GAAP (для США)
EVS 2000 (для Евросоюза)
Стандарты оценки РФ (утверждены ПП-519 от 6.07.2001)
• Economic Value Added (EVA)
• Economic Value Sourced (EVS)
• iValue
• Total Economic Impact (TEI)
• Applied Information Economics (AIE)
© Cisco, 2010. Все права защищены. 10/49

11. © Cisco, 2010. Все права защищены. 11

12. • Решение Cisco Virtual Office (CVO)  перевод сотрудников на
дом  уменьшение арендуемых площадей  снижение
арендной платы
Стоимость
Офис (класс А) Итого** Элемент CVO Цена
м2 в год*
Башня Федерация 850$ 1700$ Cisco 861 449$
Александр Хаус 800€ 1600€ IP Phone 7911G* 225$
8 марта, 14 570$ 1140$ Cisco Security 300$
Daev Plaza 1300$ 2600$ Manager**
GreenWood 290$ 580$ * Опционально
** В пересчете на одно место
* + стоимость стоянки $150-250 в месяц *** Дополнительно требуется ACS и HeadEnd VPN
** Из расчета 2 м2 на сотрудника для HQ
© Cisco, 2010. Все права защищены. 12/49

13. • Дополнительная экономия на:
Питании сотрудников
Оплате проездных (если применимо)
Оплате канцтоваров
Оплате коммунальных расходов
• А также
Улучшение психологического климата за счет работы дома
Рост продуктивности на 10-40%
© Cisco, 2010. Все права защищены. 13/49

14. Предприятие
Филиал Дом
Отель
Главный Si
Аэропорт
офис HQ
Si
WAN/Internet
Дорога
Кафе
Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям
100 500 1000
сотрудников сотрудников сотрудников
Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.
1 час потери продуктивности $1,200 $6,000 $12,000
Потери в год от 1 часа в неделю $62,5K $312,5К $625К
• Многие компании фокусируются на предоставлении сервиса
на своей территории (зарплата, билеты, документооборот…)
• Сотрудник в среднем тратит только 30–40% времени в офисе
© Cisco, 2010. Все права защищены. 14/49

15. • Рабочий день мужчины в России – 8 часов 14 минут
Переработка на 14 минут
• Рабочий день мужчины в Москве – 5 часов 33 минуты
Потери 2,5 часов ежедневно (!) – преимущественно пробки
• Рабочий день женщины в России – 5 часов 44 минуты
Потери 2 часов 16 минут ежедневно
• Рабочий день женщины в Москве – 5 часов 23 минуты
Потери 2 часов 37 минут ежедневно
Источник: Росстат, 06.06.2011
© Cisco, 2010. Все права защищены. 15/49

16. Человека/ Элемент
Статья экономии Цена* Цена
часов решения
Идентификация Cisco NAC $8990
несоответствующих 1.0 $12.00 Appliance 3315
компьютеров Server (100
Определение users)
местоположения
1.0 $12.00 Cisco NAC $22990
несоответствующих
компьютеров Appliance 3315
Приведение в Server (500
2.0 $24.00 users)
соответствие
Потенциально сэкономленные затраты Cisco NAC $89990
$48.00
на 1 компьютер Appliance 3315 (~3x)
* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра
Server (5000
может варьироваться от $1000 до $4000 users)
© Cisco, 2010. Все права защищены. 16/49

17. • Исходные данные:
Число сотрудников (почтовых ящиков) – 7000
Объем электронной корреспонденции – 70000 в сутки (10 сообщений на
сотрудника)
Объем спама – 60% (42000 сообщений)
Время обработки одного спам-сообщения сотрудником – 10 секунд
Суммарные дневные затраты на спам – 14,583 человеко-дня
Средняя зарплата сотрудника – $1500
• Потери компании
В день – $994,29
В месяц – $21784,5
В год – $248573,86
• Выгоден ли антиспам в данной ситуации?
Да, как и всегда в крупных организациях
В небольших организациях уже не так все очевидно
© Cisco, 2010. Все права защищены. 17/49

18. Ручной аудит Автоматизированный аудит
• MTTR из-за ошибки • MTTR из-за ошибки
конфигурации: конфигурации:
150 минут 15 минут (10х)
• Простои & инциденты из-за • Простои & инциденты из-за
ошибок в «ручных» ошибок в «ручных»
конфигурациях: 80% конфигурациях: 20%
• Среднее время • Среднее время
обнаружения уязвимости: 2 обнаружения уязвимости:
недель Менее 2 минут (10080х)
• Настройка нового • Настройка нового
устройства: 6 часов устройства: 20 минут (18х)
• Изменений в час: 20 • Изменений в час: 5,000
Cisco Network Compliance Manager имеет экономический смысл на крупных сетях
© Cisco, 2010. Все права защищены. 18/49

19. • Решение по защите системы Интернет-банкинга 
приобретение решения в лизинг, взятие в аренду или оплата
с рассрочкой платежа  оптимизация финансовых
показателей
• Выгоды:
CapEx переходит в OpEx
Ускоренная амортизация (коэффициент – 3)
Снижение налога на прибыль и имущество
Не снижает Net Income, EBITDA
Нет проблем списания оборудования
Отсрочка платежа
Фиксированная ставка в рублях
Положительное влияние на финансовые показатели
• Производитель должен иметь отдельную финансовую
структуру (например, Cisco Capital)
© Cisco, 2010. Все права защищены. 19/49

20. © Cisco, 2010. Все права защищены. 20

21. Показатель Исходные данные Значение
Число офисов 150
Цена мониторинга Один специалист 25
WAN-каналов без VPN обслуживает офисов
Число специалистов 6
Цена VPN-мониторинга Один специалист 15
обслуживает VPN-
шлюзов
Число специалистов 10
Разница в цене Число специалистов 4
мониторинга VPN Зарплата специалиста $25000
Итого $100000
© Cisco, 2010. Все права защищены. 21/49

22. Показатель Исходные данные Значение
Стоимость VPN- Cisco Security Manager $36000
решения
Рабочая станция для $2000
управления
Cisco ISR 2911 (C2911- $8495 * 150 = $1274250
WAAS-SEC/K9)
Стоимость Время внедрения (час) 2 * 150 = 300
инсталляции
Почасовая ставка ИТ- $12 * 300 = $3600
специалиста
Командировка $800 * 150 = $120000
Итого $1397850
© Cisco, 2010. Все права защищены. 22/49

23. Показатель Значение
Одноразовые инвестиции $250 на филиал
Ежемесячная плата $300 на филиал
Длительность контракта 3 года
Скидка на VPN Managed Service 15%
Собственная VPN Managed VPN Экономия
Зарплата ИТ- $8500 в месяц - $8500
специалистов
Стоимость $38829 в месяц - $38829
оборудования (на 3 года)
Услуга Managed VPN - $38250 $(38250)
Итого в месяц $47329 $38250 $9079
Внедрение $123600 $37500 $86100
Резюме $1827444 $1414500 $412944
© Cisco, 2010. Все права защищены. 23/49

24. Решение Cisco NME-RVPN для 1500 АЗС
• На базе модуля для ISR G2 (2900/3900)
Решение Cisco/S-Terra для центра
• На базе UCS C-200
Статья затрат (BUILD) Итого Статья затрат (BUY) Итого
CapEx $9000000 CapEx $0
TCO (дизайн, внедрение, *5 (если TCO $0
мониторинг, верить Лицензирование в -
эксплуатация, поддержка) Gartner) ФСБ
Лицензирование в ФСБ ~$100000 Персонал $0
Персонал $250000 OpEx $300*1500*12
© Cisco, 2010. Все права защищены. 24/49

25. © Cisco, 2010. Все права защищены. 25

26. ChoicePoint – Зима 2004/2005
• Кража отчета с 145,000 Падение курса
именами клиентов, номеров акций
кредитных карт и т.д.
Воздействие на бизнес
• Администрация штата Нью-
Йорка отказалась от
контракта с ChoicePoint на
сумму 800 миллионов
долларов
© Cisco, 2010. Все права защищены. 26/49

27. • Цена на запись
стоимость уведомления (создание списка пострадавших, печать,
почтовые услуги) - $20 на одного клиента
стоимость реагирования пострадавших, например, звонки в Help Desk
(опционально) - $20 на одного клиента
стоимость защитных мер у заказчиков, например, регулярные
уведомления, системы борьбы с мошенничеством, средства ИБ
(опционально)
• Дополнительные метрики
Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах
измерять нет смысла - рынок все забывает)
© Cisco, 2010. Все права защищены. 27/49

28. • Цена на инцидент
стоимость расследования инцидента
стоимость восстановления после инцидента
стоимость PR/общения с прессой
затраты на юридические издержки (опционально)
затраты на нарушение соответствия (опционально)
стоимость досудебного урегулирования (опционально)
• На данном этапе развития законодательства и культуры
бизнеса в России проекты по управлению инцидентами
убыточны и служба реагирования является центром затрат
Если не делать ее сервисным подразделением, продающим свои услуги
внутренним и внешним заказчикам
© Cisco, 2010. Все права защищены. 28/49

29. © Cisco, 2010. Все права защищены. 29

30. • Задача: оценить проект по внедрению единой системы
управления идентификаций, аутентификацией и
авторизацией (IdM)
С точки зрения ИБ и обычные пароли эффективны
• Вспоминаем про определение объекта измерения
Создание ID, вход в приложения, неудачные входы, звонки в Help Desk,
обслуживание пользователей…
• Исходные данные:
Число пользователей – 120000
Ежегодная ротация кадров – 15%
Среднее число ID/паролей – 5
Число рабочих часов в день – 8
Число рабочих дней в год - 260
© Cisco, 2010. Все права защищены. 30/49

31. • Ежегодное число новых пользователей – 18000 (120000*15%)
• Необходимо поддерживать 90000 новых ID/паролей (5*18000)
• Создание нового ID/пароля – в среднем 120 секунд (анализ
заявки, создание и настройка учетной записи)
• Всего на администрирование новых пользователей уходит
3000 часов (~2 человека при полной нагрузке)
© Cisco, 2010. Все права защищены. 31/49

32. • В среднем 20 входов в систему/приложения ежедневно (из-за
истекшего таймаута, смены приложения и т.д.)
• Среднее время регистрации – 15 секунд
• Ежедневно тратится 10000 ресурсо-часов на регистрацию
• Ежегодно тратится 2200000 ресурсо-часов на регистрацию в
разные системы и приложения
© Cisco, 2010. Все права защищены. 32/49

33. • В среднем 1% всех попыток регистрации заканчивается
неудачно
• Повторная регистрация разрешается через 60 секунд
• Общее время на повторную регистрацию в год составляет
88000 часов
© Cisco, 2010. Все права защищены. 33/49

34. • В среднем после 3-х неудачных попыток входа в систему
учетная запись блокируется
• После 2-х неудачных попыток входа рекомендуется позвонить
в службу поддержки
• 2400 звонков ежедневно в службу поддержки по факту 2-х
неудачных попыток входа в систему
• SLA = 4 часа на обработку одного инцидента
• 18000 пользователей ждут максимум по 4 часа – 72000 часа
потери времени (продуктивности)
• 2400 звонка максимум по 4 часа – 9600 часов в день или
2112000 ресурсо-часов в год
© Cisco, 2010. Все права защищены. 34/49

35. • Время затраченное на администрирование новых ID/паролей,
ежедневную регистрацию и повторные ввод ID/пароля
составляет 2291000 часов в год…
что составляет 1% всего рабочего времени компании
• Еще 2184000 ресурсо-часов в год на поддержку неудачных
попыток входа…
что также больше 1% всего рабочего времени компании
• Итого – 4475000 ресурсо-часов или больше 2% всего
рабочего времени компании в год - только на одну задачу –
управление Identity
© Cisco, 2010. Все права защищены. 35/49

36. • Предоставление доступа в среднем через 7 дней после
заявки
• Синхронизация паролей и ID в разных системах – 3 дня
• 50% запросов требует контактов с пользователем
• «Разруливание» проблем с доступом – 10 дней
• Конфликт между ID может приводить к задержкам в работе до
90 дней
© Cisco, 2010. Все права защищены. 36/49

37. • Обработка 6600 проблем с доступом – потеря продуктивности
– 3,000,000 долларов
• Восстановление доступа для 56000 учетных записей – потеря
продуктивности – 18,200,000 долларов
• 2500 сотрудников (учетных записей) уволено – затраты на
удаление – 162,500 долларов
• Прямой ущерб – 1,200,000 долларов
© Cisco, 2010. Все права защищены. 37/49

38. © Cisco, 2010. Все права защищены. 38

39. © Cisco, 2010. Все права защищены. 39/49
© 2005 Cisco Systems, Inc. All rights reserved.

40. • Базируется на
методологии Forrester
Total Economic Impact
(TEI)
• Интервью 13 заказчиков
• Опубликованное
исследование ROI
базируется на
организации в США с
5,000 сотрудниками
• Трехлетний расчет
преимуществ и затрат
© Cisco, 2010. Все права защищены. 40/49

41. • Разработан Forrester
Research
• Базируется на
методологии Forrester
Total Economic Impact
(TEI)
• Данные базируются на:
Интервью с заказчиками
Отчетами заказчиков
Исследованиями аналитиков
• Аудитория
IT Director/Sr. Managers
Business Decision Makers
© Cisco, 2010. Все права защищены. 41/49

42. © Cisco, 2010. Все права защищены. 42

43. © Cisco, 2010. Все права защищены. 43/49

44. © Cisco, 2010. Все права защищены. 44

45. • Оценка экономической эффективности проекта по контролю
доступа в Интернет (например, Cisco IronPort Web Security)
На поверхности и в глубине
На поверхности В глубине
• 1,5 часа в день на • Блокирование доступа не
«одноклассниках» значит, что сотрудники
• 200 сотрудников будут в это время
• 6600 часов экономии – работать
825 чел/дней • Работа «от» и «до» и не
• $18750 в месяц (при больше
зарплате $500) • Ухудшение псих.климата
• $225000 в год экономии • Потери $150000 в год
© Cisco, 2010. Все права защищены. 45/49

46. • Все жаждут прогресса, но никто не хочет изменений
• Люди инертны
Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и
т.д.)
Ленивы и не будут упорно трудиться ради изменений
Людей устраивает средний результат. Это зона комфорта. Best Practices
никому не нужны (как и мировые рекорды)
• Чтобы пересмотреть точку зрения, человека надо долго
переубеждать или показать воочию
• Изменения происходят не вдруг – имейте терпение
• Финансовые изменения ИБ требуют исходных данных,
которых обычно в службе ИБ нет
• Демонстрация «денег» требует времени на измерение
© Cisco, 2010. Все права защищены. 46/49

47. © Cisco, 2010. Все права защищены. 47/49

48. http://www.facebook.com/CiscoRu
http://twitter.com/CiscoRussia
http://www.youtube.com/CiscoRussiaMedia
http://www.flickr.com/photos/CiscoRussia
http://vkontakte.ru/Cisco
© Cisco, 2010. Все права защищены. 48/49

49. Praemonitus praemunitus!
Спасибо
за внимание!
security-request@cisco.com