Окупаемость иб-систем. какую прибыль может принести система иб
В «СА» №10/2021 я рассказал, как с помощью стандарта ISO 27002 оценивается степень защищенности корпоративных ресурсов. Теперь нужно аргументированно доказать руководству необходимость приобретения новых средств защиты данных, а затем рассчитать бюджет. Вот тут могут возникнуть новые сложности
Во многих компаниях, особенно небольших, закупками оборудования занимаются непосредственно системные администраторы и технические специалисты. А для того, чтобы получить необходимые для закупки средства, ответственному сотруднику нужно сначала обосновать необходимость данных расходов руководству компании.
Вот тут у «технарей» могут появиться определенные трудности с обоснованием расходов на приобретение нового оборудования и других задач поддержки, требующих определенных финансовых затрат.
Дополнительные сложности возникают при закупке систем ИБ. Для различных бизнес-приложений обосновать необходимость расходов можно, например, с помощью подсчета времени, затрачиваемого на решение разных задач до модернизации соответствующих систем и после них. С системами ИБ все несколько сложнее. Они не приносят непосредственной прибыли, но при этом требуют определенных затрат, как и другие ИТ-системы. Соответственно специалистам по безопасности необходимо каким-то образом обосновать данные затраты.
И для этого нужно научиться оперировать рыночными категориями, экономически обосновывать расходы на ИТ-безопасность.
На рынке систем ИБ для каждого направления есть несколько различных решений, стоимость которых может отличаться в разы. Что лучше – программное средство предотвращения вторжений стоимостью в $10 000 или аппаратное за $30 000? Очевидно, что у аппаратного будет выше производительность, но насколько это востребовано в вашей компании? На все эти вопросы ответить техническому специалисту непросто, а между тем при обосновании затрат руководству ответы на них необходимы.
Показатель ROI
В бизнесе при инвестировании существует понятие ROI (Return On Investment), которое определяет, сколько времени потребуется для возврата вложенных в то или предприятие инвестиций. Для подсчета значения ROI используется формула:
где:
Это отношение заработанных денег к тем, которые вкладываются в то или иное направление, выраженное в процентах. Если строго, то ROI – это процентное отношение прибыли (или экономического эффекта) от проекта к инвестициям, необходимым для реализации этого проекта. Для лучшего понимания приведу несколько примеров.
Известно, что прибыль компании составила $500 000 при общем объеме продаж $3 125 000. При этом стоимость оборудования и прочих вложений составила $25 000 000. Тогда ситуация описывается так: вложено 25 000 000, получено 500 000, т.е. вернулось 2%. Формула очевидна:
ROI = прибыль/инвестиции = 500.000/25.000.000 = 0,02
Такое значение для коэффициента ROI является слишком низким, и в данном случае инвестиции можно смело признать неудачными.
Рассмотрим другой вариант, более близкий к информационным технологиям. В некой компании была внедрена электронная система документооборота. Общая сумма доходов, полученных в результате ее внедрения, составила $1 000 000, при этом расходы, связанные с закупкой необходимого оборудования и лицензий, а также стоимость самих работ и обучения персонала составили $4 400 000.
Применим формулу для подсчета коэффициента ROI для приведенных значений
ROI= прибыль/инвестиции = 1000.000/4.400.000 = 0,23
Возврат инвестиций – 23% – это очень неплохое значение, получается, что внедрение системы окупится чуть более чем за четыре года. Однако эта формула хорошо подходит при подсчете возврата инвестиций в обычные ИТ-системы, будь то СХД, база данных или корпоративный веб-портал. При подсчете возврата инвестиций в системы ИБ используется другой показатель.
Коэффициент ROSI
Средства защиты не являются инструментом непосредственного извлечения доходов. Поэтому при оценке систем безопасности говорят не о заработанных деньгах, а о предотвращении возможных потерь (снижаются потери – это фактически и есть заработок). Впервые термин Return on Investment for Security (ROSI) был введен в употребление специалистами в области IT Security в начале 2002 года.
Традиционно обоснования расходов на безопасность доказывали, что без инвестирования в корпоративную систему защиты информации компания упускает более «осязаемые» выгоды. Обоснование расходов на ИБ включало в себя следующие утверждения:
После приведения подобных доводов ни у кого не вызывает сомнений необходимость расходов на ИБ компании, но появляется нужда в количественном расчете для финансового обоснования инвестиций в корпоративную систему защиты информации.
Существует несколько методов подсчета необходимых инвестиций в ИБ.
Метод ожидаемых потерь
Этот подход базируется на том, что вычисляются потери от нарушений политики безопасности, с которыми может столкнуться компания, и эти потери сравниваются с инвестициями в безопасность, направленными на предотвращение нарушений. Метод ожидаемых потерь основан на эмпирическом опыте организаций и сведений о вторжениях, о потерях от вирусов, об отражении сервисных нападений и т.д.
Например, нарушения безопасности коммерческих организаций приводят к следующим финансовым потерям:
Чтобы «смягчить» ожидаемые потери, компания должна инвестировать средства в безопасность: сетевые экраны, системы обнаружения вторжений, чтобы предотвратить атаку, антивирусы для обнаружения различных форм вирусов.
Если компания решает установить систему ИБ, то ее стоимость обобщенно будет складываться из следующего:
Чтобы определить эффект от внедрения системы ИБ, нужно вычислить показатель ожидаемых потерь (Annualised Loss Expectancy – ALE). По оценкам экспертов, правильно установленная и настроенная система защиты дает 85% эффективности в предупреждении или уменьшении потерь от нарушений политики безопасности. Следовательно, финансовая выгода обеспечивается ежегодными сбережениями, которые получает компания при внедрении системы ИБ.
AS = ALE*E -AC
где:
Метод оценки свойств системы безопасности
Метод оценки свойств системы безопасности (Security Attribute Evaluation Method – SAEM) был разработан в Carnegie Melon University и основан на сравнении различных архитектур систем ИБ для получения стоимостных результатов оценки выгод от внедрения системы ИБ. Методология SAEM заключается в том, чтобы, объединив вероятность события и ранжировав воздействие окружающей среды, предложить различные проекты по ИБ с многовариантным влиянием окружающей среды на относительные затраты.
Недостатком метода является то, что чаще всего безопасность находится вне понимания менеджеров, занимающихся оценкой эффективности, а специалисты по информационной безопасности редко имеют точные данные относительно выгод, приносимых технологией, поэтому приходится полагаться на опыт и интуицию и на их основе принимать решения.
Анализ дерева ошибок
Еще одним не очень известным инструментом оценки выгод является метод анализа дерева ошибок (Fault Tree Analysis).
Цель применения данного метода – показать, в чем заключаются причины нарушений политики безопасности и какие сглаживающие контрмеры могут быть применены.
Дерево ошибок – это графическое средство, которое позволяет свести всю систему возможных нарушений к логическим отношениям «и»–«или» компонентов этой системы. Если доступны данные по нормам отказа критических компонентов системы, то дерево ошибок позволяет определить ожидаемую вероятность отказа всей системы.
В настоящее время этот метод еще недостаточно адаптирован к области информационной безопасности и требует дальнейшего изучения.
Как выбрать наиболее подходящий метод?
Принципиальный недостаток приведенных выше методов в том, что они не дают количественной оценки стоимости и выгод от контрмер безопасности, кроме метода ожидаемых потерь, который объединяет выгоду от каждой контрмеры в единый количественный показатель эффективности. А с точки зрения системы безопасности этот показатель интерпретируется как показатель пригодности всей системы защиты, который обычно указан в договоре с поставщиком системы защиты.
Поэтому на практике лучше использовать метод оценки целесообразности затрат на систему ИБ. Такой выбор обусловлен несколькими соображениями – это финансовая ориентированность метода и достаточно полная оценка стоимости различных мер по безопасности и выгод от внедрения.
Для того чтобы привести пример оценки мер по обеспечению безопасности, воспользуемся упрощенным вариантом дерева ошибок, так называемой таблицей оценки угроз и рисков (Threat and Risk Assessment – TRA). Использование TRA позволит показать, как на практике получить количественную оценку вероятности событий и возникновения последствий и в дальнейшем использовать эти данные для определения ожидаемых потерь без применения контрмер безопасности.
Методика Return on Investment for Security
Оценим доходную часть, объединяя метод ожидаемых потерь с таблицей оценки угроз и риска.
Первым шагом является построение таблицы TRA. Сделаем небольшое отступление и дадим краткое описание контрмер по обеспечению информационной безопасности.
Контрмеры по обеспечению безопасности направлены на достижение следующих эффектов: уменьшение вероятности происхождения инцидента и/или уменьшение последствий, если инцидент все равно случается.
Меры, снижающие вероятность, называются профилактическими, а меры, снижающие последствия, называются лечебными. Пусть вероятность происшествия описана семью уровнями от «незначительного» до «экстремального». Определим эти уровни в следующей таблице (см. таблицу 2).
Последствия от нарушения политики безопасности также описаны шестью уровнями от «несущественного» к «критическому», и каждому уровню соответствуют потери в случае ликвидации нарушений, которые определены экспертно специалистами Gartner Group (см. таблицу 1).
Таблица 1. Типы защиты
Пример расчетов ROSI
Теперь рассчитаем показатель ALE, используя форму таблицы TRA (см. таблицу 2), в которой сопоставляются вероятности угроз, степень тяжести нарушения и частота событий. Показатель ALE мы вычисляем согласно формуле:
ALE = f * L
где:
Таблица 2. Вероятности угроз и частота событий
Таблица 3. Степень тяжести и потери
Следующим шагом обоснования инвестиций в систему информационной безопасности является проведение анализа возврата инвестиций. Первоначально определим затраты на внедрение системы ИБ.
Для того чтобы обеспечить должный уровень безопасности, необходимо внедрить следующие элементы системы информационной безопасности: систему защиты шлюзов Интернета, систему антивирусной защиты файловых серверов и рабочих станций и систему защиты корпоративной электронной почты.
В качестве используемого средства защиты было выбрано решение, в котором присутствуют как средства для защиты шлюзов и электронной почты, так и защита файловых серверов и рабочих станций.
Затраты на внедрение комплекса решений приведены в таблице 4.
Таблица 4. Расчет показателя ожидаемых потерь
Период окупаемости инвестиционных проектов, связанных с внедрением информационных технологий, не должен превышать трех лет, поэтому период оценки эффективности данного проекта внедрения равен трем годам. Обозначим показатели оценки.
Как подсчитать потери
В таблице 4 присутствуют столбцы «Частота» и «Потери». С частотой инцидентов все более-менее понятно. Потери по каждой из угроз складываются из среднего времени простоя сотрудников, работающих с данным сервисом. Так, например, в случае отказа каналов связи с Интернетом не смогут работать сотрудники отделов HR и PR. Но они не полностью будут простаивать, часть работы по подготовке документов можно делать оффлайн. Определим коэффициент простоя как 0,5.
Таким образом, потери можно посчитать следующим образом: необходимо взять стоимость часа работы сотрудника, помножить на время простоя и на коэффициент простоя (0,5).
Разумеется, приведенный подсчет потерь несколько упрощен. Например, в него не включены простои электронной почты, IP-телефонии и прочих сервисов, использующих каналы связи с Интернетом.
Таблица 5. Инвестиции в систему корпоративной защиты
Но вернемся к нашему примеру расчетов ROSI. Подсчитаем стоимость лицензий.
Затраты на внедрение системы защиты информации рассчитываются по следующей формуле:
CВН = СЛ CПР ?Ci
Выгоды от оптимизации текущего показателя TCO вычисляются по формуле:
B = TCOТ – TCOФ
Чистые приведенные стоимости затрат на проект и доходов от проекта внедрения рассчитываются по формулам:
NPV = ?i=0..2 CF/(1 r)i
В первом случае роль денежного потока играют затраты на внедрение, а во втором – это выгоды от оптимизации показателя TCO и внедрения корпоративной системы защиты. Ставка дисконтирования равна ставке рефинансирования Центрального Банка РФ. Внутренняя норма рентабельности рассчитывается при NPV, равном нулю. Для большей наглядности расчет ROSI приведем в графическом виде (см. рис. 1), и точка безубыточности равна 1,6 года.
Рисунок 1. Расчет точки безубыточности проекта внедрения системы информационной безопасности
Таким образом, проект внедрения можно считать экономически выгодным, так как чистая приведенная стоимость доходов от проекта внедрения положительна и больше чистой приведенной стоимости затрат на проект внедрения в 2,9 раза.
Таблица 6. Подсчет характеристик внедрения системы защиты за первые три года
***
Конечно, описанную в статье методику нельзя назвать простой для понимания, однако именно таким способом подсчитывается эффективность инвестиций в системы безопасности. Более подробно ознакомиться с предлагаемой методикой можно в книгах, приведенных в источниках.
- Петренко С. А., Петренко А. А. Аудит безопасности Intranet. – М.: ДМК Пресс, 2002. – 416 с.
- Петренко С. А., Симонов С. В. Управление информационными рисками. Экономически оправданная безопасность. – М.: ДМК Пресс, 2004. – 400 с.
- Петренко С. А., Курбатов В. А. Политики информационной безопасности. – М.: ДМК Пресс, 2006. – 400 с.
Рейтинги
- 1-е место в рэнкинге делового потенциала российских оценочных организаций по итогам 2021 года, RAEX
- 8-е место в рэнкинге крупнейших компаний и групп России в области технического аудита и консалтинга по итогам 2021 года, RAEX
- 43-е место в рэнкинге крупнейших консалтинговых групп и компаний России по итогам 2021 года, RAEX
- 8-е место в Национальном Рейтинге «Ведущие компании в области ТЦА и обоснования инвестиций – 2021», НП «Национальное объединение технологических и ценовых аудиторов»
- Сертификат СРО АСК «МСК» о присвоении индивидуального рейтинга надежности строительной компании, присвоен высший уровень надежности «А»
- 1-е место в рэнкинге делового потенциала российских оценочных групп по итогам 2021 года, RAEX
- 4-е место в рэнкинге крупнейших оценочных групп по итогам 2021 года, RAEX
- 3-е место в рэнкинге крупнейших оценочных организаций по итогам 2021 года, RAEX
- 1-е место в рэнкинге делового потенциала российских оценочных компаний, Эксперт РА
- 2-е место в рэнкинге крупнейших оценочных компаний по итогам 2021 года, Эксперт РА
- 2-е место в рейтинге «50 наиболее стратегичных оценочных компаний России по итогам 2021 г.», Рейтинговый центр Института экономических стратегий