Как обосновать затраты на ИБ?

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1
Как обосновать затраты на
информационную
безопасность?
Алексей Лукацкий
Бизнес-консультант по безопасности
15 April 2015

Почему мы занимаемся информационной безопасностью?
Страх
ComplianceЭкономика
•  Самая популярная причина продажи ИБ
(реальные инциденты и мифические
угрозы)
•  В условиях кризиса не работает (есть
более приоритетные риски и угрозы –
колебания курса, нет заимствований,
сокращение, банкротство контрагентов,
урезание бюджетов…)
•  Наиболее актуальная причина
для государственных органов
•  Средняя актуальность – крупные
предприятия
•  Низкая актуальность – средний
бизнес
•  Практически неактуальна – для
малого бизнеса
•  Очень редко когда
применяется в ИБ
•  В условиях кризиса
приобретает очень
важное значение

3© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.
Часть I.
Можно ли измерить счастье?

Можно ли измерить абстрактное понятие?
Василий Кандинский

Что такое счастье для вас?! Для ВАС лично?!

Что такое счастье для меня?

Счастье может принимать в разное время разные формы

Большее складывается из меньшего

Что такое счастье для моих детей?
Материальные объекты выбраны как пример, который легко проиллюстрировать

Краткое резюме
§  Счастье - это конкретное понятие, а не абстрактное
§  Счастье не бывает одинаковым
Каждый по своему трактует это понятие и оно может меняться под влиянием разных факторов
§  Счастье может принимать материальные и нематериальные формы
§  Счастье не бывает у всех одно и навсегда
Оно изменчиво и зависит от человека и от времени
§  Счастье может зависеть от счастья других
§  Счастье более крупного людского образования зависит от счастья каждого
его элемента

Развенчание мифа о неизмеримости счастья
§  Если что-то лучше
§  ⇒ Есть признаки улучшения
§  ⇒ Улучшение можно наблюдать
§  ⇒ Наблюдаемое улучшение можно посчитать
§  ⇒ То, что можно посчитать, можно измерить
§  ⇒ То, что можно измерить, можно оценить
§  …и продемонстрировать!
Счастье измеримо!
Счастье мазохиста, когда лучше – это хуже,
мы не рассматриваем J

А теперь перейдем к информационной безопасности
§  Информационная безопасность более сложное понятие, чем счастье J
Но и оно измеримо!
§  Как и в случае с счастьем мы должны понять, что
§  ИБ – не абстрактна и не универсальна
§  ИБ у всех разная; как и ее толкование
§  У кого-то ИБ есть, у кого-то ее нет
§  Вчера ее могло не быть, а сегодня она есть. А завтра опять может не быть L
§  Но безопасностью мы занимаемся для улучшения, а значит она измерима
Правда, от деятельности безопасников может быть и хуже L

За безопасность надо
платить. В противном случае
– расплачиваться!
Уинстон Черчиль

Ключевые понятия в измерении ИБ
ИБ
Эффективность
Измерение
Цели ИБ
Декомпозиция

Часть II.
Что такое измерение?

Что такое измерение?
§  Измерение – это определенность, точная величина?
Количественное выражение чего-либо?
Расчет точной стоимости чего-либо?
Сведение к одному числу?
§  Измерение – это совокупность снижающих неопределенность наблюдений,
результат которых выражается некоей величиной!
à Измерение – это не только полное, но и частичное сокращение неопределенности

Точное значение или интервал?
§  Научные методы описывают результаты в определенном интервале значений
Проект по обеспечению бесперебойной работы сайта позволил повысить лояльность клиентов на
7-12%
§  Интервал значений позволяет не делать допущений, в которых мы не
уверены
Риск = 5% или риск в интервале от 2% до 9%
Интервалы можно складывать, вычитать, умножать, как и точные значения (метод Монте-Карло)
§  Т.к. измерение снижает неопределенность, то мы должны понимать, что
результат измерений должен сопровождаться оценкой погрешности
Вероятность прохождения аттестации ФСТЭК составляет 85%

2 + 2 не всегда равно 4
§  Измерение – это не всегда количественная оценка в традиционном
понимании этого слова
Произойдет ли сбой?
Получим ли мы сертификат соответствия?
Число сигнатур атак в IDS#1 больше чем в IDS#2 (не важно насколько)
Продукт #1 имеет 4 балла в тестах, а продукт #2 – 2 балла (2 балла не обязательно вдвое меньше,
чем 4 балла; а 2 системы, имеющие по 2 балла, не обязательно будут также эффективны, как одна
система с 4-мя баллами)

Качественное или количественное?
§  1954 г. - Paul Meehl – «Clinical Versus Statistical Prediction: A Theoretical
Analysis and Review of the Evidence», 1954
Работа обновлена в 1996
§  Количественная оценка работает лучше экспертной (качественной)
В 136-ти случаев из 144-х
Качественная оценка необъективна по своей сути
При качественной оценке сложно предъявить доказательства

Точные значения и измерения ИБ
§  Не пытайтесь измерить ИБ точно
До вируса, до дыры, до минуты, до рубля…
§  У вас это отнимет слишком много ресурсов, но не сильно приблизит к
конечному результату
§  Не забудьте – бизнес тоже не измеряет все с точностью до копейки
Всегда есть Δ!

Часть III.
Что такое эффективность?

§  Мало кто может сказать, что такое эффективность – большинство может
сослаться на разрозненные наблюдения, которые ассоциируются у них с
эффективностью
Число эпидемий стало меньше
Заказчики стали меньше звонить в Help Desk по поводу недоступности сайта
Пользователи стали реже заносить вредоносные программы на флешках
Руководство не жалуется, что не может «достучаться» до корпоративной ИС из командировки
Сервер AD ни разу не «упал» в этом месяце

§  Эффективность – это поддающийся количественному определению вклад в
достижение конечных целей
§  Важно в конкретном случае детализировать понятие
«эффективность» (объект измерения)

Efficiency vs. Effectiveness
Результативность
Оптимальность
§  Сначала мы обычно оцениваем достижение цели как таковой (результат)
Но интересно ли нам достижение цели любыми средствами?
Особенно в контексте финансовой оценки ИБ
§  Термин «эффективность» на английском языке имеет два значения

Часть IV.
Что такое информационная
безопасность?

О понятии ИБ
§  ИБ – это не универсальное, не стандартное понятие
§  Оно персонифицировано в каждой конкретной ситуации, для каждой
конкретной организации, для каждого конкретного CISO
В одной и той же компании, разные CISO могут по-разному заниматься ИБ
В одной и той же компании при одном и том же CISO, но разных CEO, ИБ может двигаться в разных
направлениях
§  ИБ – это понятие, зависящее от множества факторов/элементов

Как я понимаю ИБ?!
§  Информационная безопасность - состояние защищенности интересов
стейкхолдеров предприятия в информационной сфере, определяющихся
совокупностью сбалансированных интересов личности, общества,
государства и бизнеса
Переработанное определение из Доктрины информационной безопасности
§  Очень емкое и многоуровневое определение
§  Может без изменения применяться в ЛЮБОЙ организации
Меняться будет только наполнение ее ключевых элементов – стейкхолдеры, информационная сфера,
интересы

Стейкхолдеры (заинтересованная лица) ИБ
•  ИТ
•  ИБ
•  Юристы
•  Служба внутреннего контроля
•  HR
•  Бизнес-подразделения
•  Руководство
•  Пользователи
Внутри предприятия
•  Акционеры
•  Клиенты
•  Партнеры
•  Аудиторы
Снаружи
предприятия
• ФСТЭК
• ФСБ
• Роскомнадзор
• СВР
• МО
• Минкомсвязь
Регуляторы

Информационная сфера
§  Информационная сфера - это совокупность информации, информационной
инфраструктуры, субъектов, осуществляющих сбор, формирование,
распространение и использование информации, а также системы
регулирования возникающих при этом отношений
§  В данном определении информационная инфраструктура включает в себя
также и технологии обработки информации

Интересы стейкхолдеров
§  Универсального списка интересов не существует – у каждого предприятия на
каждом этапе его развития в различном окружении при различных
руководителях интересы различны
ИБ
•  Конфиденциальность
•  Целостность
•  Доступность
Юристы
•  Соответствие
•  Защита от
преследования
•  Новые законы
Регуляторы
•  Соответствие
Пользователи
•  Тайна переписки
•  Бесперебойный
Интернет
•  Комфорт работы
Акционеры
•  Рост стоимости акций
•  Контроль топ-
менеджмента
•  Прозрачность
ИТ
•  Доступность сервисов
•  Интеграция
•  Снижение CapEx

Интересы бизнеса
§  Рост (доли рынка, маржинальности, доходности…)
§  Экспансия (новые рынки, новые целевые аудитории)
§  Рост продуктивности сотрудников
§  Соответствие требованиям
§  Инновации и новые бизнес-практики
§  Реинжиниринг бизнес-процессов
§  Взаимоотношения с клиентами (лояльность)
§  …

Определите объект измерения!!!
§  Самое важное – определить объект измерения!
§  Что для вас информационная безопасность?
Снижение числа вредоносных программ?
Получение аттестата PCI Council?
Снижение числа запросов в Help Desk по поводу забытых паролей?
Снижение числа утечек конфиденциальной информации?
Защита от наездов регуляторов?
§  Что конкретно ВЫ имеете ввиду?!
§  Определитесь с объектом измерения и половина работы по измерению будет
проведена!

Часть V.
Цели ИБ

Цели ИБ
§  Прежде чем оценивать эффективность, необходимо понять, определить и
зафиксировать цели, эффективность достижения которых мы измеряем!!!
Получение аттестата ФСТЭК на все АС/ИСПДн
Сертификация ключевых процессов на соответствие ISO 27001
Достижение 4 уровня по СТО БР ИББС
Сокращение числа инцидентов ИБ до 3 в месяц
Внедрение защищенного мобильного доступа для руководства
Внедрение защищенного удаленного доступа для географической экспансии
Повышение устойчивости инфраструктуры к DDoS-атакам с целью повышения лояльности клиентов и
снижение их текучки
Снижение затрат на ИБ на 15%

Достижение каких целей измеряем?
Цели топ-менеджмента Операционные цели
Финансовые цели Цели ИТ
Цели ИБ
§  Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме
службы ИБ
Грустно это признавать, но это так

Но есть ли все-таки связь ИБ и бизнесом?
§  Согласно исследованию E&Y во время кризиса все компании начинают с
сокращения затрат (без эффекта)
§  7 ключевых областей для оптимизации расходов
Оптимизация ассортимента продукции
Изменение стратегии продаж
Сокращение затрат на персонал
Повышение производительности
Аутсорсинг
Оффшоринг
Оптимизация использования и стоимости привлечения ресурсов
Необходимо уходить от оценки ИБ ради ИБ!
Оценивать надо исходя из целей бизнеса!

Изменение стратегии продаж
§  Рост выручки à рост числа клиентов à географическая экспансия à
решение по защищенному удаленному доступу и защите от утечек
информации
§  Рост выручки à рост числа сделок à оснащение мобильными устройствами
и подключением к Интернет à решение по защищенному удаленному
доступу
§  Рост выручки à рост числа клиентов/сделок, ускорение сделок, снижение
себестоимости сделок à новый канал продаж à Интернет à решение по
защищенному удаленному доступу, защите Интернет-ресурсов

Снижение арендной платы
§  Снижение арендной платы à уменьшение арендуемых площадей à перевод
сотрудников на дом à решение по защищенному удаленному доступу
§  Экономия на:
Аренда площадей
Питание сотрудников
Оплата проездных (если применимо)
Оплата канцтоваров
Оплата коммунальных расходов, а также
Улучшение психологического климата за счет работы дома
Рост продуктивности

Уменьшение складских запасов
§  Уменьшение складских запасов à удаленный доступ к складской ИС
поставщиков à решение по защищенному удаленному доступу, защита
Интернет-ресурсов, Identity & Entitlement Management
Уменьшение складских площадей
Оптимизация логистики
Ускорение цикла поставки

Оптимизация финансовых затрат
§  Оптимизация финансовых затрат à переход на лизинг или оплату в
рассрочку à обращение в компании по ИТ/ИБ-финансированию
§  Выгоды:
CapEx переходит в OpEx
Ускоренная амортизация (коэффициент – 3)
Снижение налога на прибыль и имущество
Не снижает Net Income, EBITDA
Нет проблем списания оборудования
Отсрочка платежа
Фиксированная ставка в рублях
Положительное влияние на финансовые показатели

Рост продуктивности сотрудников
§  Рост продуктивности à снижение времени, потраченного на дорогу à
перевод сотрудников на дом à решение по защищенному удаленному
доступу
§  Рост продуктивности – от 10% до 40%
§  Дополнительно:
Увеличение рабочего времени
Экономия на аренде площадей
Экономия на питании сотрудников
Экономия на оплате проездных (если применимо)
Экономия на оплате канцтоваров
Улучшение психологического климата за счет работы дома

Уменьшение числа командировок
§  Уменьшение числа командировок à внедрение видеоконференцсвязи/
унифицированных коммуникаций/TelePresence à решение по защищенному
удаленному доступу и защите унифицированных коммуникаций
Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки)

Рост продуктивности сотрудников
§  Чтение электронной почты à отвлечение на незапрошенную
корреспонденцию à антиспам-решение
Интернет-трафике
Времени чтения почты
Последствия вирусных эпидемий
§  Особенности
Экономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников

Сокращение затрат на Интернет
§  Контроль действий сотрудников в Интернет à блокирование загрузок
постороннего ПО, музыки, видео и контроль посторонних сайтов à решение
по контролю URL
Интернет-трафике
§  Дополнительно
Рост продуктивности (может быть)
Защита от вирусов и троянцев в загружаемом трафике

Другие примеры
§  Снижение рисков путешествий (и затрат на них) для сотрудников à
внедрение унифицрованных коммуникаций и Telepresence à защита
коммуникаций (технологии VPN, AAA и т.п.)
§  Снижение издержек на ИТ à аутсорсинг à защита и разграничение
удаленного доступа (технологии VPN, AAA, МСЭ и т.п., а также проработка
юридических и организационных моментов, связанных с ИБ)
§  Снижение издержек на внутренний Helpdesk à внедрение системы
автоматического управления паролями пользователей (технология AAA)

Другие примеры
§  Поглощения и слияния à обеспечение конфиденциальности сделки, оценка
приобретаемых активов с точки зрения ИБ à ИБ
§  Выход на IPO à соответствие требование SOX или листинга иной биржи à
обеспечение целостности и прозрачности
§  Повышение кредитного рейтинга à выполнение требований S&P или Moodys
à ИБ (как некоторые из требований рейтинговых агентств)
§  Рост доверия со стороны акционеров à внедрение системы корпоративного
управления à внедрение СВКà внедрение СУИБ (как неотъемлемая часть
СВК согласно требованиям ЦБ и ФСФР)

Бизнес-цели тоже бывают разноуровневые
§  «Бизнес-цели» - отталкиваемся не от того, ЧТО защищаем, а КУДА
стремимся
§  Бизнес-цель может быть
У всего предприятием
У отдельного подразделения
У отдельного проекта/инициативы
У отдельного «важного» человека («спонсора»)
§  Бизнес-цели не всегда связаны с финансами
Нельзя искать только финансовую выгоду от решения вопросов безопасности
Необходимо учитывать нефинансовые цели (например, лояльность клиентов) и синергетический
эффект

Всегда ли выгода измеряется деньгами?
§  Бизнес инвестирует в проекты, приносящие отдачу
Отдача не обязательно носит денежный характер
Критерии
•  Бизнес-ориентированный
•  Связанный с приоритетами/целями компании
•  Измеримый в метриках, понятных бизнесу
•  Приносящий ценность или отдачу (желательно финансовую)
•  Оптимальный (цель не любыми средствами)
•  Выполненный в срок
•  Не нарушающий законодательство
Примеры
•  Снижение TCO
•  Защита взаимоотношений
•  Рост доверия
•  Соответствие требованиям
•  Ускорение выхода на рынок
•  Географическая экспансия
•  Снижение бизнес-рисков
•  Снижение текучки клиентов/партнеров
•  Рост лояльности клиентов/сотрудников
•  Оптимизация процессов
•  Интероперабельность и интеграция
•  Стандартизация
•  Рост качества
•  Оптимизация затрат (на внедрение, эксплуатацию,
поддержку и т.п.)
•  Повторное использование
•  Масштабируемость

Но давайте вспомним пирамиду Маслоу
§  В 1943-м году философ Абрахам Маслоу
опубликовал модель потребностей человека
Основные физиологические потребности (еда, сон, тепло,
секс)
Безопасность (жилье, постоянная работа, здоровье,
защищенность от опасностей)
Отношения (друзья, партнеры, любовь)
Признание (статус, власть, деньги)
Самореализация
§  Не реализовавшись на нижнем уровне
практически невозможно подняться на уровень
выше

От потребностей человека к потребностям компании
§  При выборе бизнес-целей стоит помнить про переход с уровня на уровень
Сложно говорить о вовлеченности сотрудников в компании, которой угрожает банкротство

Снижение простоев – очень важная цель
§  Простои могут быть
У сотрудника
У узла
У процесса
У приложения
…
§  Простой всегда выражается в деньгах!
§  Снижение времени простоя (обеспечение доступности) должна является
одной из основных целей ИБ, т.к. она понятна бизнесу лучше
конфиденциальности и целостности информации

Часть VI.
Декомпозиция

Декомпозиция – ключ ко всему
§  Декомпозиция позволяет разбить
Программу на проекты
Проект на задачи
Задачи на действия
Продукт на функции
Цели на подцели

Пример учета декомпозиции в проекте по IdM
§  Задача: оценить проект по внедрению единой системы управления
идентификаций, аутентификацией и авторизацией
С точки зрения ИБ и обычные пароли эффективны
§  Вспоминаем про определение объекта измерения
Создание ID, вход в приложения, неудачные входы, звонки в Help Desk, обслуживание
пользователей…
Очень важна декомпозиция
§  Исходные данные:
Число пользователей – 120000
Ежегодная ротация кадров – 15%
Среднее число ID/паролей – 5
Число рабочих часов в день – 8
Число рабочих дней в год - 260

Первая фаза расчета – установка ID
§  Ежегодное число новых пользователей – 18000 (120000*15%)
§  Необходимо поддерживать 90000 новых ID/паролей (5*18000)
§  Создание нового ID/пароля – в среднем 120 секунд (анализ заявки, создание
и настройка учетной записи)
§  Всего на администрирование новых пользователей уходит 3000 часов (~2
человека при полной нагрузке)

Вторая фаза расчета – рутина
§  В среднем 20 входов в систему/приложения ежедневно (из-за истекшего
таймаута, смены приложения и т.д.)
§  Среднее время регистрации – 15 секунд
§  Ежедневно тратится 10000 ресурсо-часов на регистрацию
§  Ежегодно тратится 2200000 ресурсо-часов на регистрацию в разные системы
и приложения

Третья фаза расчета – проблемы
§  В среднем 1% всех попыток регистрации заканчивается неудачно
§  Повторная регистрация разрешается через 60 секунд
§  Общее время на повторную регистрацию в год составляет 88000 часов

Четвертая фаза расчета – поддержка
§  В среднем после 3-х неудачных попыток входа в систему учетная запись
блокируется
§  После 2-х неудачных попыток входа рекомендуется позвонить в службу
поддержки
§  2400 звонков ежедневно в службу поддержки по факту 2-х неудачных
попыток входа в систему
§  SLA = 4 часа на обработку одного инцидента
§  18000 пользователей ждут максимум по 4 часа – 72000 часа потери времени
(продуктивности)
§  2400 звонка максимум по 4 часа – 9600 часов в день или 2112000 ресурсо-
часов в год

Итого
§  Время затраченное на администрирование новых ID/паролей, ежедневную
регистрацию и повторные ввод ID/пароля составляет 2291000 часов в год…
что составляет 1% всего рабочего времени компании
§  Еще 2184000 ресурсо-часов в год на поддержку неудачных попыток входа…
что также больше 1% всего рабочего времени компании
§  Итого – 4475000 ресурсо-часов или больше 2% всего рабочего времени
компании в год - только на одну задачу – управление Identity

General Motors - факты
§  Предоставление доступа в среднем через 7 дней после заявки
§  Синхронизация паролей и ID в разных системах – 3 дня
§  50% запросов требует контактов с пользователем
§  «Разруливание» проблем с доступом – 10 дней
§  Конфликт между ID может приводить к задержкам в работе до 90 дней

General Motors - потери
§  Обработка 6600 проблем с доступом – потеря продуктивности – 3,000,000
долларов
§  Восстановление доступа для 56000 учетных записей – потеря
продуктивности – 18,200,000 долларов
§  2500 сотрудников (учетных записей) уволено – затраты на удаление –
162,500 долларов
§  Прямой ущерб – 1,200,000 долларов

Часть VII.
Почему ИБ сложно считать
рублем?

Безопасность и деньги
§  Занимаясь повседневной деятельностью мы нечасто думаем о деньгах в
контексте ИБ
И только тогда, когда возникает необходимость попросить у руководства деньги на новый проект,
продукт или услугу
§  Выигрывает не тот, кто сильнее, а тот кто лучше приспособлен
§  Множество проектов и инициатив при нехватке финансовых средств
Особенно в условиях кризиса
§  Деньги получает тот, кто может сможет лучше обосновать запрашиваемые
ресурсы
Сколько надо? Почему столько? Какова отдача?

Функции и процессы любой организации
Основная
деятельность (выпуск
продукта, предоставление
услуг)
Улучшение основной
деятельности
(оптимизация издержек)
Совершенствование
предыдущей категории
(управление качеством)

Объективные сложности финансового измерения ИБ
§  ИБ не относится к первой категории функций предприятия
Финансовые метрики сложно применять в этом случае, т.к. ИБ напрямую не генерит бизнес
Если речь не идет о компаниях, продающих услуги/продукты ИБ
§  ИБ чаще всего относится ко второй категории функций
Возможность использования финансовых метрик зависят от оцениваемого процесса
Некоторые проекты ИБ могут помочь оптимизировать издержки
§  Управление ИБ – это всегда третья категория функций
Финансовых метрик может вообще не быть
Исключение может составлять экономия на персонале за счет более эффективного управления

Миф о снижении издержек
§  Часто упоминается, что системы защиты повышают эффективность
персонала и снижают издержки
Это не совсем так!
§  Новые системы защиты ⇒ новые, ранее невыполняемые функции ⇒
возрастает нагрузка на персонал защиты
Или увеличивается его численность
§  В результате растет совокупная стоимость системы защиты (TCO)
Снижение издержек проявляется спустя время!

Субъективные сложности финансового измерения ИБ
§  Это нематериально, а значит неизмеримо
§  Многие считают такую оценку невозможной, а нематериальное
неподдающимся измерению
Именно это часто является причиной отказа от многих проектов (предубеждение пессимизма)
§  В кризис на принятие решения о выделении ресурсов больше всего влияют
финансисты
Важные для предприятия проекты пропускаются в
пользу слабых только потому, что во втором случае
методы оценки ожидаемого эффекта всем известны, а в
первом нет!

Во время кризиса влияние
ИБ возрастает – не упустите
§  В условиях кризиса возрастает число
внутренних нарушений
Утечки, снижение дисциплины, шантаж, блокировка
учетных записей, уничтожение активов, компромат
и т.п.
§  Также будет расти число увольнений
§  ИБ может помочь бороться с такими
явлениями
Если сможет обосновать свою роль в улучшении
ситуации
§  Активизация взаимоотношение с
экономической безопасностью

Вложения куда проще обосновать?

Измерение в деньгах требует иных подходов
§  Обосновывать вложения требует бизнес!
§  Бизнес не говорит на языке ИБ!
Он говорит на языке бизнеса, на языке денег!
§  Нужна иная стратегия обоснования!

В кризис меняется отношение к инвестициям
§  В кризис организации меньше тратят и больше накапливают «денежную
подушку»
Именно финансовому директору принадлежит право сказать «да» или «нет». Именно он определяет
до какого предела дойдет оптимизация
§  Затраты сокращаются или меняется их структура
«Под нож» идут те, кто считается непрофильным для предприятия активом, не зарабатывающим
денег, а только их тратящих
§  Финансовому директору сложно продать страхи вирусов и несоответствия
ФЗ-152
CFO оперирует прибылями и убытками
Рисками он тоже оперирует, но немного иными – курс валюты, невозможность заимствований,
требование погашения кредита, банкротство партнеров и т.п.

Какова цель, на которую мы просим денег?

Куда мы вкладываем деньги?
Продукт ИБ
•  Зачем нам
конкретный
продукт?
•  Какую
задачу он
решает?
Проект ИБ
этот проект
ИБ?
•  Какую
задачу он
решает?
Проект ИТ
этот проект
ИТ?
•  Какую
задачу он
решает?
Бизнес-
проект
этот бизнес-
проект?
•  Какую
задачу он
решает?
§  Мы вообще понимаем, ДЛЯ ЧЕГО нам ИБ?
§  Варианты «так принято» и «чтобы было безопасно» не подходят!
Вариант «так требуют регуляторы» возможен J но с оговорками

Часть VIII.
Что об эффективности ИБ
думают регуляторы?

Что про эффективность ИБ думает ФСТЭК?
Эффективность защиты
•  Степень соответствия
результатов защиты
информации цели
защиты информации
Цель защиты
•  Предотвращение
ущерба обладателю
информации из-за
возможной утечки
информации и (или)
несанкционированного
или
непреднамеренного
воздействия на
информацию
Результат защиты
•  Заранее намеченный
результат защиты
§  Безопасность ради безопасности
Замкнутый круг

Что про эффективность ИБ думает Банк России?
§  В действующем стандарте Банка России СТО БР
ИББС–1.0 «Обеспечение информационной
безопасности организаций банковской системы
Российской Федерации. Общие положения»
установлены требования о принятии руководством
организации БС РФ решений о выделении
ресурсов, необходимых для реализации и
эксплуатации системы обеспечения ИБ
§  Новая РС устанавливает рекомендации,
следование которым позволит организациям БС РФ
организовать обеспечение ресурсов, необходимых
для реализации и эксплуатации СОИБ, и контроль
эффективности использования этих ресурсов

Что про эффективность ИБ думает 8-й Центр ФСБ и др.?

Часть IX.
Как считать ИБ рублем?

Все начинается с целеполагания!!!
§  Но сначала мы должны понять, ЧТО у нас лучше и ЗАЧЕМ это лучше нам!
Для ЧЕГО нам ИБ?

Мы часто топчемся на одном месте, не понимая цели!
§  Мы должны понять, ЧТО у нас лучше и ЗАЧЕМ это лучше нам!
Для ЧЕГО нам ИБ? Каких КОНКРЕТНЫХ результатов мы хотим достичь?
§  Для ответа на вопрос «ЗАЧЕМ нам ИБ?» необходимо провести
декомпозицию задачи/проекта/продукта!

Декомпозиция 4 сценариев изменения стратегии продаж
Рост выручки
Рост числа
клиентов
Географическая
экспансия
Защищенный
удаленный
доступ
Рост числа
сделок
Вынос PoS в
«поля»
мобильный
доступ
Ускорение
сделок
Новый канал
продаж
Интернет-
магазин
Снижение
себестоимости
Более дешевый
канал продаж
Интернет-банк

ИБ сама по себе или как часть целого?
§  ИБ как самостоятельный проект – самый удобный, но и самый редкий на
практике случай финансового измерения

Расходы считать просто. Что с доходами / выгодами?
§  Получение новых доходов
§  Снижение расходов/потерь
§  Снижение времени
§  Снижение (высвобождение)
числа людей
§  Не во всех компаниях это
выгоды!
Поймите, что считается выгодой
именно у вас

Кейс 1: средства контроля доступа в Интернет
§  Реальный пример: сотрудник тратил 6 часов из 8 на ежедневный просмотр
порнографии, но за оставшиеся 2 часа приносил недельную выручку
Проект по внедрению средства контроля доступа в Интернет провалился
Видимая оценка
•  1,5 часа в день на
«одноклассниках»
•  200 сотрудников
•  6600 часов экономии – 825 чел/
дней
•  $18750 в месяц (при зарплате
$500)
•  $225000 в год экономии
Скрытая оценка
•  Блокирование доступа не значит,
что сотрудники будут работать
•  Работа «от» и «до» и не больше
•  Ухудшение псих.климата
•  Потери $150000 в год

Кейс 2: оценка выгод от приобретения DLP-решений
§  Пока инцидент не произошел оценить его сложно!
§  Цена на инцидент
стоимость расследования инцидента
стоимость восстановления после инцидента
стоимость PR/общения с прессой
затраты на юридические издержки (опционально)
затраты на нарушение соответствия (опционально)
стоимость досудебного урегулирования (опционально)
§  Цена на запись
стоимость уведомления (создание списка пострадавших, печать, почтовые услуги)
стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)
стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с
мошенничеством, средства ИБ (опционально)

Защита не должна быть
дороже защищаемой
информации!
А кто считал стоимость информации?

Почему мы не привязываемся к стоимости информации?
Она имеет ценность
Имеет ценность для вас
Снижает неопределенность при
принятии решений
Влияет на поведение людей,
приводящее к экономическим
последствиям
Нематериальный актив
(собственная стоимость)
Не имеет ценности для вас, но
имеет для кого-то еще
Если ей воспользуются другие,
то вы понесете убытки или
проиграете в конкурентной
борьбе
Ее защита требуется
государством / регулятором
Она не имеет ценности, но ее
принято защищать
Много
разных
оценок

Виды стоимости нематериальных активов
Вид стоимости Определение
Стоимость обмена Вероятная цена продажи, когда условия обмена известны
обеим сторонам и сделка считается взаимовыгодной
Обоснованная рыночная
стоимость
Наиболее вероятная цена, по которой объект оценки
переходит из рук одного продавца в руки другого на
открытом рынке и добровольно
Стоимость использования Стоимость объекта оценки в представлении конкретного
пользователя и с учетом его ограничений
Ликвидационная стоимость Стоимость объекта оценки при вынужденной продаже,
банкротстве
Стоимость замещения Наименьшая стоимость эквивалентного объекта оценки

Разные методы оценки нематериальных активов
Рыночный
•  Метод сравнения
продаж аналогичных
объектов оценки
Затратный
•  Метод стоимости
замещения
•  Метод
восстановительной
стоимости
•  Метод исходных
затрат
Доходный
•  Метод расчета роялти
•  Метод исключения
ставки роялти
•  Метод DCF
•  Метод прямой
капитализации
•  Экспресс-оценка
•  Метод избыточной
прибыли
•  Метод по правилу 25%
•  Экспертные методы

§  Дополнительные метрики
Отток клиентов (в течении 1, 3, 6, 12, n месяцев)
Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)
Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок
все забывает)
§  А еще можно попробовать посчитать стоимость утекшей информации
Информация стоит денег сама по себе (оценка нематериальных активов)
Информация позволяет улучшить что-то (стоимость информации равна разнице между стоимостью
«до» и «после»)
Информация позволяет принимать решения (выгоды от принятого решения)

А может посчитать отдачу, привязав к курсу акций?

Не всегда связь очевидна

§  Исходные данные
По закону желающий уволиться обязан предупредить об увольнении за 2 недели
Увольняющийся ищет новую работу в том числе и на работе (сайты, переписка и т.п.)
HR обычно не умеет найти кандидата на открываемую вакансию за 2 недели
Компания теряет от 2 до 10 недель, пока вакансия не закрыта
«Стоимость» сотрудника известна и равна разнице между приносимым им доходом и расходами на
него
§  Если DLP будет заранее (за месяц-два, т.к. работа тоже не ищется
мгновенно) предупреждать о планах по увольнению, то она будет помогать
HR (не ИБ)
Эффективность может быть даже измерена деньгами

§  Исходные данные
Во многих компаниях организуются тендерные комитеты или бюджетные комитеты, принимающие
важные решения об инвестициях
Важно, чтобы в этих комитетах не было «договоренностей» и «сговоров»
§  Если DLP будет предупреждать владельцев бизнеса о «давлении» или
«принуждении» во время обсуждения той или иной инвестиции, то она будет
помогать HR (не ИБ)
Она будет эффективна для данной задачи, хотя и не факт, что речь будет вестись о финансовой
эффективности

Кейс 3: цена взлома медицинской системы
Пример США! В РФ часть потерь
будет отсутствовать или незначительна

Подсчет потерь - это хорошо, но это анализ постфактум!
Продуктивность
•  Простои
•  Ухудшение психологического климата
Реагирование
•  Расследование инцидента
•  PR-активность
•  Служба поддержки
Замена
•  Замена оборудования
•  Повторный ввод информации
Штрафы
•  Судебные издержки, досудебное урегулирование
•  Приостановление деятельности
Конкуренты
•  Ноу-хау, государственная, коммерческая тайна
•  Отток клиентов, обгон со стороны конкурента
Репутация
•  Гудвил
•  Снижение капитализации, курса акций
Другое
•  Снижение рейтинга
•  Снижение рентабельности
§  Деньги надо
просить быстро!
А подсчет может занять
время
§  Это затыкание
дыр!
Нет стратегии!
§  Денег на защиту
могут и не дать!
Все уже случилось!
§  Могут еще и
наказать!
И даже уволить

Что
теряем?
Что
тратим?
Средства защиты
«Бумажные»
работы
Поддержка в
актуальном
состоянии
Лояльность
клиентов (отток)
Штрафы
Удар по
репутации
Кейс 4: выполнение требований ФЗ-152
Консалтинг
Обучение /
тренинги
Сертификация
СрЗИ
Уведомление
субъектов ПДн
Изменение
системы защиты
Управление
инцидентами
Приостановление
деятельности
Вы
уверены?

Правонарушение
Нарушаемая статья
законодательства
Наказание для
должностных лиц
Наказание для
юридических лиц
Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей
Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей
Незаконная обработка
спецкатегорий ПДн
Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей
Неопубликование политики в
области ПДн
Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей
Отказ в предоставлении
информации субъекту
Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей
Отказ в уничтожении или
блокировании ПДн
Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей
Нарушение правил хранения
материальных носителей ПДн
ПП-687 4-10 тысяч рублей 25-50 тысяч рублей
Нарушение правил обезличивания
(для госов)
ПП-211 и приказ РКН
№996
3-6 тысяч рублей Не предусмотрено
Потери могут и возрасти

Кейс 5: повышение осведомленности в области ИБ
§  Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в
должностные обязанности темы ИБ
Это ответ на вопрос: «ЧТО мы хотим сделать?», но не «ЗАЧЕМ мы хотим это сделать?»
§  ЗАЧЕМ необходимо ежегодное прохождение сотрудниками тренинга по ИБ?
Чтобы было меньше инцидентов? è Считайте отдачу за счет снижения ущерба от инцидентов!
Чтобы выполнить требования регуляторов? è Считайте штрафы от невыполнения требований!
§  Инвестиции в процессы ИБ почти всегда сопряжены с оценкой пост-фактум,
что усложняет обоснование выделения ресурсов
Штрафы за неисполнение каких-то требований в области ИБ пока незначительны, а
правоприменительная практика практически отсутствует

«Новые» финансовые методы, которые не работают
§  «Инвестиционные»
Total Value of Opportunity (TVO)
Total Economic Impact (TEI)
Rapid Economic Justification (REJ)
§  «Затратные»
Economic Value Added (EVA)
Economic Value Sourced (EVS)
Total Cost of Ownership (TCO)
Annual Lost Expectancy (ALE)
§  «Контекстуальные»
Balanced Scorecard
Customer Index
Information Economics (IE)
IT Scorecard
§  «Количественные вероятностные»
Real Options Valuation
iValue
Applied Information Economics (AIE)
COCOMO II and Security Extensions

Кейс 6: TEI от Forrester
§  Закрытая методика, разработанная
компанией Giga Group, купленной
Forrester
Требует участия экспертов Forrester
Почти все упомянутые на предыдущем слайде
методики требуют участия их авторов, работающих
«на доверии» и «на имени»
§  Оценивает эффективность по трем
критериям
Гибкость
Стоимость
Преимущества
§  Использует другие методики (ROV, ROI и
т.п.)

Стоимость женских духов и экономика ИБ: что общего?
§  «Правда заключается в том, что никакой
объективной стоимости нет в природе. Цена
любого предмета, произведенного человеком,
складывается из массы других, столь же
относительных цен – цены труда в столице,
деревне, Франции или Занзибаре, цены сырья,
цены транспортировки. Все они – условны: то,
что человечество на данном этапе своего
существования сочло ценным, совсем не
обязательно было таковым раньше»
§  Обратите внимание при какой зарплате в
западных калькуляторах будут положительные
ROI и иные показатели

Кейс 8: удаленный защищенный доступ
•  Решение Cisco Virtual Office (CVO) à перевод сотрудников на дом à уменьшение
арендуемых площадей à снижение арендной платы
Офис (класс А)
Стоимость м2
в год*
Итого**
Башня Федерация 850$ 1700$
Александр Хаус 800€ 1600€
8 марта, 14 570$ 1140$
Daev Plaza 1300$ 2600$
GreenWood 290$ 580$
* + стоимость стоянки $150-250 в месяц
** Из расчета 2 м2 на сотрудника
Элемент CVO Цена
Cisco 861 449$
IP Phone 7911G* 225$
Cisco Security
Manager**
300$
Итого 974$
* Опционально
** В пересчете на одно место
*** Дополнительно требуется ISE и HeadEnd VPN для HQ
§  Дополнительная экономия на питании сотрудников, оплате проездных,
оплате канцтоваров, оплате коммунальных расходов
+ рост производительности и улучшение психологического климата

Кейс 9: решение по защите от спама
§  Исходные данные:
Число сотрудников (почтовых ящиков) – 7000
Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника)
Объем спама – 60% (42000 сообщений)
Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 сек
Суммарные дневные затраты на спам – 14,583 человеко-дня
Средняя зарплата сотрудника – $1500
§  Потери компании
В день – $994,29
В месяц – $21784,5
В год – $248573,86
§  Выгоден ли антиспам в данной ситуации?
Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности

Кейс 10: система оценки соответствия
Статья экономии
Человека/
часов
Цена*
Идентификация несоответствующих
компьютеров
1.0 $12.00
Определение местоположения
несоответствующих компьютеров
1.0 $12.00
Приведение в соответствие 2.0 $24.00
Потенциально сэкономленные затраты на 1
компьютер (в год)
$48.00
Потенциально сэкономленные затраты на 1
компьютер (за 3 года)
$144
$14400 (100 users) $72000 (500 users) $144000
* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться
от $1000 до $4000
Элемент решения Цена
Cisco ISE Appliance
3315 Server (100
users) / 3Y
$15490
Cisco ISE Appliance
3315 Server (500
users) / 3Y
$36490
(~2x)
Cisco ISE Appliance
3315 Server (1000
users) / 3Y
$62990 (~2,5x)
§  В крупных организациях автоматизация задач по ИБ всегда выгоднее, чем в
небольших организациях, в которых многие задачи могут быть решены
вручную

Часть X.
Когда оценка рублем только
вредит

Безопасность мобильного банкинга
§  «Что касается мобилок, то в самих мобильных
банкингах масса проблем и их актуальность на
практике мне очевидна. Сидя в чужой WiFi сети,
делаешь перевод Васе, а деньги уходят Пети и
всего делов - и никакой конопли не нужно :). И
никакого тут FUDа впомине нет. Потому что
мобильный банкинг набирает ход по полной и при
этом пока абсолютно дырявый на практике. И надо
помочь обратить на это внимание»
Илья Медведовский, Digital Security

Исходные данные
§  ¾ россиян не используют мобильный и интернет-банкинг
АnalyticResearchGroup
§  Постоянными пользователями услуг мобильного банкинга является всего 3%
россиян
Фонд общественного мнения (ФОМ)
§  Только 30,4% банков используют системы дистанционного обслуживания
физических лиц
Системы типа мобильный банк установлены только в 6,8% банков

Сколько денег в мобильном банкинге?
§  Оборот мобильного банкинга в России всего 8.1 млрд. рублей в 2012-м году
По данным J’son & Partners Consulting
Из них доля денежных переводов составляет всего 30%.
§  Т.е. на денежные переводы, о перехвате и подмене которых говорится в
отчете Digital Security, как основной угрозе, приходится всего 2.7 млрд. рублей
Это много или мало?!

2.7 миллиарда – это много?
§  Объем рынка электронных платежных систем в России в 2012-м году
составляет 1811 млрд. рублей
По оценкам J’son & Partners Consulting
§  Т.е. мобильные переводы денежных средств - это всего 0.14%
Если взять все платежи через мобильный банкинг (т.е. + оплата услуг и товаров), то получится около
0.45%
§  Не надо забывать, что электронные платежные системы - это тоже копейки в
общем объеме денежных переводов

А в масштабе всех денежных переводов?
§  Объем банковских платежей, совершенных юридическими лицами с
использованием платежных поручений, переданных в банк электронным
способом, за 1-е полугодие 2010 года превысило 101 трлн руб.
Из них 51 трлн руб. - платежи со счетов, обслуживаемых через системы интернет-банкинга
§  Без экстраполяции (а рост был) это 200 триллионов рублей в год
Доля мобильного банкинга для физлиц на фоне переводов денежных средств юрлицами через
системы ДБО - 0.0013%

Выводы по ИБ мобильного банкинга
§  Злоумышленникам невыгодно вкладываться в массовый взлом мобильного
банкинга для физлиц
Взлом юрлиц выгоднее во всех отношениях – обороты, доходы, массовость, судебная практика
§  Злоумышленникам проще осуществлять мошенничество через 9-ю статью
закона «О национальной платежной системе»
Банк обязан безоговорочно вернуть деньги
§  Разработчикам невыгодно вкладываться в безопасность мобильных
приложений
Если их не обяжут регуляторы
§  Для банков это, в первую очередь, имиджевые проекты
Проект проще закрыть (принять риски), чем защищать

Пример из жизни
§  Атака на Сбербанк и другие
банки России
§  350 тысяч пострадавших
§  50 миллионов рублей потерь
§  50 миллионов рублей / 350 тысяч
жертв = 145 рублей на жертву!!!
Это много или мало?!

Часть XI.
Подводя итоги

Откуда брать исходные данные?!
§  Все финансовые методы (традиционные и «новые») требуют для расчета
исходные данные, обычно отсутствующие у служб информационной
безопасности
Нет, потому что мы не знаем, где их взять
Нет, потому что не дают
Нет, потому что у нас нет квалификации для измерений
Нет, потому что мы не верим в эффективность этих методов
Нет, потому что мы боимся соваться в финансы
Нет, потому что нет гарантии, что нам поверят
Нет, потому что нам не верят
Нет, потому что мы забыли математику
Нет, потому что нет

Отложенность возврата инвестиций – тоже проблема
§  В области ИБ никто не проводил таких исследований, а в области ИТ
отмечается существенный временной лаг между инвестициями в ИТ и
эффектами от них
Лаг достигает 4-5 лет
Лаг связан с длительностью изменений, связанных с адаптацией организации к новым ИТ и более
полным использованием их возможностей
Долгосрочные эффекты от инвестиций в ИТ намного, в 2,5-3 раза, превышают краткосрочные
В ИБ, вероятнее всего, сохраняются (в лучшем случае) те же показатели

Прогресс и изменения
§  Все жаждут прогресса, но никто не хочет изменений
§  Люди инертны
Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и т.д.)
Ленивы и не будут упорно трудиться ради изменений
Людей устраивает средний результат. Это зона комфорта. Best Practices никому не нужны (как и
мировые рекорды)
Люди считают свои решения лучшими
§  Чтобы пересмотреть точку зрения, человека надо долго переубеждать или
показать воочию
§  Изменения происходят не вдруг – имейте терпение

Универсального метода измерения нет! Или есть?
•  Описание условий реализации инициативы (внутренней и
внешней среды)Где
•  Описание самой инициативыЧто
•  Оценка операционных и экономических эффектов от
нормальной реализации инициативыДля чего
•  Цепочка объясняющих причинно-следственных связей
между инициативой и ожидаемыми эффектамиПочему
•  Алгоритм действий по выявлению и оценке ожидаемых
эффектов, который предполагается тем или иным методомКак
•  Ключевые участники инициативы и распределение между
ними ответственности за получением ожидаемых эффектовКто

Оцениваете не только вы, но и вас!
§  Финансовая оценка ИБ нужна только в том случае, если бизнес вообще готов
разговаривать в этом разрезе
Учитывая скепсис к финансовой оценке эффективности ИТ/ИБ, это происходит не всегда
Важно заслужить доверие руководства, на котором зиждется эффективность общения с ним!
§  Многие руководители (не только службы ИБ) считают, что оценить ИБ
финансово невозможно
Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность
проекта по IT Security
§  В таких случаях оценка финансовой отдачи от продуктов/проектов ИБ –
просто интересная задача, не имеющая ничего общего с реальностью
конкретной организации

Вы готовы по-новому взглянуть на безопасность?!

Благодарю
за внимание
http://lukatsky.blogspot.com/

Как обосновать затраты на ИБ?

Recommandé

Recommandé

Contenu connexe

Tendances

Tendances (19)

En vedette

En vedette (16)

Similaire à Как обосновать затраты на ИБ?

Similaire à Как обосновать затраты на ИБ? (20)

Plus de Aleksey Lukatskiy

Plus de Aleksey Lukatskiy (20)

Как обосновать затраты на ИБ?