security finance measurement

1/49 © Cisco, 2010. Все права защищены.

Экономическая эффективность ИБ. Обоснование перед руководством

Алексей Лукацкий, бизнес-консультант по безопасности

© Cisco, 2010. Все права защищены. 3/49

• Уровень опасности или сколько мы потеряем?

• Сколько денег на ИБ достаточно?

• Мы достигли цели?

• Насколько оптимально мы движемся к цели?

• Сколько стоит информация?

• Насколько мы соответствуем стандартам или требованиям?

• Какая из мер защиты выгоднее/лучше?

• Как мы соотносимся с другими?

• …


• Самое важное – определить объект измерения!

• Что для вас информационная безопасность?

Снижение числа вредоносных программ?

Получение аттестата PCI Council?

Снижение числа запросов в Help Desk по поводу забытых паролей?

Снижение числа утечек конфиденциальной информации?

Защита от наездов регуляторов?

• Что конкретно ВЫ имеете ввиду?!

• Определитесь с объектом измерения и половина работы по измерению будет проведена!


• Мало кто может сказать, что такое эффективность – большинство может сослаться на разрозненные наблюдения, которые ассоциируются у них с эффективностью

Число эпидемий стало меньше

Заказчики стали меньше звонить в Help Desk по поводу недоступности сайта

Пользователи стали реже заносить вредоносные программы на флешках

Руководство не жалуется, что не может «достучаться» до корпоративной ИС из командировки

Сервер AD ни разу не «упал» в этом месяце

• Эффективность – это поддающийся количественному определению вклад в достижение конечных целей

• Важно в конкретном случае детализировать понятие «эффективность» (объект измерения)


• Универсального метода финансовой оценки ИБ не существует

Возможность применения различных финансовых методик зависит от знаний и опыта как стороны демонстрирующей оценку (служба ИБ), так и стороны, которой демонстрируют

• Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно

Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security

• Это возможно, но только при условии выхода на бизнес-уровень, где вы можете посчитать отдачу!


• Помните про цели и определение объекта измерения!

• Что вы хотите измерить деньгами

Сколько вы потеряете, не внедрив систему защиты?

Сколько я сэкономлю на данной системе защиты?

Какова цена защищаемой информации?

Сколько вы потратите на систему защиты за 3 года?

За сколько лет вернутся деньги, потраченные на систему защиты?

Выгоден ли этот проект? (определите, что для вас выгода)

Какая система защиты из двух дешевле? Или выгоднее?

Рискованны ли инвестиции в этот проект?


• Total Cost of Ownership (TCO) Во сколько обойдется проект с учетом косвенных и всех прямых затрат?

• Net Present Value (NPV) Какова ценность вкладываемых финансовых ресурсов для проекта при определенной ставке дисконтирования?

• Internal Rate of Return (IRR) Какова ставка дисконтирования, при которой проект еще имеет смысл?

• Return on Investment (ROI) Что мы потеряем и что получим от внедрения проекта?

• Playback Period (PbP) Когда вернутся инвестиции?


• Оценка стоимости нематериальных активов

МСФО 38 «Нематериальные активы»

GAAP (для США)

EVS 2000 (для Евросоюза)

Стандарты оценки РФ (утверждены ПП-519 от 6.07.2001)

• Economic Value Added (EVA)

• Economic Value Sourced (EVS)

• iValue

• Total Economic Impact (TEI)

• Applied Information Economics (AIE)


• Решение Cisco Virtual Office (CVO) перевод сотрудников на дом уменьшение арендуемых площадей снижение арендной платы

Офис (класс А) Стоимость

м2 в год* Итого**

Башня Федерация 850$ 1700$

Александр Хаус 800€ 1600€

8 марта, 14 570$ 1140$

Daev Plaza 1300$ 2600$

GreenWood 290$ 580$

* + стоимость стоянки $150-250 в месяц

** Из расчета 2 м2 на сотрудника

Элемент CVO Цена

Cisco 861 449$

IP Phone 7911G* 225$

Cisco Security

Manager**

300$

* Опционально

** В пересчете на одно место

*** Дополнительно требуется ACS и HeadEnd VPN

для HQ


• Дополнительная экономия на:

Питании сотрудников

Оплате проездных (если применимо)

Оплате канцтоваров

Оплате коммунальных расходов

• А также

Улучшение психологического климата за счет работы дома

Рост продуктивности на 10-40%


Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям

Аэропорт

WAN/Internet

SiSi

SiSi

Отель

Предприятие

Дорога

Кафе

Главный

офис HQ

Филиал Дом

• Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)

• Сотрудник в среднем тратит только 30–40% времени в офисе

100 сотрудников



Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн.

1 час потери продуктивности $1,200 $6,000 $12,000

Потери в год от 1 часа в неделю $62,5K $312,5К $625К


• Рабочий день мужчины в России – 8 часов 14 минут

Переработка на 14 минут

• Рабочий день мужчины в Москве – 5 часов 33 минуты

Потери 2,5 часов ежедневно (!) – преимущественно пробки

• Рабочий день женщины в России – 5 часов 44 минуты

Потери 2 часов 16 минут ежедневно

• Рабочий день женщины в Москве – 5 часов 23 минуты

Потери 2 часов 37 минут ежедневно

Источник: Росстат, 06.06.2011


Статья экономии Человека/

часов Цена*

Идентификация

несоответствующих

компьютеров

1.0 $12.00

Определение

местоположения

несоответствующих

компьютеров

1.0 $12.00

Приведение в

соответствие 2.0 $24.00

Потенциально сэкономленные затраты

на 1 компьютер $48.00

* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра

может варьироваться от $1000 до $4000

Элемент

решения Цена

Cisco NAC

Appliance 3315

Server (100

users)

$8990

Cisco NAC

Appliance 3315

Server (500

users)

$22990

Cisco NAC

Appliance 3315

Server (5000

users)

$89990

(~3x)


• Исходные данные: Число сотрудников (почтовых ящиков) – 7000

Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника)

Объем спама – 60% (42000 сообщений)

Время обработки одного спам-сообщения сотрудником – 10 секунд

Суммарные дневные затраты на спам – 14,583 человеко-дня

Средняя зарплата сотрудника – $1500

• Потери компании В день – $994,29

В месяц – $21784,5

В год – $248573,86

• Выгоден ли антиспам в данной ситуации? Да, как и всегда в крупных организациях

В небольших организациях уже не так все очевидно


Ручной аудит

• MTTR из-за ошибки конфигурации: 150 минут

• Простои & инциденты из-за ошибок в «ручных» конфигурациях: 80%

• Среднее время обнаружения уязвимости: 2 недель

• Настройка нового устройства: 6 часов

• Изменений в час: 20

Автоматизированный аудит

• MTTR из-за ошибки конфигурации: 15 минут (10х)

• Простои & инциденты из-за ошибок в «ручных» конфигурациях: 20%

• Среднее время обнаружения уязвимости: Менее 2 минут (10080х)

• Настройка нового устройства: 20 минут (18х)

• Изменений в час: 5,000

Cisco Network Compliance Manager имеет экономический смысл на крупных сетях


• Решение по защите системы Интернет-банкинга приобретение решения в лизинг, взятие в аренду или оплата с рассрочкой платежа оптимизация финансовых показателей

• Выгоды: CapEx переходит в OpEx

Ускоренная амортизация (коэффициент – 3)

Снижение налога на прибыль и имущество

Не снижает Net Income, EBITDA

Нет проблем списания оборудования

Отсрочка платежа

Фиксированная ставка в рублях

Положительное влияние на финансовые показатели

• Производитель должен иметь отдельную финансовую структуру (например, Cisco Capital)


Показатель Исходные данные Значение

Число офисов 150

Цена мониторинга

WAN-каналов без VPN

Один специалист

обслуживает офисов

25

Число специалистов 6

Цена VPN-мониторинга Один специалист

обслуживает VPN-

шлюзов

15


Разница в цене

мониторинга VPN


Зарплата специалиста $25000

Итого $100000


Показатель Исходные данные Значение

Стоимость VPN-

решения

Cisco Security Manager $36000

Рабочая станция для

управления

$2000

Cisco ISR 2911 (C2911-

WAAS-SEC/K9)

$8495 * 150 = $1274250

Стоимость

инсталляции

Время внедрения (час) 2 * 150 = 300

Почасовая ставка ИТ-

специалиста

$12 * 300 = $3600

Командировка $800 * 150 = $120000

Итого $1397850


Показатель Значение

Одноразовые инвестиции $250 на филиал

Ежемесячная плата $300 на филиал

Длительность контракта 3 года

Скидка на VPN Managed Service 15%

Собственная VPN Managed VPN Экономия

Зарплата ИТ-

специалистов

$8500 в месяц - $8500

Стоимость

оборудования (на 3 года)

$38829 в месяц - $38829

Услуга Managed VPN - $38250 $(38250)

Итого в месяц $47329 $38250 $9079

Внедрение $123600 $37500 $86100

Резюме $1827444 $1414500 $412944


Решение Cisco NME-RVPN для 1500 АЗС

• На базе модуля для ISR G2 (2900/3900)

Решение Cisco/S-Terra для центра

• На базе UCS C-200

Статья затрат (BUILD) Итого

CapEx $9000000

TCO (дизайн, внедрение,

мониторинг,

эксплуатация, поддержка)

*5 (если

верить

Gartner)

Лицензирование в ФСБ ~$100000

Персонал $250000

Статья затрат (BUY) Итого

CapEx $0

TCO $0

Лицензирование в

ФСБ

-

Персонал $0

OpEx $300*1500*12


ChoicePoint – Зима 2004/2005

• Кража отчета с 145,000 именами клиентов, номеров кредитных карт и т.д.

Воздействие на бизнес

• Администрация штата Нью-Йорка отказалась от контракта с ChoicePoint на сумму 800 миллионов долларов

Падение курса

акций


• Цена на запись

стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) - $20 на одного клиента

стоимость реагирования пострадавших, например, звонки в Help Desk (опционально) - $20 на одного клиента

стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)

• Дополнительные метрики

Отток клиентов (в течении 1, 3, 6, 12, n месяцев)

Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)

Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)


• Цена на инцидент

стоимость расследования инцидента

стоимость восстановления после инцидента

стоимость PR/общения с прессой

затраты на юридические издержки (опционально)

затраты на нарушение соответствия (опционально)

стоимость досудебного урегулирования (опционально)

• На данном этапе развития законодательства и культуры бизнеса в России проекты по управлению инцидентами убыточны и служба реагирования является центром затрат

Если не делать ее сервисным подразделением, продающим свои услуги внутренним и внешним заказчикам


• Задача: оценить проект по внедрению единой системы управления идентификаций, аутентификацией и авторизацией (IdM)

С точки зрения ИБ и обычные пароли эффективны

• Вспоминаем про определение объекта измерения

Создание ID, вход в приложения, неудачные входы, звонки в Help Desk, обслуживание пользователей…

• Исходные данные:

Число пользователей – 120000

Ежегодная ротация кадров – 15%

Среднее число ID/паролей – 5

Число рабочих часов в день – 8

Число рабочих дней в год - 260


• Ежегодное число новых пользователей – 18000 (120000*15%)

• Необходимо поддерживать 90000 новых ID/паролей (5*18000)

• Создание нового ID/пароля – в среднем 120 секунд (анализ заявки, создание и настройка учетной записи)

• Всего на администрирование новых пользователей уходит 3000 часов (~2 человека при полной нагрузке)


• В среднем 20 входов в систему/приложения ежедневно (из-за истекшего таймаута, смены приложения и т.д.)

• Среднее время регистрации – 15 секунд

• Ежедневно тратится 10000 ресурсо-часов на регистрацию

• Ежегодно тратится 2200000 ресурсо-часов на регистрацию в разные системы и приложения


• В среднем 1% всех попыток регистрации заканчивается неудачно

• Повторная регистрация разрешается через 60 секунд

• Общее время на повторную регистрацию в год составляет 88000 часов


• В среднем после 3-х неудачных попыток входа в систему учетная запись блокируется

• После 2-х неудачных попыток входа рекомендуется позвонить в службу поддержки

• 2400 звонков ежедневно в службу поддержки по факту 2-х неудачных попыток входа в систему

• SLA = 4 часа на обработку одного инцидента

• 18000 пользователей ждут максимум по 4 часа – 72000 часа потери времени (продуктивности)

• 2400 звонка максимум по 4 часа – 9600 часов в день или 2112000 ресурсо-часов в год


• Время затраченное на администрирование новых ID/паролей, ежедневную регистрацию и повторные ввод ID/пароля составляет 2291000 часов в год…

что составляет 1% всего рабочего времени компании

• Еще 2184000 ресурсо-часов в год на поддержку неудачных попыток входа…

что также больше 1% всего рабочего времени компании

• Итого – 4475000 ресурсо-часов или больше 2% всего рабочего времени компании в год - только на одну задачу – управление Identity


• Предоставление доступа в среднем через 7 дней после заявки

• Синхронизация паролей и ID в разных системах – 3 дня

• 50% запросов требует контактов с пользователем

• «Разруливание» проблем с доступом – 10 дней

• Конфликт между ID может приводить к задержкам в работе до 90 дней


• Обработка 6600 проблем с доступом – потеря продуктивности – 3,000,000 долларов

• Восстановление доступа для 56000 учетных записей – потеря продуктивности – 18,200,000 долларов

• 2500 сотрудников (учетных записей) уволено – затраты на удаление – 162,500 долларов

• Прямой ущерб – 1,200,000 долларов


• Базируется на методологии Forrester Total Economic Impact (TEI)

• Интервью 13 заказчиков

• Опубликованное исследование ROI базируется на организации в США с 5,000 сотрудниками

• Трехлетний расчет преимуществ и затрат


• Разработан Forrester Research

• Базируется на методологии Forrester Total Economic Impact (TEI)

• Данные базируются на:

Интервью с заказчиками

Отчетами заказчиков

Исследованиями аналитиков

• Аудитория

IT Director/Sr. Managers

Business Decision Makers


• Оценка экономической эффективности проекта по контролю доступа в Интернет (например, Cisco IronPort Web Security)

На поверхности и в глубине

На поверхности

• 1,5 часа в день на «одноклассниках»

• 200 сотрудников

• 6600 часов экономии – 825 чел/дней

• $18750 в месяц (при зарплате $500)

• $225000 в год экономии

В глубине

• Блокирование доступа не значит, что сотрудники будут в это время работать

• Работа «от» и «до» и не больше

• Ухудшение псих.климата

• Потери $150000 в год


• Все жаждут прогресса, но никто не хочет изменений

• Люди инертны Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и т.д.)

Ленивы и не будут упорно трудиться ради изменений

Людей устраивает средний результат. Это зона комфорта. Best Practices никому не нужны (как и мировые рекорды)

• Чтобы пересмотреть точку зрения, человека надо долго переубеждать или показать воочию

• Изменения происходят не вдруг – имейте терпение

• Финансовые изменения ИБ требуют исходных данных, которых обычно в службе ИБ нет

• Демонстрация «денег» требует времени на измерение


http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussia

http://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

Спасибо

за внимание!

[email protected]

Praemonitus praemunitus!

security finance measurement

Economy & Finance