spsr express. Дмитрий Мананников: мастер-класс...
TRANSCRIPT
Образец заголовкаЭкономические аспекты информационной
безопасности
Дмитрий Мананниковдиректор по безопасности
Образец заголовка
Экономические аспекты информационной безопасности
Термины и определения
2
Экономика
(от др.-греч. οἶκος — дом, хозяйство хозяйствование и νόμος — ном, территория управления хозяйствованием и правило, закон, буквально «правила ведения хозяйства дома»)— хозяйственная деятельность общества, а также совокупность отношений, складывающихся в системе производства , распределения, обмена и потребления.
Главная функция экономики состоит в том, чтобы постоянно создавать такие блага\продукты, которые необходимы для жизнедеятельности людей\обществ и без которых они не могут развиваться. Экономика помогает удовлетворить потребности в условиях ограниченных ресурсов.
Экономический кризис
(греч krisis — поворотный пункт) — резкое ухудшение экономического состояния страны, проявляющееся в значительном спаде производства, нарушении сложившихся производственных связей, банкротстве предприятий, росте безработицы, и в итоге — в снижении жизненного уровня, благосостояния населения. Так же эту ситуацию можно охарактеризовать как резкое изменение\сокращение ресурсной базы в результате ряда коллизий
Образец заголовка
Экономические аспекты информационной безопасности
Кризисный год
3
Антикризисные меры
Экономический кризис = Оптимизация затрат
Антикризисные меры
Затраты на инициативы развитияРесурсы
Затраты по текущим процессам
Кто определяет эту грань?
Оптимизация не равно сокращение! Оптимизация - повышение экономической эффективности
CFO?
Оптимизация ресурсов
Образец заголовка
Экономические аспекты информационной безопасности
Риски, Инциденты и Цели компании
4
Риски сократились
с 9 до 6
Компания заняла 20%
рынка
Инциденты сократились
с 40 до 20
Стоимость компании
увеличилась на $20mil
???
???
Может ли бы быть KPI для ИБ – количество уволенных сотрудников за разглашение коммерческой тайны?
Образец заголовка
Экономические аспекты информационной безопасности
Взгляд бизнеса на оценку рисков ИБ
5
Количественные показатели(Quantitative Benefits) Качественные показатели
(Qualitative Benefits)VS
Соответствие новым законамЖизнь без вирусовОтключили dropbox из офиса…
0 in profit
Снижение рисков?
Кассовый разрывМассовое сокращениеИзменение курса валютБанкротство партнеровСанкции …
Вирусные атакиУтечки ком.тайны
DDoS атакиЦеленаправленные атаки
152ФЗ…
РИСКИ? РИСКИ!
FEARMARKET
Образец заголовка
Экономические аспекты информационной безопасности
Взгляд финансов на нефинансовые оценки ИБ
6
Как бизнес видит ИБ
Фонд оплаты трудаАренда помещенийОборудованиеПрограммное обеспечениеБухгалтерское ведениеКонсалтинг
Х ХХХ ХХХ р.ХХХ ХХХ р.
Х ХХХ ХХХ р.Х ХХХ ХХХ р.
ХХ ХХ р.Х ХХХ ХХХ р.
0 р.0 р.0 р.0 р.0 р.0 р.
Стало безопаснее чем вчераCompliance
Лучшие практикиСнижены риски
Сохранены тайныКонсалтинг
ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ
«Долго не мог дровосек уснуть, метался в постели и стонал от горя. Тут жена ему и шепчет: - Давай завтра утром отведем детей в чащу леса, разведем костер, сделаем вид, что пошли работать, а сами вернемся домой…»
Братья Гримм «Гензель и Грета»
Образец заголовка
Экономические аспекты информационной безопасности
Периметровый подход
7
внутренний периметр
регламенты
внешний периметр
уязвимости
Прибыль от закрытой уязвимости?Достижение цели компании?
Закрытые уязвимости повышают общий уровень защищенности компании
Риски были 9 теперь 6 WAF
DRP
DLP
«традиционный» подход к ИБ
Образец заголовка
Экономические аспекты информационной безопасности
Цели компании как внутренние продукты
8
Цель Логистики – сократить количество логистических расходов на 20% относительно прошлого периода
Продукт Логистики – Доставка товаров к клиентам
Продукт Логистики – Доставка сырья на производство
Продукт Логистики – Внутренняя логистика
Образец заголовка
Экономические аспекты информационной безопасности
Продукт компании как сумма внутренних процессов
9
ИБ
ИБ
ИБ
ИБ
общий уровень защищённости - продукт?
информационная безопасность свойство продукта?или
Образец заголовка
Экономические аспекты информационной безопасности
ИБ внутри продукта
10
Проверка остатка
Запрос товара
Формирование предложения
Х
Выставление счета
Х
Получить заказ товара
Принять оплату
Закрыть заказ товара
Отправить заказанный
товар
Уведомить о отправке
Собрать данные для BI
Безопасный способ платежа
Корректные данные
Коммерческая тайна
Непрерывность работы сервиса
Резервное копирование
Влияние на операционные
показатели
Образец заголовка
Экономические аспекты информационной безопасности
Обратная декомпозиция
11
исследования
разработка
производство
продажи
маркетинг
логистика
ИБ
Затраты на лицензии
Затраты на оборудование
Затраты на персонал
Затраты на процесс
….
Продукт
Внутренний продукт
Стоимость владение продуктом безопасности
Продукт безопасности
Совокупное влияние на
продукт
Через сумму изменений свойств внутренних продуктов мы можем посчитать общее влияние на продукт компании, что делает проект ИБ значимым на уровне бизнеса, поскольку становится понятно как он влияет на прибыль.
Образец заголовка
Экономические аспекты информационной безопасности
База для расчета финансовых методик
12
Сколько стоит
деле?
Как повлияет
на прибыль
?1
2ROI
NPV
IRR
Break-even
Совокупные доходы
Совокупные расходы
return on investment или отдача на капитал
net present value или чистая приведенная стоимость
internal rate of return или Внутренняя норма доходности
точка окупаемости
Методы оценки
3 Внутренние константыСтавка дисконтирования Расчётный период
Образец заголовка
Экономические аспекты информационной безопасности
TCO
13
• Затраты на лицензии• Затраты на оборудование• Затраты на персонал• Затраты на процесс • Амортизация по годам• Учтённые/застрахованые риски• Затраты на исследования• Общие проектные расходы
Total Cost of OwnershipTCO
совокупная стоимость владения
1987 год – компания Gartner опубликовала отчет, который суммировал и популяризировал методику TCO Total Cost of Ownership или совокупная стоимость вложения. Данный год считается началом структурной оценки затрат на проекты в области ИТ. Отчет был разработан аналитиком Michael Smith, который продолжает работать в компании Gartner.
Образец заголовка
Экономические аспекты информационной безопасности
Расчет процесса и расчет проекта
14
Gartner говорит, что управление стоимостью владения подчиняется 4 основным законам*
•Любая инвестиция в технологию вызывает нескончаемы поток затрат на поддержание и изменения•Несколько десятилетий компании оценивали, что проект в технологиях это изначальные капитальные затраты, а потом это операционные затраты, НО это не так•Без управления жизненным циклом проекта и программного обеспечения, вы получите непредсказуемые «взрывы» затрат•Расходы на программное быстро развиваемые технологии растут по экспоненте.
* “The four laws of applications total cost of ownership”.G0023038270%
30%
По оценке Garthner - Стоимость внедрения составляет в среднем 1/3 от стоимости всего проекта. При оценке стоимости внедрения важно оценивать не только ресурсы «внешнего» внедренца, но и внутренние ресурсы компании.
Образец заголовка
Экономические аспекты информационной безопасности
Прайс-лист против TCO
15
Сколько стоит антивирусная защита на 1000 сотрудников в год?
Прайс-лист: 1 лицензия стоит 100 рублей, следовательно 1000 лицензий стоит 100 000 рублей
Факт: 1 лицензия стоит 100 рублей, следовательно 1000 лицензий стоит 100 000 рублей сервер обновлений – 150 000 рублей обслуживание антивируса – 1 ч\час в день – 247 часов – 30 раб дней – 1,5 оклада сотрудника – 150 000 рублей Решение инцидентов – 150 000 рублей оверхеды – 100 000 рублей следовательно все это стоит – 550 000 рублей
Образец заголовка
Экономические аспекты информационной безопасности
Бенефиты как базис расчета
16
затраты доходы
влияние ИБ на прибыль
оптимизация затрат добавление новых качеств
положительная разница
между суммарными доходами и затратами
Образец заголовка
Экономические аспекты информационной безопасности
ИБ внутри процесса
17
E Х
HR Е
14 дней
24 дня
ФОТ*КПД 1,5
Факт:заявление об увольнении
HR14 дней
HR\IS ЕЕ передача
делпредупреждение
за 38 дней
потери компании
Выход нового сотрудника
KPI на подбор нового сотрудника38 дней
Образец заголовка
Экономические аспекты информационной безопасности
Увеличение доходов
18
• +1,5% к стоимости компании при выходе на IPO• возможность участвовать в тендерах с
обязательным требованием • упрощение процедуры подготовки к
большим контрактам
• Защита данных вывела компанию в лидеры корпоративного рынка и сделала в 2009 году самой быстрорастущей компанией в мире с ростом дохода на 84 % за три года несмотря на глобальную рецессию. За десять лет компания продала 50 миллионов смартфонов, что сделало BlackBerry вторым по популярности смартфоном в мире.
Образец заголовка
Экономические аспекты информационной безопасности
Расчет от показателей бизнес-юнита
19
Бенефиты процессные
Бенефиты событийные
Построенные на уровне
оказываемого сервиса
Построенные решении
инцидента
Образец заголовка
Экономические аспекты информационной безопасности
Статистика и прогнозы
20
“Как это не парадоксально, но всякая точная наука основывается на приблизительности. Если кто-то говорит вам, что точно знает что-то, можете смело делать вывод: вы разговариваете с человеком, не имеющим понятия о точности.”
План продажМаркетинговый эффектГодовой бюджет
Все это построено на статистике прошлого периода и прогнозе на следующийБертран Рассел
Британский математик.
Образец заголовка
Экономические аспекты информационной безопасности
Кейс – DLP
21
Финансовый показатель Вариант 1 Вариант 2 Вариант 3
Чистая стоимость (TCO) 3 077 199,07р. 4 706 107,54р. 5 157 369,55р.
Чистые бенефиты 3 734 634,61р. 5 718 764,23р. 6 981 253,07р.
Приведённая стоимость 657 435,53р. 1 012 656,69р. 1 823 883,52р.
ROI, % 21 22 35
payback period, год 2 года 2 года 2 года
Бюджет на 1-ый год 1 955 000,00р. 3 189 325,15р. 3 539 334,15р.
Бюджет на 2-ой год 405 000,00р. 761 610,86р. 853 119,86р.
Бюджет на 3-ий год 405 000,00р. 761 610,86р. 853 119,86р.
Метрика ЗначениеУчётная ставка 20Расчётный период 3 года
Образец заголовка
Измерение эффективности информационной безопасности
Кейс – IDM
22
Образец заголовка
Экономические аспекты информационной безопасности
Переоценка существующих процессов
23
сбор статистики – метрик
расчет стоимости функции\Продукта ИБ
инвойсирование бизнес-юнитов
(выставление счетов в качестве информации)
взаимозачеты \ разнесение затрат по
ЦФО
управляемый показатель \ SLA
PROFIT
Если старые процессы все еще на стадии проектов или требуют пересмотра условий\ресурсовИх следует рассмотреть как новые с полным расчетом экономических показателей
Образец заголовка
Экономические аспекты информационной безопасности
Разнесение костов ИБ
24
Где живут затраты на сотрудников ИБ?
В кадрах которые принимают их на работу?Или в бухгалтерии которая платит зарплату?
Образец заголовка
Экономические аспекты информационной безопасности
Участие в инвестиционных проектах
25
ресу
рсы
Показатель эффективности (пусть будет NPV в мл.руб)
Бизнесу нужен единый инструмент принятия инвестиционных решений, а значит все проекты должны измеряться одинаково
Понятная приоритизация проектов
Образец заголовка
Да-да коллеги! Положительны
й P&L в этом году!
Спасибо за внимание!
Дмитрий Мананников[email protected]/dmitriy.manannikov