tco, roi & бизнес-кейс для ciso
DESCRIPTION
Как продать ИБ-проект бизнесу и оценивать отдачу от инвестиций (ROI) в технологии информационной безопасностиTRANSCRIPT
![Page 1: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/1.jpg)
…
Михаил Козлов Развитие Бизнеса / Ру Консультант по развитию технологического бизнеса http://devbusiness.ru/mkozloff
Как продать ИБ-проект бизнесу и оценивать отдачу от инвестиций (ROI) в технологии информационной безопасности
TCO, ROI & бизнес-кейс для CISO
![Page 2: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/2.jpg)
…
Содержание
2
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
![Page 3: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/3.jpg)
…
Как продать ИТ/ИБ-проект бизнесу
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
![Page 4: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/4.jpg)
…
ИТ стоят дорого
30%
Бюджет развития ИТ/ИБ
(Портфель ИТ проектов,
инвестиции, CapEx)
Бюджет развития
(Портфель бизнес проектов,
инвестиции, CapEx)
Операционный ИТ/ИБ-
бюджет
(Эксплуатация ИТ, OpEx)
Операционный
бюджет (OpEx)
ИТ/ИБ-бюджет
Бюджет организации
70%
Существенные инвестиции для бизнеса:
конкурируют с другими затратами и
инвестициями, требуют обоснования
(ROI)
ИТ бюджеты: 0,6-6% от доходов в
зависимости от отрасли…
![Page 5: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/5.jpg)
…
Инвестиции - малая часть ИТ/ИБ-бюджетов
Источник: Gartner IT Metrics: IT Spending and Staffing Report, 2010
эксплуатация =
поддержка
существующих
продуктов и услуг
развитие =
улучшение
существующих
продуктов и услуг
инновации =
создание новых
продуктов и услуг
Уменьшение стоимости
владения (TCO)
Увеличение отдачи от ИТ (TCO,
ROI)
Уменьшение времени
вывода на рынок Time-To-
Value (ROI)
![Page 6: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/6.jpg)
…
Ценность ИТ/ИБ для бизнеса
Улучшение бизнес
показателей
автоматизированного
процесса vs. ручного:
• Снижение ИТ и бизнес-
затрат и рисков
• Ускорение Time to Value
• Снижение рисков
Мониторинг и анализ
состояния
• Показателей и процессов
• Бизнес-среды
• Отчетность в реальном
времени
![Page 7: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/7.jpg)
…
Ценность ИБ для бизнеса
Безопасность – это
бизнес-процесс,
требующий
инвестиций (рост
затрат)
ROI достигается за
счет снижения
рисков до
приемлемого уровня
в рамках конкретной
модели угроз
Угрозы, риски и
вероятности их
проявления
постоянно
изменяются
![Page 8: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/8.jpg)
…
Что такое Ценность (Value)?
Выгода Стоимость
![Page 9: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/9.jpg)
…
Карта Ценности
Выгоды
Сто
им
ост
ь
Отрицательная ценность
Положительная ценность
А
Б
Источник: Neil Rackham, John DeVincentis, Rethinking the Sales Force
![Page 10: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/10.jpg)
…
Методы продажи ценности
Эмоциональным клиентам
• Эмоции:
• вау-фактор
• страх
Рациональным клиентам
• Бизнес-кейсы: ROI
![Page 11: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/11.jpg)
…
Buzzword?
Geek and Poke CC
![Page 12: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/12.jpg)
…
Клиент /
Спонсор
Продукт
Вау!
Ценность
Привет! Это надо
видеть…
Эмоция и
Коммуникация
![Page 13: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/13.jpg)
…
Повторим: методы продажи ИБ Эмоциональный
покупатель
Рациональный
покупатель
Страх ROI для ИБ
Продажа ИБ как часть большего проекта
Теория перспектив (рискнем без ИБ)
Дилемма разных бюджетов (уже 1 раз купили)
Сыт и нет бюджета Голодный и
есть бюджет
Предложить решение задачи клиента
![Page 14: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/14.jpg)
…
Теория перспектив*)
http://ru.wikipedia.org/wiki/Теория_перспектив
![Page 15: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/15.jpg)
…
Упражнение
Выберите А или Б
![Page 16: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/16.jpg)
…
Упражнение (2)
Выберите В или Г
![Page 17: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/17.jpg)
…
Неприятие потерь: позитивная формулировка приятней
![Page 18: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/18.jpg)
…
Ключевой вывод
![Page 19: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/19.jpg)
…
Теория перспектив объясняет почему
![Page 20: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/20.jpg)
…
На что влияет профиль покупателя?
не нужно рассказывать про ROI
нужно считать ROI
![Page 21: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/21.jpg)
…
Оценка по DISC (Dominance, Influence, Steadiness, Compliance)
Википедия
![Page 22: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/22.jpg)
…
Оценка по DISC (Dominance, Influence, Steadiness, Compliance)
Википедия
![Page 23: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/23.jpg)
…
Оценка по DISC (Dominance, Influence, Steadiness, Compliance)
Википедия
![Page 24: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/24.jpg)
…
Оценка по DISC (Dominance, Influence, Steadiness, Compliance)
Википедия
![Page 25: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/25.jpg)
…
Профиль DISC Господствующие, Влияющие, Устойчивые, Добросовестные
Эмоциональный Рациональный
Высокие: D, I,
Низкие: S, C
Высокие: S, C
Низкие: D, I.
![Page 26: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/26.jpg)
…
Продажа ИБ = продажа страховки
![Page 27: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/27.jpg)
…
Пример из жизни
![Page 28: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/28.jpg)
…
Модель угроз
• Предложение Hertz: = 100% (заранее решили что будет авария)
• Статистическая (по опыту вождения) = 5%
• Математическая (без учета опыта) = 50%
Вероятность риска (аварии)
• 1800 Евро (полная страховка, цена нулевой франшизы = 600 Евро)
• 1200 Евро (франшиза 800 Евро)
Предлагаемая цена защиты
• 600 Евро (предложение Hertz с нулевой франшизой)
• 400 Евро (800*50% - мат. вероятность риска с франшизой 800 Евро)
• 40 Евро (800*5% - статистическая вероятность риска с франшизой)
Стоимость риска:
![Page 29: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/29.jpg)
…
Продажа ИБ всегда негативная
![Page 30: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/30.jpg)
…
Дилемма разных бюджетов
![Page 31: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/31.jpg)
…
Второй обед будет куплен если…
Вы не очень
сильно
расстроены
потерей
• Позитивные эмоции
У вас еще есть
деньги • Доступный бюджет
… и вы
действительно
хотите есть
• Физиологическая потребность
![Page 32: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/32.jpg)
…
Дилемма разных бюджетов для защиты VMware
IT менеджер, купивший VMware
считает:
• Она безопасна
• Бюджет на VMware уже потрачен
Необходимо убедить клиента в
необходимости соответствия
виртуальной среды:
• Лучшим практикам ИБ (VMware,
PCI DSS, CIS)
• Требованиям регуляторов (152-ФЗ)
• Внутренним регламентам ИБ
(разделение ответственности,
мандатный доступ)
![Page 33: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/33.jpg)
…
Далее: продаем решение а не возможности…
![Page 34: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/34.jpg)
…
Как узнать какие есть задачи у «клиента»?
Разработать модель угроз,
рисков и оценить их
последствия для клиента
Определить места хранения и
способы обработки важной
информации
Классифицировать ИС
обрабатывающие данные
Разработать регламенты для
обработки, хранения,
передачи и защиты данных в
соответствии c требованиями
законодательства
Разработать требования к
СЗИ Предложить решение
Если не знаете – спросите у консультантов!
![Page 35: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/35.jpg)
…
Повторим: методы продажи ИБ Эмоциональный
покупатель
Рациональный
покупатель
Страх ROI для ИБ
Продажа ИБ как часть большего проекта
Теория перспектив (рискнем без ИБ)
Дилемма разных бюджетов (уже 1 раз купили)
Сыт и нет бюджета Голодный и
есть бюджет
Предложить решение задачи клиента
![Page 36: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/36.jpg)
…
Эмоциональный покупатель
пирамиды Маслоу
![Page 37: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/37.jpg)
…
Потребность в безопасности и защите
![Page 39: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/39.jpg)
…
ИТ-администратор уничтожил 88 виртуальных машин из McDonald’s и нанес ущерб на $800 000
![Page 40: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/40.jpg)
…
Как продать ИТ/ИБ-проект рациональному спонсору?
Разработайте бизнес-
кейс
Цена, ценность, риски
(ROI, NPV, IRR…)
Защитите бизнес-кейс
перед спонсорами
Продажа в стиле
Мэдисон Авеню
![Page 41: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/41.jpg)
…
Анализ рисков – основа для выбора методов защиты и оценки ROI
Модель угроз
• Основные значимые
угрозы, риски и
уязвимости
• Вероятности их
проявления
• Последствия их
проявления = потери
Бизнес-модель
• Политики
• Процессы
• Регламенты
Архитектуру ИБ
• Логическую
• Физическую
![Page 42: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/42.jpg)
…
Анализируй это
![Page 43: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/43.jpg)
…
Процесс анализа рисков
Source: Ken Jaworski, CISSP
Активы
Риски
Процедуры
безопасности
Конфиденциальность
целостности
доступность
Последствия
для бизнеса Угрозы
Уязвимости
уменьшить заставляют
используют
защищают от устраняются через
что вызывает
негативные
уменьшают
увеличивают увеличивают
увеличивают
![Page 44: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/44.jpg)
…
Методы оценки рисков ИБ
Источник: http://www.nist.gov/itl/csd/risk-092011.cfm
![Page 45: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/45.jpg)
…
Стоимость потери информации
True Cost of Compliance Report, Ponemon Institute LLC, January 2011
![Page 46: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/46.jpg)
…
Пример модели угроз со стоимостью инцидентов с ИБ
![Page 47: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/47.jpg)
…
Модель угроз
Для России не существует
аналогичной модели угроз/рисков,
построенной на публичных данных
• Нет истории штрафов за потерю
информации
Но ее можно создать внутри
каждой организации
• Решает эмоциональные и
рациональные проблемы
владельцев бюджетов
• Помогает подготовить бизнес-кейс
для внедрения ИБ
• Данные должны быть у риск-
менеджеров
![Page 48: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/48.jpg)
…
Безопасность: сбалансированный подход
Последствия
рисков
Стоимость
защиты от
рисков
![Page 49: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/49.jpg)
…
Элементы бизнес-кейса
Структура бизнес-кейса:
Часть 1. Описание проекта (портфеля проектов) и выгод для бизнеса
Часть 2. Планируемые затраты (инвестиции) по проекту
Часть 3. Прямые выгоды (ROI, который придется доказывать)
• Увеличение бизнес доходов (тяжело доказать роль ИТ/ИБ)
• Снижение ИТ/ИБ (TCO сегодня vs. TCO завтра) и бизнес расходов
Часть 4. Косвенные выгоды
Видение, основанное на
результатах для бизнеса
Обещание изменить
жизнь к лучшему
![Page 50: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/50.jpg)
…
Успех зависит от качества презентации
Видение, основанное на результатах для
бизнеса
• Используйте язык бизнеса (стратегия,
задачи, KPIs)
• Продавайте решение проблем:
• Ситуация
• Предлагаемые изменения
• Затраты
• Выгоды, ROI
• Риски
Обещание изменить жизнь к лучшему
• Объясните как предлагаемые изменения
сделают жизнь бизнеса лучше и легче:
• «Мы считаем, что сможем снизить
стоимость соответствия лучшим
практикам ИБ в среде VMware на 75%
за счет использования шаблонов
лучших практик ИБ, встроенных в *****
инвестировав 1,2М Руб. с ROI 134% и
периодом окупаемости 15 месяцев»
![Page 51: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/51.jpg)
…
Продажа в стиле Мэдисон Авеню*…
CIOInsight.com
Дорого и сверх
ожиданий
Построим новый ЦОД
Частное облако для всех ДЗО
Средний бюджет с
учетом всех ожиданий
Хостинг во внешних ЦОД (основной + резервный)
Частное облако для ключевых ДЗО
Дешево и ниже
ожиданий
Ремонт старой серверной
Частное облако для центрального офиса
![Page 52: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/52.jpg)
…
Расчет ROI как часть бизнес-кейса. Зачем считать отдачу от инвестиций?
Универсальный метод, дающий инвестору оценку какую
отдачу (выгоду) могут принести его инвестиции
Основа для принятия инвестиционных решений
Продавцы и покупатели должны знать какую пользу
приносят инвестиции спонсорам их проектов
![Page 53: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/53.jpg)
…
Объясняйте источники ROI для ИТ-проектов
5
3
Улучшение KPIs из-за
внедрения ИТ:
Выросла продуктивность
Снизились затраты на
командировки
Снижение TCO:
Переход на более
дешевые аналоги
Внедрение сберегающих
технологий
![Page 54: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/54.jpg)
…
Объясняйте источники ROI для ИБ-проектов
5
4
Рост эффективности
процессов ИБ:
Управление
политиками
Администрирование
Снижение рисков для
бизнеса:
Соответствие
требованиям
Уменьшение потерь
![Page 55: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/55.jpg)
…
Пример ROI от снижения затрат на ручную настройку ИБ в среде VMware
Показатель Значение Приведенная
стоимость PV (3 года)
Стоимость ручной настройки ИБ $133 683 $117 004
Эффект от *****: снижение затрат 75% $100 262 $87 753
Затраты на ***** $40 800 $37 503
NPV (эффект - затраты) $50 249
ROI (NPV / затраты) 134%
Выгода в месяц (эффект / 36 месяцев) $2 785
Период окупаемости, мес. 15
Данный расчет сделан с ***** ROI Calculator для вымышленной компании
![Page 56: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/56.jpg)
…
![Page 57: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/57.jpg)
…
«Да», если понятны отдача от инвестиций (ROI) и преимущества для развития бизнеса заказчика и спонсора проекта
![Page 58: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/58.jpg)
…
Заказчик vs. Спонсор проекта
Заказчик – владелец
проекта внедрения
• получает ценность
в виде результатов
проекта для
решения своих
задач
Спонсор – владелец
бюджета проекта
• Получает ценность
в виде ROI,
эмоций, …
Могут не совпадать
• Заказчик:
руководитель
проекта по защите
ПДн
• Спонсор: CISO,
Вице-президент по
ИТ…
![Page 59: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/59.jpg)
…
Методика расчета ROI в ИБ на основе модели угроз и рисков
Модель угроз
для конкретной
ситуации
Модель
соответствую-
щих рисков
Вероятность
проявления и
стоимость
рисков
Стоимость рисков
и средств их
уменьшения (ИБ -
отрицательный
денежный поток)
Оценки
возможности
снижения
вероятности и
стоимости рисков
при помощи
средств ИБ
(положительный
денежный поток)
ROI
![Page 60: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/60.jpg)
…
Модель рисков: нарушения ИБ и их стоимость (Forrester)
![Page 61: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/61.jpg)
…
Риск не соответствия требованиям регуляторов
True Cost of Compliance Report, Ponemon Institute LLC, January 2011
![Page 62: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/62.jpg)
…
Выводы: зачем измерять ROI в ИТ/ИБ?
6
2
Ситуация
CISO конкурирует с
другими CxO за
бюджет развития
Проблема
Спонсоры не
понимают ценность
ИТ/ИБ для бизнеса
Неохотно выделяют
бюджеты на
развитие ИТ/ИБ
Решение
Бизнес-кейс +
финансовые
метрики для
повышения
инвестиционной
привлекательности
ИТ/ИБ-проектов
![Page 63: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/63.jpg)
…
От бизнес стратегии к ROI в ИТ/ИБ
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
![Page 64: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/64.jpg)
…
ИТ/ИБ стратегия — часть бизнес-стратегии
Перспектива
Позиция
План
Принципы Перспектива
Позиция
План
Принципы
4П «ИТ/ИБ стратегии»
4П бизнес стратегии
Портфель ИТ/ИБ проектов Портфель бизнес проектов
![Page 65: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/65.jpg)
…
Как управлять портфелем проектов?
Проектные портфели управляются также как и инвестиционные:
• Рискованные проекты с высокой потенциальной отдачей (ROI) должны быть сбалансированы
• …проектами с предсказуемым (небольшим) ROI и небольшим уровнем риска.
Важно оценивать и анализировать эффективность портфеля через набор метрик:
• Ключевые показатели эффективности (KPIs)
• Системы показателей (Scorecards)
• … а также процессы мониторинга и контроля
![Page 66: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/66.jpg)
…
Как управлять портфелем ИТ/ИБ проектов?
6
6
Следить за реализацией
Получить результат(ы)
Проверить фактическую отдачу (ROI)
Бизнес стратегия ставит задачи
для ИТ/ИБ
Предложить решение
Оценить отдачу, затраты, риски,
ROI, окупаемость
Инвестировать Приоритеты
проектов
Управление
портфелем проектов
![Page 67: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/67.jpg)
…
Отбор проектов
Оценка спроса со
стороны внутренних
пользователей
Оценка затрат/
выгод от проекта
на основе ТЭО
Принятие
решений по
портфелю
проектов
Определение
приоритета
инвестиций
NPV, ROI, IRR, EVA
Окупаемость
Стратегия
Выгоды
Срочность
Регуляторы
• Разработка ТЭО
• Оценка рисков
• Планирование
бюджета
• Запрос на
инвестиции
• Утвержденный
портфель проектов
• Заявка на проект
• Определение
требований
На основе корп. стратегии
и бизнес-драйверов
![Page 68: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/68.jpg)
…
Выводы
CIO/CISO должны развивать бизнес а не ИТ/ИБ
ИТ/ИБ-стратегия – это часть бизнес-стратегии (4П)
Управление портфелем проектов на основе баланса рисков и
отдачи (ROI) – основной метод реализации стратегии
![Page 69: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/69.jpg)
…
Пример бизнес-кейса для ИТ/ИБ-проекта
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
![Page 70: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/70.jpg)
…
Структура бизнес-кейса для ИТ/ИБ-проекта
Краткое описание проекта
Основные показатели проекта
Предлагаемое решение
Денежные потоки (для расчета ROI)
Финансирование проекта
Соответствие ИТ/ИБ-стандартам
Классификация проекта
Технологии, продукты и поставщики
Шаблон бизнес-кейса для ИТ/ИБ проектов на сайте CNews
![Page 71: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/71.jpg)
…
Бизнес-кейс в ИТ/ИБ: краткое описание проекта
7
1
I. Краткое описание проекта
1. Организация
2. Название проекта
3. Дата предоставления
Имя Телефон Адрес e-Mail
4. Спонсор проекта
5. Менеджер проекта
6. Заказчик проекта
7. Бизнес задача, которую должен решить проект (основные тезисы)
Какую проблему/задачу решает предлагаемый проект?
7.1. Какова цель инвестиции/проекта?
Зачем что-то менять?
7.2. Какие бизнес-показатели требуется улучшить?
Что конкретно будем менять?
Что нужно устранить; какие результаты достичь?
7.3. В чем проблемы с текущими значениями этих показателей?
Доказательства существования проблем
Жесткие (KPI) и мягкие (косвенные)
8. Инвестиционные
показатели проекта Период анализа
3 года 4 года 5 лет
Инвестиции, руб.
Выгода, руб.
NPV руб.
ROI%
IRR%
Период окупаемости, мес.
Введение для руководства и
основные инвестиционные
показатели проекта
![Page 72: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/72.jpg)
…
Бизнес-кейс в ИТ/ИБ: основные показатели проекта
II. Основные показатели проекта
1. Бизнес цели
Зачем нужен предлагаемый проект; ожидаемые результаты; в бизнес-терминах, без учета
возможного решения
2. Организация: цели, ценности, продукты и/или услуги на которые повлияет предлагаемый
проект
На основе бизнес стратегии
3. Ценность проекта
Ожидания, принципы и возможные компромиссы
4. Предметная область
Границы проекта
Продукты и услуги:
Бизнес-процессы:
Другое:
5. Факторы влияния
Факторы, которые могут повлиять на успех проекта
Ограничения:
Проблемы:
Риски:
Другое:
6. Внешние участники проекта
1. Бизнес цели
2. Организация: цели, ценности,
продукты и/или услуги на
которые повлияет
предлагаемый проект
3. Ценность проекта
4. Предметная область
5. Факторы влияния
6. Внешние участники проекта
![Page 73: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/73.jpg)
…
Бизнес-кейс в ИТ/ИБ: предлагаемое решение
III. Предполагаемое решение
1. Общее описание предлагаемого решения
2. Выгоды
Как решение улучшит бизнес
Улучшение продуктов и услуг:
Снижение затрат:
Другое:
3. Осуществимость
Позитивные или негативные факторы, которые могут повлиять на успех проекта с момента
начала, до получения результата
Оценка: 1 [ ] 2 [ ] 3 [ ] 4 [ ] 5 [ ]
Низкий риск Высокий риск
4. Устойчивость результатов
Позитивные или негативные факторы, которые могут повлиять на успех проекта после получения
результата; достижимость выгод для бизнеса в долгосрочной перспективе
Оценка: 1 [ ] 2 [ ] 3 [ ] 4 [ ] 5 [ ]
Низкий риск Высокий риск
5. Альтернативные варианты решения
Какие другие варианты решения рассматривались и почему не были выбраны
1. Общее описание
предлагаемого решения
2. Выгоды
3. Осуществимость
4. Устойчивость результатов
5. Альтернативные
варианты решения
![Page 74: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/74.jpg)
…
Бизнес-кейс в ИТ/ИБ: денежные потоки (для расчета ROI)
1. Затраты
2. Прямые выгоды
3. Финансовые результат
4. Косвенные выгоды
5. Элементы ROI
IV. Денежные потоки (для расчета ROI)
1. Затраты* Год 0 Год 1 Год 2 Год 3 Год 4 Год 5
АО
ПО
Услуги
Сотрудники
Другие
Итого:
2. Прямые выгоды* Год 0 Год 1 Год 2 Год 3 Год 4 Год 5
Увеличение доходов
Снижение затрат
…
Итого:
3. Финансовые
результат Год 0 Год 1 Год 2 Год 3 Год 4 Год 5
Итого:
4. Косвенные выгоды Описание
*Элементы ROI Расшифровка статей затрат и выгод
АО
ПО
Услуги
…
![Page 75: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/75.jpg)
…
Бизнес-кейс в ИТ/ИБ: финансирование проекта
1. Риски прогнозирования
затрат по проекту
2. Другие статьи затрат
3. Источники
финансирования
V. Финансирование проекта
1. Риски прогнозирования затрат по проекту
Факторы, которые могут привести к росту затрат по проекту
Оцените точность прогноза: 10% [ ] 25% [ ] 50% [ ] 75% [ ] 100% [ ]
2. Другие статьи затрат
Могут ли возникнуть другие статьи затрат по проекту
3. Источники финансирования
Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 Примечания
Бюджет ИТ
Общий
инвестиционный
бюджет
Инвестиционный
бюджет
подразделения
Кредитование
Лизинг
Другое
Итого:
![Page 76: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/76.jpg)
…
Бизнес-кейс в ИТ/ИБ: соответствие ИТ/ИБ-стандартам
1. ИТ/ИБ-архитектура
2. Технологии
3. Другое…
VI. Соответствие ИТ-стандартам
1. ИТ-архитектура
Насколько предлагаемое решение соответствует стандартам и принципам построения
существующей ИТ-архитектуры организации
Соответствует Не соответствует Не применимо
1. Сети
2. Вычислительные
платформы и системы
хранения данных
3. Управление данными
4. Обмен данными
5. Приложения
6. ПО промежуточного слоя
7. Клиентские системы
8. Совместная работа
9. Информационная
безопасность
10. Управление ИТ
11. …
Примечания:
2. Технологии
Основные технологии, предлагаемые в проекте
[ ] Вычислительные системы
[ ] Хранение данных
[ ] Сетевые технологии
[ ] Веб
[ ] Базы данных
[ ] Клиентские устройства
[ ] Безопасность
[ ] Облачные технологии
[ ] Другое…
![Page 77: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/77.jpg)
…
Бизнес-кейс в ИТ/ИБ: классификация проекта
1. Категории проекта
2. Бизнес функции, на которые
повлияет проект
3. Тип разработки
4. Планируются ли изменения
бизнес-процессов
5. Степень изменения бизнес-
процессов
6. Описание планируемых
изменений в бизнес-процессах
VII. Классификация проекта
1. Категории проекта
[ ] Категория 1 [ ] Категория 2 [ ] Категория 3
[ ] Категория 4 [ ] Категория 5 [ ] Категория 6
[ ] Категория 7 [ ] Категория 8 [ ] Другая [укажите]
2. Бизнес функции, на которые повлияет проект
[ ] Финансы [ ] Продажи [ ] Маркетинг
[ ] Производство [ ] Логистика [ ] Управление кадрами
[ ] ИТ [ ] Управление рисками [ ] Другое [укажите]
3. Тип разработки
[ ] Новая ИС [ ] Расширение ИС [ ] Обслуживание и поддержка
[ ] Другая: [укажите]
4. Планируются ли изменения бизнес-процессов
[ ] Без изменения бизнес-процессов [ ] Несколько подразделений внутри организации
[ ] Одно бизнес-подразделение [ ] Несколько организаций в группе
5. Степень изменения бизнес-процессов
[ ] Без изменения бизнес-процессов
[ ] Некоторые изменения в существующих процессах
[ ] Серьезные изменения в существующих процессах
6. Описание планируемых изменений в бизнес-процессах
![Page 78: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/78.jpg)
…
Бизнес-кейс в ИТ/ИБ: технологии, продукты и поставщики
7. Технологии, продукты и поставщики
Технология Продукт или вендор
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
![Page 79: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/79.jpg)
…
Выводы
Используйте стандарт оформления бизнес-кейса, принятый в
вашей организации
Оценивать ROI при внедрении новых ИТ/ИБ-проектов проще,
если у вас есть модель затрат, включающая методы chargeback
Многие поставщики ИТ/ИБ умеют считать ROI для своих
решений
![Page 80: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/80.jpg)
…
Ключевые показатели для оценки инвестиций в ИТ/ИБ
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
![Page 81: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/81.jpg)
…
Финансовые критерии инвестирования
8
1
![Page 82: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/82.jpg)
…
Инвестиционные риски (примеры)
8
2
Потеря всех инвестированных средств
Потеря части инвестированных средств
Необходимость инвестировать больше чем изначально планировалось
Меньший или более поздний возврат чем ожидалось
![Page 83: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/83.jpg)
…
Модель для сборки
Прежде чем начать – убедиться в наличие жестких и мягких доказательств
целесообразности инвестиции в ИТ/ИБ-проект
Далее мы рассмотрим только «жесткие» показатели
8
3
TCO = затраты на ИТ/ИБ
ROI = окупаемость
Период окупаемости
![Page 84: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/84.jpg)
…
Ключевые инвестиционные показатели
8
4
Return On
Investment
(ROI)
Возврат на
инвестиции
Net Present
Value
(NPV)
Чистая
приведенная
стоимость
Internal
Rate of
Return
Внутренняя
ставка
окупаемости
Payback
Period
Период
окупаемости
![Page 85: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/85.jpg)
…
Return on Investment (ROI) Отдача от инвестиций
Отдача – Затраты
Затраты
ROI = * 100%
ROI, выгода и затраты рассматриваются за период проекта
Если проект длинный, то необходимо учесть временную стоимость денег
![Page 86: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/86.jpg)
…
PV (ПДС+) - PV (ПДС-)
PV (ПДС-) ROI =
Для простоты: ROI = прибыль проекта / инвестиции, в % с учетом временной стоимости денег
PV = present value, текущая стоимость будущих ДС
ДС = поток денежных средств; ДС+ = приток; ДС- = отток ДС;
ROI д.б. > стоимости привлечения капитала для инвестора
Return on Investment (ROI), %
8
6
* 100%
![Page 87: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/87.jpg)
…
NPV
PV (ПДС-) ROI =
NPV = Net Present Value, чистая приведенная стоимость проекта
ДС+ = приток, положительный поток ДС
ДС- = отток ДС, отрицательный поток ДС
NPV д.б. > 0
Return on Investment (ROI), %
8
7
* 100%
![Page 88: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/88.jpg)
…
Центр затрат vs. Центр прибыли
Отдача от инвестиции – Затраты на инвестицию
Затраты на инвестицию
Центр затрат Центр прибыли
Увеличиваем ROI за счет
снижения затрат
Увеличиваем ROI за счет
увеличения отдачи
![Page 89: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/89.jpg)
…
Как превратить затраты на ИТ/ИБ в инвестиции
Снижение бизнес затрат – Инвестиции в ИТ/ИБ
Инвестиции в ИТ/ИБ
Бизнес путает бизнес-затраты с инвестициями в ИТ/ИБ
Если не видит отдачу для бизнеса
Если дополнительные затраты на ИТ/ИБ приводят к росту бизнес-доходов и/или снижению
бизнес-затрат (дают положительные ROI), то затраты на ИТ/ИБ рассматриваются как инвестиции
![Page 90: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/90.jpg)
…
NPV – учитывает текущую стоимость будущих денег
NPV вычисляет текущую стоимость для каждого потока денежных средств (ПДС) в его период и суммирует результаты для получения чистой приведенной стоимости PV (ПДС+) + PV (ПДС-):
n – общее количество периодов 1,2…n – номер текущего периода
ПДС_n – величина ПДС в соответствующий период, и
СД_n – ставка дисконтирования в соответствующий период
ПДС_1
(1 + СД_1)1
ПДС_2
(1 + СД_2)2
ПДС_n
(1 + СД_2)n
+ +
![Page 91: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/91.jpg)
…
IRR
IRR {NPV=0}
Относительная ставка доходности проекта
• По сути – это ставка кредита, по которой вы бы финансировали
проект или ставка доходности проекта для инвестора
Теоретический показатель для сравнения проектов
![Page 92: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/92.jpg)
…
NPV и IRR
NPV показывает абсолютный выигрыш/потерю от
инвестиции
• Инвестируем в проект, если NPV>0
IRR показывает относительный выигрыш от
инвестиции
• Ставка доходности, если бы NPV проекта было равно нулю.
• Инвестируем в проекты, если IRR > Hurdle Rate (минимально
приемлемый уровень возврата)
![Page 93: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/93.jpg)
…
…но влияет на возникновение затрат (отток ДС) в будущих периодах
Амортизация не является потоком ДС
Элементы денежного потока
CapEx
OpEx
Снижение затрат
Уменьшение оборотного капитала
Прямые доходы
Отток ДС
Приток ДС
![Page 94: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/94.jpg)
…
Налоговый щит
См. «Принятие инвестиционных решений». А.Кобенко
http://www.devbusiness.ru/development/finances/invest_desicions_kobenko.htm
Платежи процентов по кредитам
• Можно отнести к себестоимости и уменьшить
налогооблагаемую базу
Проекты с отрицательным NPV
• Могут стать выгодными
![Page 95: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/95.jpg)
…
Затраты для ИТ/ИБ = TCO
Формулировка Gartner – конец 80х
TCO – Total Cost of Ownership (совокупная стоимость
владения) за период:
• Программное обеспечение
• Аппаратное обеспечение
• Работы и услуги
• …
![Page 96: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/96.jpg)
…
TCO ИТ/ИБ-услуги
Стоимость услуг, АО и ПО при внедрении
Стоимость поддержки и эксплуатации
С учетом амортизации активов для их
возобновления
CapEx + OpEx за все время
жизни ИТ/ИБ-услуги,
включая:
![Page 97: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/97.jpg)
…
Традиционные статьи ИТ/ИБ бюджета
Код Статья Итого 2012
Капитальные затраты (CapEx) *
1001 Приобретение вычислительной, сетевой и оргтехники, средств
связи…
1002 Приобретение, сопровождение и обновление ПО
Операционные затраты (OpEx)
2001 Приобретение вычислительной, сетевой и оргтехники, средств
связи…
2002 Приобретение, сопровождение и обновление ПО
2003 Расходные материалы и обслуживание техники
2004 Расходы на стационарную, мобильную связь, интернет
2005 Прочие услуги организаций
2006 Обучение и развитие персонала
Итого ИТ/ИБ - затраты
![Page 98: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/98.jpg)
…
TCO обычно считается на период от 3 до 5 лет с учетом временной стоимости денег
Показатели затрат Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 Итого Present
Value
OpEx
Затраты на внедрение
Затраты на эксплуатацию
CapEx
Новое ПО (м.б. и OpEx и CapEx)
Новое оборудование
Итог
![Page 99: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/99.jpg)
…
Денежный поток
9
9
-2500
-1500
-500
500
1500
2500
Год 1 Год 2 Год 3 Год 4
Отток
Приток
Хорошая ли это инвестиция?
![Page 100: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/100.jpg)
…
Дисконтированный период окупаемости (Discounted Payback)
1
0
0
Количество месяцев пока накопленная выгода не сравняется с
затратами. Упрощенная формула, учитывающая нормализованный
дисконтированный положительный ПДС:
= ПДС-
NPV / число месяцев в период анализа
< 24 месяцев (Gartner) или целевого значения
![Page 101: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/101.jpg)
…
Экономическая добавленная стоимость Economic Value Add (EVA)
1
0
1
Capital Net Operating
Profit After Taxes
(NOPAT)
EVA = Cost of
Capital -
NOPAT = чистая операционная прибыль после налогов
Capital = инвестированный капитал
Cost of capital = стоимость капитала для инвестора
![Page 102: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/102.jpg)
…
EVA vs. ROI
1
0
2
100 000 20 000 ROI = 100% /
100 000 20 000 EVA = 20% - = 0
= 20%
![Page 103: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/103.jpg)
…
Сравним метрики
Метрика Плюсы Минусы
NPV Сравнение любых инвестиций
Не показывает объемов инвестиций по отношению к выгоде
ROI Сравнение любых инвестиций
Не показывает объемов инвестиций по отношению к выгоде
IRR Показывает чувствительность денежных потоков к ошибкам
Абстрактный показатель, т.к. предполагает, что можно инвестировать по подобной ставке
Payback Очень важный показатель для ИТ/ИБ
Дисконтированный период окупаемости не учитывает приток ДС после окончания проекта
EVA Лучший индикатор ценности для бизнеса
Трудно посчитать в ИТ/ИБ проектах
![Page 104: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/104.jpg)
…
А как же риски?
План рисков (вероятность vs. значимость)
Анализ чувствительности (NPV, ROI, IRR)
Сценарный анализ
Дисконтирование выгоды (NPV)
1
0
4
![Page 105: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/105.jpg)
…
Выводы: ключевые вопросы к инвестиционным проектам
![Page 106: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/106.jpg)
…
Выводы: ключевые инвестиционные показатели позволяют оценивать и сравнивать инвестиции
1
0
6
Return On
Investment
(ROI)
Возврат на
инвестиции
Net Present
Value
(NPV)
Чистая
приведенная
стоимость
Internal
Rate of
Return
Внутренняя
ставка
окупаемости
Payback
Period
Период
окупаемости
![Page 107: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/107.jpg)
…
Примеры ROI моделей в ИТ/ИБ
1
0
7
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
![Page 108: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/108.jpg)
…
Пример ROI от снижения затрат на ручную настройку ИБ в среде VMware
Показатель Значение Приведенная
стоимость PV (3 года)
Стоимость ручной настройки ИБ $133 683 $117 004
Эффект от *****: снижение затрат 75% $100 262 $87 753
Затраты на ***** $40 800 $37 503
NPV (эффект - затраты) $50 249
ROI (NPV / затраты) 134%
Выгода в месяц (эффект / 36 месяцев) $2 785
Период окупаемости, мес. 15
Данный расчет сделан с ***** ROI Calculator для вымышленной компании
![Page 109: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/109.jpg)
…
Модель рисков: нарушения ИБ и их стоимость (Forrester)
![Page 110: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/110.jpg)
…
3 варианта риска потери данных в виртуальной среде на основе модели угроз Forrester Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года)
Штрафы PCI DSS -$1 141 613
Потеря важной информации -$2 716 695
-$3 858 308
Вариант 2: «Ручная настройка ИБ» (-95% рисков) Ручные затраты на compliance и настройку ИБ -$117 004
Потеря важной информации -$135 835
-$252 839
Вариант 3: «Автоматизация настроек ИБ с *****» (-98% рисков) Затраты на ***** -$37 503
***** снижает ручные затраты на 75% $87 753
Оставшиеся ручные затраты -$29 251
Потеря важной информации -$54 334
-$33 335 Данный расчет сделан с ***** ROI Calculator для вымышленной компании
![Page 111: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/111.jpg)
…
ROI: ***** снижает число ошибок ручной настройки параметров ИБ и уменьшает затраты от потери данных
Данный расчет сделан с ***** ROI Calculator для вымышленной компании
Показатель Значение PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Затраты на ***** $40 800 $37 503
NPV $226 010 $182 000
ROI 485% Выгода в месяц $6 278
Период окупаемости, мес. 7
![Page 112: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/112.jpg)
…
Итоговый ROI для *****: снижение затрат на ручную настройку ИБ + снижение рисков потери данных в среде VMware
Данный расчет сделан с ***** ROI Calculator для вымышленной компании
Value PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Снижение затрат на ручную настройку 75% $100 262 $87 753
Общая выгода от ***** для ВС VMware $367 072 $307 256
Затраты на ***** $40 800 $37 503
NPV $326 272 $269 753
ROI 719%
Выгода в месяц $9 063
Период окупаемости, месяцев 5
![Page 113: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/113.jpg)
…
ROI для веб фильтрации
Расчет ROI для веб-фильтрации в предположении: • 1000 пользователей в организации, имеющих постоянный доступ к веб
• 15 мин. в день тратят на работу в веб в личных целях
• Полная стоимость сотрудника (с накладными) ~ 14,2 Евро час
• Стоимость решения для веб-фильтрации = 50 Евро в год на пользователя
• Подробнее см. на http://bit.ly/e911mQ
Показатель Значение Значение (с учетом рисков)
Общие затраты (приведенная стоимость, PV) 4 909 453,37р. 4 909 453,37р.
Общие затраты (PV) на одного сотрудника 4 909,45р. 4 909,45р.
Общая выгода (приведенная стоимость, PV) 84 807 542,94р. 42 403 771,47р.
Общая выгода (PV) на одного сотрудника 84 807,54р. 42 403,77р.
NPV 79 898 089,57р. 37 494 318,10р.
NPV на сотрудника 79 898,09р. 37 494,32р.
ROI (за весь период) 1727% 864%
Выгода в месяц, PV 2 355 765,08р. 1 177 882,54р.
Период окупаемости, месяцев 2,08 4,17
![Page 114: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/114.jpg)
…
Бизнес-кейс: защита Персональных Данных при помощи решений компании «ABC»
![Page 115: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/115.jpg)
…
Последствия потери персональных данных (ПДн)
Потеря информации
Прямые потери
(штрафы, отзыв
лицензии)
Косвенные потери
(репутация)
Посчитаем
стоимость
потери
репутации
![Page 116: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/116.jpg)
…
Задача
![Page 117: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/117.jpg)
…
Исходные данные
![Page 118: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/118.jpg)
…
Уход 1 клиента из-за потери его ПДн = потеря 40-80 клиентов в будущем
LORI MACVITTIE
Расскажет
8-16
знакомым
У каждого в его круге влияния
(250 человек) 10% или 25
человек окажутся вашей
целевой аудиторией
2% из второго круга
или 5 человек никогда
не станут вашими клиентами
Первый
круг
Второй
круг
Потеряно
клиентов
8 2000 40
16 4000 80
![Page 119: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/119.jpg)
…
Ключевые показатели
CLV (Customer
Lifetime Value)
• Общие продажи
на 1 клиента за
время его
обслуживания
(среднее
значение)
CAC = Customer
Acquisition Cost
• Затраты на
привлечение
нового клиента за
период
• CAC =
маркетинговый
бюджет / число
новых клиентов
CtR (Cost to Replace
a Customer)
• Затраты на замену
клиента
• CtR = CAC * 51
#Узнавших о
проблеме
• # потерянных
записей ПДн *
2000
![Page 120: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/120.jpg)
…
Стоимость потери репутации
![Page 121: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/121.jpg)
…
Результаты 1 (если 100,000 клиентов уйдут к конкурентам из-за потери их ПДн)
![Page 122: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/122.jpg)
…
Бизнес-кейс
Потеря 100 000 клиентов из-за утечки их ПДн может привести к потере до 15,5% годовой выручки
Комплексное решение для защиты ПДн от ABC обойдется в 0,000…% от возможных потерь
ROI, IRR, период окупаемости
![Page 123: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/123.jpg)
…
Анализ чувствительности
![Page 124: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/124.jpg)
…
Результаты 2 (если 100,000 клиентов уйдут к конкурентам из-за потери их ПДн)
![Page 125: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/125.jpg)
…
Посчитали ROI. Что дальше? Выводы и заключение.
1
2
5
![Page 126: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/126.jpg)
…
Инвесторы выбирают проекты с учетом возврата, риска и осознанной необходимости
Сравнение показателей
• IRR 1 <=> IRR 2
• Риск 1 против Риск 2
• …
Обязаны ли мы делать
этот проект?
• «Прихоть» спонсоров
• Требования
регуляторов
![Page 127: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/127.jpg)
…
Методы продажи ценности
Эмоциональным
клиентам
• Эмоции
Рациональным
клиентам
• Бизнес-кейсы (ROI,
IRR..)
![Page 128: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/128.jpg)
…
Методы продажи ценности ИБ Эмоциональный
покупатель
Рациональный
покупатель
Страх ROI для ИБ
Продажа ИБ как часть большего проекта
Теория перспектив (рискнем без ИБ)
Дилемма разных бюджетов (уже 1 раз купили)
Сыт и нет бюджета Голодный и
есть бюджет
Предложить решение задачи клиента
![Page 129: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/129.jpg)
…
Объясняйте источники ROI для ИБ-проектов
Рост эффективности
процессов ИБ:
Управление
политиками
Администрирование
Снижение рисков для
бизнеса:
Соответствие
требованиям
Уменьшение потерь
![Page 130: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/130.jpg)
…
Не ROI единым…
1
3
0
Если менеджеры полагаются
только на ROI, то можно
легко принимать неверные
решения
• В пользу краткосрочных
преимуществ против
долговременных
ROI и период окупаемости не
единственные критерии, по
которым выбираются
проекты
• Соответствие требованиям
регуляторов
• Ремонты
• Политика
• Эмоции
![Page 131: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/131.jpg)
…
Выводы: что нужно для расчета ROI
1
3
1
Целесообразность
• Есть ли ROI для CISO от подготовки бизнес-кейса/ROI для бизнеса?
Время и деньги
• Понадобиться личное участие CIO и ключевых ИТ/ИБ-специалистов
• Подготовка бизнес-кейсов, учет затрат в ИТ/ИБ, расчет ROI – стоят денег
Модель
• Есть ли модель учета затрат на ИТ/ИБ?
• Модель Chargeback/Showback?
• Есть ли методы оценки отдачи от ИТ/ИБ-проекта для бизнеса?
• Есть ли модель для оценки рисков?
![Page 132: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/132.jpg)
…
Дополнительные материалы на основе частного облака эффективность инвестиций (ROI)
как продать ИТ-проект бизнесу
бизнес-кейса
http://devbusiness.ru/mkozloff/about/ http://www.devbusiness.ru/mkozloff/tag/roi/
1
3
2
![Page 133: TCO, ROI & бизнес-кейс для CISO](https://reader034.vdocuments.mx/reader034/viewer/2022052303/5480454fb4af9fb4158b5c27/html5/thumbnails/133.jpg)
…
СПАСИБО ЗА
ВНИМАНИЕ!
(c)2013, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы
соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь риск, связанный с использованием данной информации».
Упомянутые торговые марки и названия принадлежат их законным владельцам.
(c)2013, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав.
Используя данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы
принимаете на себя весь риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным
владельцам.