SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информационной безопасности"

Образец заголовкаЭкономические аспекты информационной

безопасности

Дмитрий Мананниковдиректор по безопасности

Образец заголовка

Экономические аспекты информационной безопасности

Термины и определения

2

Экономика

(от др.-греч. οἶκος — дом, хозяйство хозяйствование и νόμος — ном, территория управления хозяйствованием и правило, закон, буквально «правила ведения хозяйства дома»)— хозяйственная деятельность общества, а также совокупность отношений, складывающихся в системе производства , распределения, обмена и потребления.

Главная функция экономики состоит в том, чтобы постоянно создавать такие блага\продукты, которые необходимы для жизнедеятельности людей\обществ и без которых они не могут развиваться. Экономика помогает удовлетворить потребности в условиях ограниченных ресурсов.

Экономический кризис

(греч krisis — поворотный пункт) — резкое ухудшение экономического состояния страны, проявляющееся в значительном спаде производства, нарушении сложившихся производственных связей, банкротстве предприятий, росте безработицы, и в итоге — в снижении жизненного уровня, благосостояния населения. Так же эту ситуацию можно охарактеризовать как резкое изменение\сокращение ресурсной базы в результате ряда коллизий



Кризисный год

3

Антикризисные меры

Экономический кризис = Оптимизация затрат

Антикризисные меры

Затраты на инициативы развитияРесурсы

Затраты по текущим процессам

Кто определяет эту грань?

Оптимизация не равно сокращение! Оптимизация - повышение экономической эффективности

CFO?

Оптимизация ресурсов



Риски, Инциденты и Цели компании

4

Риски сократились

с 9 до 6

Компания заняла 20%

рынка

Инциденты сократились

с 40 до 20

Стоимость компании

увеличилась на $20mil

???

???

Может ли бы быть KPI для ИБ – количество уволенных сотрудников за разглашение коммерческой тайны?



Взгляд бизнеса на оценку рисков ИБ

5

Количественные показатели(Quantitative Benefits) Качественные показатели

(Qualitative Benefits)VS

Соответствие новым законамЖизнь без вирусовОтключили dropbox из офиса…

0 in profit

Снижение рисков?

Кассовый разрывМассовое сокращениеИзменение курса валютБанкротство партнеровСанкции …

Вирусные атакиУтечки ком.тайны

DDoS атакиЦеленаправленные атаки

152ФЗ…

РИСКИ? РИСКИ!

FEARMARKET



Взгляд финансов на нефинансовые оценки ИБ

6

Как бизнес видит ИБ

Фонд оплаты трудаАренда помещенийОборудованиеПрограммное обеспечениеБухгалтерское ведениеКонсалтинг

Х ХХХ ХХХ р.ХХХ ХХХ р.

Х ХХХ ХХХ р.Х ХХХ ХХХ р.

ХХ ХХ р.Х ХХХ ХХХ р.

0 р.0 р.0 р.0 р.0 р.0 р.

Стало безопаснее чем вчераCompliance

Лучшие практикиСнижены риски

Сохранены тайныКонсалтинг

ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ

«Долго не мог дровосек уснуть, метался в постели и стонал от горя. Тут жена ему и шепчет: - Давай завтра утром отведем детей в чащу леса, разведем костер, сделаем вид, что пошли работать, а сами вернемся домой…»

Братья Гримм «Гензель и Грета»



Периметровый подход

7

внутренний периметр

регламенты

внешний периметр

уязвимости

Прибыль от закрытой уязвимости?Достижение цели компании?

Закрытые уязвимости повышают общий уровень защищенности компании

Риски были 9 теперь 6 WAF

DRP

DLP

«традиционный» подход к ИБ



Цели компании как внутренние продукты

8

Цель Логистики – сократить количество логистических расходов на 20% относительно прошлого периода

Продукт Логистики – Доставка товаров к клиентам

Продукт Логистики – Доставка сырья на производство

Продукт Логистики – Внутренняя логистика



Продукт компании как сумма внутренних процессов

9

ИБ

ИБ

ИБ

ИБ

общий уровень защищённости - продукт?

информационная безопасность свойство продукта?или



ИБ внутри продукта

10

Проверка остатка

Запрос товара

Формирование предложения

Х

Выставление счета

Х

Получить заказ товара

Принять оплату

Закрыть заказ товара

Отправить заказанный

товар

Уведомить о отправке

Собрать данные для BI

Безопасный способ платежа

Корректные данные

Коммерческая тайна

Непрерывность работы сервиса

Резервное копирование

Влияние на операционные

показатели



Обратная декомпозиция

11

исследования

разработка

производство

продажи

маркетинг

логистика

ИБ

Затраты на лицензии

Затраты на оборудование

Затраты на персонал

Затраты на процесс

….

Продукт

Внутренний продукт

Стоимость владение продуктом безопасности

Продукт безопасности

Совокупное влияние на

продукт

Через сумму изменений свойств внутренних продуктов мы можем посчитать общее влияние на продукт компании, что делает проект ИБ значимым на уровне бизнеса, поскольку становится понятно как он влияет на прибыль.



База для расчета финансовых методик

12

Сколько стоит

деле?

Как повлияет

на прибыль

?1

2ROI

NPV

IRR

Break-even

Совокупные доходы

Совокупные расходы

return on investment или отдача на капитал

net present value или чистая приведенная стоимость

internal rate of return или Внутренняя норма доходности

точка окупаемости

Методы оценки

3 Внутренние константыСтавка дисконтирования Расчётный период



TCO

13

• Затраты на лицензии• Затраты на оборудование• Затраты на персонал• Затраты на процесс • Амортизация по годам• Учтённые/застрахованые риски• Затраты на исследования• Общие проектные расходы

Total Cost of OwnershipTCO

совокупная стоимость владения

1987 год – компания Gartner опубликовала отчет, который суммировал и популяризировал методику TCO Total Cost of Ownership или совокупная стоимость вложения. Данный год считается началом структурной оценки затрат на проекты в области ИТ. Отчет был разработан аналитиком Michael Smith, который продолжает работать в компании Gartner.



Расчет процесса и расчет проекта

14

Gartner говорит, что управление стоимостью владения подчиняется 4 основным законам*

•Любая инвестиция в технологию вызывает нескончаемы поток затрат на поддержание и изменения•Несколько десятилетий компании оценивали, что проект в технологиях это изначальные капитальные затраты, а потом это операционные затраты, НО это не так•Без управления жизненным циклом проекта и программного обеспечения, вы получите непредсказуемые «взрывы» затрат•Расходы на программное быстро развиваемые технологии растут по экспоненте.

* “The four laws of applications total cost of ownership”.G0023038270%

30%

По оценке Garthner - Стоимость внедрения составляет в среднем 1/3 от стоимости всего проекта. При оценке стоимости внедрения важно оценивать не только ресурсы «внешнего» внедренца, но и внутренние ресурсы компании.



Прайс-лист против TCO

15

Сколько стоит антивирусная защита на 1000 сотрудников в год?

Прайс-лист: 1 лицензия стоит 100 рублей, следовательно 1000 лицензий стоит 100 000 рублей

Факт: 1 лицензия стоит 100 рублей, следовательно 1000 лицензий стоит 100 000 рублей сервер обновлений – 150 000 рублей обслуживание антивируса – 1 ч\час в день – 247 часов – 30 раб дней – 1,5 оклада сотрудника – 150 000 рублей Решение инцидентов – 150 000 рублей оверхеды – 100 000 рублей следовательно все это стоит – 550 000 рублей



Бенефиты как базис расчета

16

затраты доходы

влияние ИБ на прибыль

оптимизация затрат добавление новых качеств

положительная разница

между суммарными доходами и затратами



ИБ внутри процесса

17

E Х

HR Е

14 дней

24 дня

ФОТ*КПД 1,5

Факт:заявление об увольнении

HR14 дней

HR\IS ЕЕ передача

делпредупреждение

за 38 дней

потери компании

Выход нового сотрудника

KPI на подбор нового сотрудника38 дней



Увеличение доходов

18

• +1,5% к стоимости компании при выходе на IPO• возможность участвовать в тендерах с

обязательным требованием • упрощение процедуры подготовки к

большим контрактам

• Защита данных вывела компанию в лидеры корпоративного рынка и сделала в 2009 году самой быстрорастущей компанией в мире с ростом дохода на 84 % за три года несмотря на глобальную рецессию. За десять лет компания продала 50 миллионов смартфонов, что сделало BlackBerry вторым по популярности смартфоном в мире.



Расчет от показателей бизнес-юнита

19

Бенефиты процессные

Бенефиты событийные

Построенные на уровне

оказываемого сервиса

Построенные решении

инцидента



Статистика и прогнозы

20

“Как это не парадоксально, но всякая точная наука основывается на приблизительности. Если кто-то говорит вам, что точно знает что-то, можете смело делать вывод: вы разговариваете с человеком, не имеющим понятия о точности.”

План продажМаркетинговый эффектГодовой бюджет

Все это построено на статистике прошлого периода и прогнозе на следующийБертран Рассел

Британский математик.



Кейс – DLP

21

Финансовый показатель Вариант 1 Вариант 2 Вариант 3

Чистая стоимость (TCO) 3 077 199,07р. 4 706 107,54р. 5 157 369,55р.

Чистые бенефиты 3 734 634,61р. 5 718 764,23р. 6 981 253,07р.

Приведённая стоимость 657 435,53р. 1 012 656,69р. 1 823 883,52р.

ROI, % 21 22 35

payback period, год 2 года 2 года 2 года

Бюджет на 1-ый год 1 955 000,00р. 3 189 325,15р. 3 539 334,15р.

Бюджет на 2-ой год 405 000,00р. 761 610,86р. 853 119,86р.

Бюджет на 3-ий год 405 000,00р. 761 610,86р. 853 119,86р.

Метрика ЗначениеУчётная ставка 20Расчётный период 3 года


Измерение эффективности информационной безопасности

Кейс – IDM

22



Переоценка существующих процессов

23

сбор статистики – метрик

расчет стоимости функции\Продукта ИБ

инвойсирование бизнес-юнитов

(выставление счетов в качестве информации)

взаимозачеты \ разнесение затрат по

ЦФО

управляемый показатель \ SLA

PROFIT

Если старые процессы все еще на стадии проектов или требуют пересмотра условий\ресурсовИх следует рассмотреть как новые с полным расчетом экономических показателей



Разнесение костов ИБ

24

Где живут затраты на сотрудников ИБ?

В кадрах которые принимают их на работу?Или в бухгалтерии которая платит зарплату?



Участие в инвестиционных проектах

25

ресу

рсы

Показатель эффективности (пусть будет NPV в мл.руб)

Бизнесу нужен единый инструмент принятия инвестиционных решений, а значит все проекты должны измеряться одинаково

Понятная приоритизация проектов


Да-да коллеги! Положительны

й P&L в этом году!

Спасибо за внимание!

Дмитрий Мананников[email protected]/dmitriy.manannikov

Business

SPSR express. Дмитрий Мананников: мастер-класс "Экономические аспекты информационной безопасности"