Embed Size (px)
Citation preview
…
Михаил Козлов Развитие Бизнеса / Ру Консультант по развитию технологического бизнеса http://devbusiness.ru/mkozloff
Как продать ИБ-проект бизнесу и оценивать отдачу от инвестиций (ROI) в технологии информационной безопасности
TCO, ROI & бизнес-кейс для CISO
…
Содержание
2
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
…
Как продать ИТ/ИБ-проект бизнесу
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
…
ИТ стоят дорого
30%
Бюджет развития ИТ/ИБ
(Портфель ИТ проектов,
инвестиции, CapEx)
Бюджет развития
(Портфель бизнес проектов,
инвестиции, CapEx)
Операционный ИТ/ИБ-
бюджет
(Эксплуатация ИТ, OpEx)
Операционный
бюджет (OpEx)
ИТ/ИБ-бюджет
Бюджет организации
70%
Существенные инвестиции для бизнеса:
конкурируют с другими затратами и
инвестициями, требуют обоснования
(ROI)
ИТ бюджеты: 0,6-6% от доходов в
зависимости от отрасли…
…
Инвестиции - малая часть ИТ/ИБ-бюджетов
Источник: Gartner IT Metrics: IT Spending and Staffing Report, 2010
эксплуатация =
поддержка
существующих
продуктов и услуг
развитие =
улучшение
существующих
продуктов и услуг
инновации =
создание новых
продуктов и услуг
Уменьшение стоимости
владения (TCO)
Увеличение отдачи от ИТ (TCO,
ROI)
Уменьшение времени
вывода на рынок Time-To-
Value (ROI)
…
Ценность ИТ/ИБ для бизнеса
Улучшение бизнес
показателей
автоматизированного
процесса vs. ручного:
• Снижение ИТ и бизнес-
затрат и рисков
• Ускорение Time to Value
• Снижение рисков
Мониторинг и анализ
состояния
• Показателей и процессов
• Бизнес-среды
• Отчетность в реальном
времени
…
Ценность ИБ для бизнеса
Безопасность – это
бизнес-процесс,
требующий
инвестиций (рост
затрат)
ROI достигается за
счет снижения
рисков до
приемлемого уровня
в рамках конкретной
модели угроз
Угрозы, риски и
вероятности их
проявления
постоянно
изменяются
…
Что такое Ценность (Value)?
Выгода Стоимость
…
Карта Ценности
Выгоды
Сто
им
ост
ь
Отрицательная ценность
Положительная ценность
А
Б
Источник: Neil Rackham, John DeVincentis, Rethinking the Sales Force
…
Методы продажи ценности
Эмоциональным клиентам
• Эмоции:
• вау-фактор
• страх
Рациональным клиентам
• Бизнес-кейсы: ROI
…
Buzzword?
Geek and Poke CC
…
Клиент /
Спонсор
Продукт
Вау!
Ценность
Привет! Это надо
видеть…
Эмоция и
Коммуникация
…
Повторим: методы продажи ИБ Эмоциональный
покупатель
Рациональный
покупатель
Страх ROI для ИБ
Продажа ИБ как часть большего проекта
Теория перспектив (рискнем без ИБ)
Дилемма разных бюджетов (уже 1 раз купили)
Сыт и нет бюджета Голодный и
есть бюджет
Предложить решение задачи клиента
…
Теория перспектив*)
http://ru.wikipedia.org/wiki/Теория_перспектив
…
Упражнение
Выберите А или Б
…
Упражнение (2)
Выберите В или Г
…
Неприятие потерь: позитивная формулировка приятней
…
Ключевой вывод
…
Теория перспектив объясняет почему
…
На что влияет профиль покупателя?
не нужно рассказывать про ROI
нужно считать ROI
…
Оценка по DISC (Dominance, Influence, Steadiness, Compliance)
Википедия
…
Оценка по DISC (Dominance, Influence, Steadiness, Compliance)
Википедия
…
Оценка по DISC (Dominance, Influence, Steadiness, Compliance)
Википедия
…
Оценка по DISC (Dominance, Influence, Steadiness, Compliance)
Википедия
…
Профиль DISC Господствующие, Влияющие, Устойчивые, Добросовестные
Эмоциональный Рациональный
Высокие: D, I,
Низкие: S, C
Высокие: S, C
Низкие: D, I.
…
Продажа ИБ = продажа страховки
…
Пример из жизни
…
Модель угроз
• Предложение Hertz: = 100% (заранее решили что будет авария)
• Статистическая (по опыту вождения) = 5%
• Математическая (без учета опыта) = 50%
Вероятность риска (аварии)
• 1800 Евро (полная страховка, цена нулевой франшизы = 600 Евро)
• 1200 Евро (франшиза 800 Евро)
Предлагаемая цена защиты
• 600 Евро (предложение Hertz с нулевой франшизой)
• 400 Евро (800*50% - мат. вероятность риска с франшизой 800 Евро)
• 40 Евро (800*5% - статистическая вероятность риска с франшизой)
Стоимость риска:
…
Продажа ИБ всегда негативная
…
Дилемма разных бюджетов
…
Второй обед будет куплен если…
Вы не очень
сильно
расстроены
потерей
• Позитивные эмоции
У вас еще есть
деньги • Доступный бюджет
… и вы
действительно
хотите есть
• Физиологическая потребность
…
Дилемма разных бюджетов для защиты VMware
IT менеджер, купивший VMware
считает:
• Она безопасна
• Бюджет на VMware уже потрачен
Необходимо убедить клиента в
необходимости соответствия
виртуальной среды:
• Лучшим практикам ИБ (VMware,
PCI DSS, CIS)
• Требованиям регуляторов (152-ФЗ)
• Внутренним регламентам ИБ
(разделение ответственности,
мандатный доступ)
…
Далее: продаем решение а не возможности…
…
Как узнать какие есть задачи у «клиента»?
Разработать модель угроз,
рисков и оценить их
последствия для клиента
Определить места хранения и
способы обработки важной
информации
Классифицировать ИС
обрабатывающие данные
Разработать регламенты для
обработки, хранения,
передачи и защиты данных в
соответствии c требованиями
законодательства
Разработать требования к
СЗИ Предложить решение
Если не знаете – спросите у консультантов!
…
Повторим: методы продажи ИБ Эмоциональный
покупатель
Рациональный
покупатель
Страх ROI для ИБ
Продажа ИБ как часть большего проекта
Теория перспектив (рискнем без ИБ)
Дилемма разных бюджетов (уже 1 раз купили)
Сыт и нет бюджета Голодный и
есть бюджет
Предложить решение задачи клиента
…
Эмоциональный покупатель
пирамиды Маслоу
…
Потребность в безопасности и защите
…
ИТ-администратор уничтожил 88 виртуальных машин из McDonald’s и нанес ущерб на $800 000
…
Как продать ИТ/ИБ-проект рациональному спонсору?
Разработайте бизнес-
кейс
Цена, ценность, риски
(ROI, NPV, IRR…)
Защитите бизнес-кейс
перед спонсорами
Продажа в стиле
Мэдисон Авеню
…
Анализ рисков – основа для выбора методов защиты и оценки ROI
Модель угроз
• Основные значимые
угрозы, риски и
уязвимости
• Вероятности их
проявления
• Последствия их
проявления = потери
Бизнес-модель
• Политики
• Процессы
• Регламенты
Архитектуру ИБ
• Логическую
• Физическую
…
Анализируй это
…
Процесс анализа рисков
Source: Ken Jaworski, CISSP
Активы
Риски
Процедуры
безопасности
Конфиденциальность
целостности
доступность
Последствия
для бизнеса Угрозы
Уязвимости
уменьшить заставляют
используют
защищают от устраняются через
что вызывает
негативные
уменьшают
увеличивают увеличивают
увеличивают
…
Методы оценки рисков ИБ
Источник: http://www.nist.gov/itl/csd/risk-092011.cfm
…
Стоимость потери информации
True Cost of Compliance Report, Ponemon Institute LLC, January 2011
…
Пример модели угроз со стоимостью инцидентов с ИБ
…
Модель угроз
Для России не существует
аналогичной модели угроз/рисков,
построенной на публичных данных
• Нет истории штрафов за потерю
информации
Но ее можно создать внутри
каждой организации
• Решает эмоциональные и
рациональные проблемы
владельцев бюджетов
• Помогает подготовить бизнес-кейс
для внедрения ИБ
• Данные должны быть у риск-
менеджеров
…
Безопасность: сбалансированный подход
Последствия
рисков
Стоимость
защиты от
рисков
…
Элементы бизнес-кейса
Структура бизнес-кейса:
Часть 1. Описание проекта (портфеля проектов) и выгод для бизнеса
Часть 2. Планируемые затраты (инвестиции) по проекту
Часть 3. Прямые выгоды (ROI, который придется доказывать)
• Увеличение бизнес доходов (тяжело доказать роль ИТ/ИБ)
• Снижение ИТ/ИБ (TCO сегодня vs. TCO завтра) и бизнес расходов
Часть 4. Косвенные выгоды
Видение, основанное на
результатах для бизнеса
Обещание изменить
жизнь к лучшему
…
Успех зависит от качества презентации
Видение, основанное на результатах для
бизнеса
• Используйте язык бизнеса (стратегия,
задачи, KPIs)
• Продавайте решение проблем:
• Ситуация
• Предлагаемые изменения
• Затраты
• Выгоды, ROI
• Риски
Обещание изменить жизнь к лучшему
• Объясните как предлагаемые изменения
сделают жизнь бизнеса лучше и легче:
• «Мы считаем, что сможем снизить
стоимость соответствия лучшим
практикам ИБ в среде VMware на 75%
за счет использования шаблонов
лучших практик ИБ, встроенных в *****
инвестировав 1,2М Руб. с ROI 134% и
периодом окупаемости 15 месяцев»
…
Продажа в стиле Мэдисон Авеню*…
CIOInsight.com
Дорого и сверх
ожиданий
Построим новый ЦОД
Частное облако для всех ДЗО
Средний бюджет с
учетом всех ожиданий
Хостинг во внешних ЦОД (основной + резервный)
Частное облако для ключевых ДЗО
Дешево и ниже
ожиданий
Ремонт старой серверной
Частное облако для центрального офиса
…
Расчет ROI как часть бизнес-кейса. Зачем считать отдачу от инвестиций?
Универсальный метод, дающий инвестору оценку какую
отдачу (выгоду) могут принести его инвестиции
Основа для принятия инвестиционных решений
Продавцы и покупатели должны знать какую пользу
приносят инвестиции спонсорам их проектов
…
Объясняйте источники ROI для ИТ-проектов
5
3
Улучшение KPIs из-за
внедрения ИТ:
Выросла продуктивность
Снизились затраты на
командировки
Снижение TCO:
Переход на более
дешевые аналоги
Внедрение сберегающих
технологий
…
Объясняйте источники ROI для ИБ-проектов
5
4
Рост эффективности
процессов ИБ:
Управление
политиками
Администрирование
Снижение рисков для
бизнеса:
Соответствие
требованиям
Уменьшение потерь
…
Пример ROI от снижения затрат на ручную настройку ИБ в среде VMware
Показатель Значение Приведенная
стоимость PV (3 года)
Стоимость ручной настройки ИБ $133 683 $117 004
Эффект от *****: снижение затрат 75% $100 262 $87 753
Затраты на ***** $40 800 $37 503
NPV (эффект - затраты) $50 249
ROI (NPV / затраты) 134%
Выгода в месяц (эффект / 36 месяцев) $2 785
Период окупаемости, мес. 15
Данный расчет сделан с ***** ROI Calculator для вымышленной компании
…
…
«Да», если понятны отдача от инвестиций (ROI) и преимущества для развития бизнеса заказчика и спонсора проекта
…
Заказчик vs. Спонсор проекта
Заказчик – владелец
проекта внедрения
• получает ценность
в виде результатов
проекта для
решения своих
задач
Спонсор – владелец
бюджета проекта
• Получает ценность
в виде ROI,
эмоций, …
Могут не совпадать
• Заказчик:
руководитель
проекта по защите
ПДн
• Спонсор: CISO,
Вице-президент по
ИТ…
…
Методика расчета ROI в ИБ на основе модели угроз и рисков
Модель угроз
для конкретной
ситуации
Модель
соответствую-
щих рисков
Вероятность
проявления и
стоимость
рисков
Стоимость рисков
и средств их
уменьшения (ИБ -
отрицательный
денежный поток)
Оценки
возможности
снижения
вероятности и
стоимости рисков
при помощи
средств ИБ
(положительный
денежный поток)
ROI
…
Модель рисков: нарушения ИБ и их стоимость (Forrester)
…
Риск не соответствия требованиям регуляторов
True Cost of Compliance Report, Ponemon Institute LLC, January 2011
…
Выводы: зачем измерять ROI в ИТ/ИБ?
6
2
Ситуация
CISO конкурирует с
другими CxO за
бюджет развития
Проблема
Спонсоры не
понимают ценность
ИТ/ИБ для бизнеса
Неохотно выделяют
бюджеты на
развитие ИТ/ИБ
Решение
Бизнес-кейс +
финансовые
метрики для
повышения
инвестиционной
привлекательности
ИТ/ИБ-проектов
…
От бизнес стратегии к ROI в ИТ/ИБ
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
…
ИТ/ИБ стратегия — часть бизнес-стратегии
Перспектива
Позиция
План
Принципы Перспектива
Позиция
План
Принципы
4П «ИТ/ИБ стратегии»
4П бизнес стратегии
Портфель ИТ/ИБ проектов Портфель бизнес проектов
…
Как управлять портфелем проектов?
Проектные портфели управляются также как и инвестиционные:
• Рискованные проекты с высокой потенциальной отдачей (ROI) должны быть сбалансированы
• …проектами с предсказуемым (небольшим) ROI и небольшим уровнем риска.
Важно оценивать и анализировать эффективность портфеля через набор метрик:
• Ключевые показатели эффективности (KPIs)
• Системы показателей (Scorecards)
• … а также процессы мониторинга и контроля
…
Как управлять портфелем ИТ/ИБ проектов?
6
6
Следить за реализацией
Получить результат(ы)
Проверить фактическую отдачу (ROI)
Бизнес стратегия ставит задачи
для ИТ/ИБ
Предложить решение
Оценить отдачу, затраты, риски,
ROI, окупаемость
Инвестировать Приоритеты
проектов
Управление
портфелем проектов
…
Отбор проектов
Оценка спроса со
стороны внутренних
пользователей
Оценка затрат/
выгод от проекта
на основе ТЭО
Принятие
решений по
портфелю
проектов
Определение
приоритета
инвестиций
NPV, ROI, IRR, EVA
Окупаемость
Стратегия
Выгоды
Срочность
Регуляторы
• Разработка ТЭО
• Оценка рисков
• Планирование
бюджета
• Запрос на
инвестиции
• Утвержденный
портфель проектов
• Заявка на проект
• Определение
требований
На основе корп. стратегии
и бизнес-драйверов
…
Выводы
CIO/CISO должны развивать бизнес а не ИТ/ИБ
ИТ/ИБ-стратегия – это часть бизнес-стратегии (4П)
Управление портфелем проектов на основе баланса рисков и
отдачи (ROI) – основной метод реализации стратегии
…
Пример бизнес-кейса для ИТ/ИБ-проекта
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
…
Структура бизнес-кейса для ИТ/ИБ-проекта
Краткое описание проекта
Основные показатели проекта
Предлагаемое решение
Денежные потоки (для расчета ROI)
Финансирование проекта
Соответствие ИТ/ИБ-стандартам
Классификация проекта
Технологии, продукты и поставщики
Шаблон бизнес-кейса для ИТ/ИБ проектов на сайте CNews
…
Бизнес-кейс в ИТ/ИБ: краткое описание проекта
7
1
I. Краткое описание проекта
1. Организация
2. Название проекта
3. Дата предоставления
Имя Телефон Адрес e-Mail
4. Спонсор проекта
5. Менеджер проекта
6. Заказчик проекта
7. Бизнес задача, которую должен решить проект (основные тезисы)
Какую проблему/задачу решает предлагаемый проект?
7.1. Какова цель инвестиции/проекта?
Зачем что-то менять?
7.2. Какие бизнес-показатели требуется улучшить?
Что конкретно будем менять?
Что нужно устранить; какие результаты достичь?
7.3. В чем проблемы с текущими значениями этих показателей?
Доказательства существования проблем
Жесткие (KPI) и мягкие (косвенные)
8. Инвестиционные
показатели проекта Период анализа
3 года 4 года 5 лет
Инвестиции, руб.
Выгода, руб.
NPV руб.
ROI%
IRR%
Период окупаемости, мес.
Введение для руководства и
основные инвестиционные
показатели проекта
…
Бизнес-кейс в ИТ/ИБ: основные показатели проекта
II. Основные показатели проекта
1. Бизнес цели
Зачем нужен предлагаемый проект; ожидаемые результаты; в бизнес-терминах, без учета
возможного решения
2. Организация: цели, ценности, продукты и/или услуги на которые повлияет предлагаемый
проект
На основе бизнес стратегии
3. Ценность проекта
Ожидания, принципы и возможные компромиссы
4. Предметная область
Границы проекта
Продукты и услуги:
Бизнес-процессы:
Другое:
5. Факторы влияния
Факторы, которые могут повлиять на успех проекта
Ограничения:
Проблемы:
Риски:
Другое:
6. Внешние участники проекта
1. Бизнес цели
2. Организация: цели, ценности,
продукты и/или услуги на
которые повлияет
предлагаемый проект
3. Ценность проекта
4. Предметная область
5. Факторы влияния
6. Внешние участники проекта
…
Бизнес-кейс в ИТ/ИБ: предлагаемое решение
III. Предполагаемое решение
1. Общее описание предлагаемого решения
2. Выгоды
Как решение улучшит бизнес
Улучшение продуктов и услуг:
Снижение затрат:
Другое:
3. Осуществимость
Позитивные или негативные факторы, которые могут повлиять на успех проекта с момента
начала, до получения результата
Оценка: 1 [ ] 2 [ ] 3 [ ] 4 [ ] 5 [ ]
Низкий риск Высокий риск
4. Устойчивость результатов
Позитивные или негативные факторы, которые могут повлиять на успех проекта после получения
результата; достижимость выгод для бизнеса в долгосрочной перспективе
Оценка: 1 [ ] 2 [ ] 3 [ ] 4 [ ] 5 [ ]
Низкий риск Высокий риск
5. Альтернативные варианты решения
Какие другие варианты решения рассматривались и почему не были выбраны
1. Общее описание
предлагаемого решения
2. Выгоды
3. Осуществимость
4. Устойчивость результатов
5. Альтернативные
варианты решения
…
Бизнес-кейс в ИТ/ИБ: денежные потоки (для расчета ROI)
1. Затраты
2. Прямые выгоды
3. Финансовые результат
4. Косвенные выгоды
5. Элементы ROI
IV. Денежные потоки (для расчета ROI)
1. Затраты* Год 0 Год 1 Год 2 Год 3 Год 4 Год 5
АО
ПО
Услуги
Сотрудники
Другие
Итого:
2. Прямые выгоды* Год 0 Год 1 Год 2 Год 3 Год 4 Год 5
Увеличение доходов
Снижение затрат
…
Итого:
3. Финансовые
результат Год 0 Год 1 Год 2 Год 3 Год 4 Год 5
Итого:
4. Косвенные выгоды Описание
*Элементы ROI Расшифровка статей затрат и выгод
АО
ПО
Услуги
…
…
Бизнес-кейс в ИТ/ИБ: финансирование проекта
1. Риски прогнозирования
затрат по проекту
2. Другие статьи затрат
3. Источники
финансирования
V. Финансирование проекта
1. Риски прогнозирования затрат по проекту
Факторы, которые могут привести к росту затрат по проекту
Оцените точность прогноза: 10% [ ] 25% [ ] 50% [ ] 75% [ ] 100% [ ]
2. Другие статьи затрат
Могут ли возникнуть другие статьи затрат по проекту
3. Источники финансирования
Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 Примечания
Бюджет ИТ
Общий
инвестиционный
бюджет
Инвестиционный
бюджет
подразделения
Кредитование
Лизинг
Другое
Итого:
…
Бизнес-кейс в ИТ/ИБ: соответствие ИТ/ИБ-стандартам
1. ИТ/ИБ-архитектура
2. Технологии
3. Другое…
VI. Соответствие ИТ-стандартам
1. ИТ-архитектура
Насколько предлагаемое решение соответствует стандартам и принципам построения
существующей ИТ-архитектуры организации
Соответствует Не соответствует Не применимо
1. Сети
2. Вычислительные
платформы и системы
хранения данных
3. Управление данными
4. Обмен данными
5. Приложения
6. ПО промежуточного слоя
7. Клиентские системы
8. Совместная работа
9. Информационная
безопасность
10. Управление ИТ
11. …
Примечания:
2. Технологии
Основные технологии, предлагаемые в проекте
[ ] Вычислительные системы
[ ] Хранение данных
[ ] Сетевые технологии
[ ] Веб
[ ] Базы данных
[ ] Клиентские устройства
[ ] Безопасность
[ ] Облачные технологии
[ ] Другое…
…
Бизнес-кейс в ИТ/ИБ: классификация проекта
1. Категории проекта
2. Бизнес функции, на которые
повлияет проект
3. Тип разработки
4. Планируются ли изменения
бизнес-процессов
5. Степень изменения бизнес-
процессов
6. Описание планируемых
изменений в бизнес-процессах
VII. Классификация проекта
1. Категории проекта
[ ] Категория 1 [ ] Категория 2 [ ] Категория 3
[ ] Категория 4 [ ] Категория 5 [ ] Категория 6
[ ] Категория 7 [ ] Категория 8 [ ] Другая [укажите]
2. Бизнес функции, на которые повлияет проект
[ ] Финансы [ ] Продажи [ ] Маркетинг
[ ] Производство [ ] Логистика [ ] Управление кадрами
[ ] ИТ [ ] Управление рисками [ ] Другое [укажите]
3. Тип разработки
[ ] Новая ИС [ ] Расширение ИС [ ] Обслуживание и поддержка
[ ] Другая: [укажите]
4. Планируются ли изменения бизнес-процессов
[ ] Без изменения бизнес-процессов [ ] Несколько подразделений внутри организации
[ ] Одно бизнес-подразделение [ ] Несколько организаций в группе
5. Степень изменения бизнес-процессов
[ ] Без изменения бизнес-процессов
[ ] Некоторые изменения в существующих процессах
[ ] Серьезные изменения в существующих процессах
6. Описание планируемых изменений в бизнес-процессах
…
Бизнес-кейс в ИТ/ИБ: технологии, продукты и поставщики
7. Технологии, продукты и поставщики
Технология Продукт или вендор
1.
2.
3.
4.
5.
6.
7.
8.
9.
10.
…
Выводы
Используйте стандарт оформления бизнес-кейса, принятый в
вашей организации
Оценивать ROI при внедрении новых ИТ/ИБ-проектов проще,
если у вас есть модель затрат, включающая методы chargeback
Многие поставщики ИТ/ИБ умеют считать ROI для своих
решений
…
Ключевые показатели для оценки инвестиций в ИТ/ИБ
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
…
Финансовые критерии инвестирования
8
1
…
Инвестиционные риски (примеры)
8
2
Потеря всех инвестированных средств
Потеря части инвестированных средств
Необходимость инвестировать больше чем изначально планировалось
Меньший или более поздний возврат чем ожидалось
…
Модель для сборки
Прежде чем начать – убедиться в наличие жестких и мягких доказательств
целесообразности инвестиции в ИТ/ИБ-проект
Далее мы рассмотрим только «жесткие» показатели
8
3
TCO = затраты на ИТ/ИБ
ROI = окупаемость
Период окупаемости
…
Ключевые инвестиционные показатели
8
4
Return On
Investment
(ROI)
Возврат на
инвестиции
Net Present
Value
(NPV)
Чистая
приведенная
стоимость
Internal
Rate of
Return
Внутренняя
ставка
окупаемости
Payback
Period
Период
окупаемости
…
Return on Investment (ROI) Отдача от инвестиций
Отдача – Затраты
Затраты
ROI = * 100%
ROI, выгода и затраты рассматриваются за период проекта
Если проект длинный, то необходимо учесть временную стоимость денег
…
PV (ПДС+) - PV (ПДС-)
PV (ПДС-) ROI =
Для простоты: ROI = прибыль проекта / инвестиции, в % с учетом временной стоимости денег
PV = present value, текущая стоимость будущих ДС
ДС = поток денежных средств; ДС+ = приток; ДС- = отток ДС;
ROI д.б. > стоимости привлечения капитала для инвестора
Return on Investment (ROI), %
8
6
* 100%
…
NPV
PV (ПДС-) ROI =
NPV = Net Present Value, чистая приведенная стоимость проекта
ДС+ = приток, положительный поток ДС
ДС- = отток ДС, отрицательный поток ДС
NPV д.б. > 0
Return on Investment (ROI), %
8
7
* 100%
…
Центр затрат vs. Центр прибыли
Отдача от инвестиции – Затраты на инвестицию
Затраты на инвестицию
Центр затрат Центр прибыли
Увеличиваем ROI за счет
снижения затрат
Увеличиваем ROI за счет
увеличения отдачи
…
Как превратить затраты на ИТ/ИБ в инвестиции
Снижение бизнес затрат – Инвестиции в ИТ/ИБ
Инвестиции в ИТ/ИБ
Бизнес путает бизнес-затраты с инвестициями в ИТ/ИБ
Если не видит отдачу для бизнеса
Если дополнительные затраты на ИТ/ИБ приводят к росту бизнес-доходов и/или снижению
бизнес-затрат (дают положительные ROI), то затраты на ИТ/ИБ рассматриваются как инвестиции
…
NPV – учитывает текущую стоимость будущих денег
NPV вычисляет текущую стоимость для каждого потока денежных средств (ПДС) в его период и суммирует результаты для получения чистой приведенной стоимости PV (ПДС+) + PV (ПДС-):
n – общее количество периодов 1,2…n – номер текущего периода
ПДС_n – величина ПДС в соответствующий период, и
СД_n – ставка дисконтирования в соответствующий период
ПДС_1
(1 + СД_1)1
ПДС_2
(1 + СД_2)2
ПДС_n
(1 + СД_2)n
+ +
…
IRR
IRR {NPV=0}
Относительная ставка доходности проекта
• По сути – это ставка кредита, по которой вы бы финансировали
проект или ставка доходности проекта для инвестора
Теоретический показатель для сравнения проектов
…
NPV и IRR
NPV показывает абсолютный выигрыш/потерю от
инвестиции
• Инвестируем в проект, если NPV>0
IRR показывает относительный выигрыш от
инвестиции
• Ставка доходности, если бы NPV проекта было равно нулю.
• Инвестируем в проекты, если IRR > Hurdle Rate (минимально
приемлемый уровень возврата)
…
…но влияет на возникновение затрат (отток ДС) в будущих периодах
Амортизация не является потоком ДС
Элементы денежного потока
CapEx
OpEx
Снижение затрат
Уменьшение оборотного капитала
Прямые доходы
Отток ДС
Приток ДС
…
Налоговый щит
См. «Принятие инвестиционных решений». А.Кобенко
http://www.devbusiness.ru/development/finances/invest_desicions_kobenko.htm
Платежи процентов по кредитам
• Можно отнести к себестоимости и уменьшить
налогооблагаемую базу
Проекты с отрицательным NPV
• Могут стать выгодными
…
Затраты для ИТ/ИБ = TCO
Формулировка Gartner – конец 80х
TCO – Total Cost of Ownership (совокупная стоимость
владения) за период:
• Программное обеспечение
• Аппаратное обеспечение
• Работы и услуги
• …
…
TCO ИТ/ИБ-услуги
Стоимость услуг, АО и ПО при внедрении
Стоимость поддержки и эксплуатации
С учетом амортизации активов для их
возобновления
CapEx + OpEx за все время
жизни ИТ/ИБ-услуги,
включая:
…
Традиционные статьи ИТ/ИБ бюджета
Код Статья Итого 2012
Капитальные затраты (CapEx) *
1001 Приобретение вычислительной, сетевой и оргтехники, средств
связи…
1002 Приобретение, сопровождение и обновление ПО
Операционные затраты (OpEx)
2001 Приобретение вычислительной, сетевой и оргтехники, средств
связи…
2002 Приобретение, сопровождение и обновление ПО
2003 Расходные материалы и обслуживание техники
2004 Расходы на стационарную, мобильную связь, интернет
2005 Прочие услуги организаций
2006 Обучение и развитие персонала
Итого ИТ/ИБ - затраты
…
TCO обычно считается на период от 3 до 5 лет с учетом временной стоимости денег
Показатели затрат Год 0 Год 1 Год 2 Год 3 Год 4 Год 5 Итого Present
Value
OpEx
Затраты на внедрение
Затраты на эксплуатацию
CapEx
Новое ПО (м.б. и OpEx и CapEx)
Новое оборудование
Итог
…
Денежный поток
9
9
-2500
-1500
-500
500
1500
2500
Год 1 Год 2 Год 3 Год 4
Отток
Приток
Хорошая ли это инвестиция?
…
Дисконтированный период окупаемости (Discounted Payback)
1
0
0
Количество месяцев пока накопленная выгода не сравняется с
затратами. Упрощенная формула, учитывающая нормализованный
дисконтированный положительный ПДС:
= ПДС-
NPV / число месяцев в период анализа
< 24 месяцев (Gartner) или целевого значения
…
Экономическая добавленная стоимость Economic Value Add (EVA)
1
0
1
Capital Net Operating
Profit After Taxes
(NOPAT)
EVA = Cost of
Capital -
NOPAT = чистая операционная прибыль после налогов
Capital = инвестированный капитал
Cost of capital = стоимость капитала для инвестора
…
EVA vs. ROI
1
0
2
100 000 20 000 ROI = 100% /
100 000 20 000 EVA = 20% - = 0
= 20%
…
Сравним метрики
Метрика Плюсы Минусы
NPV Сравнение любых инвестиций
Не показывает объемов инвестиций по отношению к выгоде
ROI Сравнение любых инвестиций
Не показывает объемов инвестиций по отношению к выгоде
IRR Показывает чувствительность денежных потоков к ошибкам
Абстрактный показатель, т.к. предполагает, что можно инвестировать по подобной ставке
Payback Очень важный показатель для ИТ/ИБ
Дисконтированный период окупаемости не учитывает приток ДС после окончания проекта
EVA Лучший индикатор ценности для бизнеса
Трудно посчитать в ИТ/ИБ проектах
…
А как же риски?
План рисков (вероятность vs. значимость)
Анализ чувствительности (NPV, ROI, IRR)
Сценарный анализ
Дисконтирование выгоды (NPV)
1
0
4
…
Выводы: ключевые вопросы к инвестиционным проектам
…
Выводы: ключевые инвестиционные показатели позволяют оценивать и сравнивать инвестиции
1
0
6
Return On
Investment
(ROI)
Возврат на
инвестиции
Net Present
Value
(NPV)
Чистая
приведенная
стоимость
Internal
Rate of
Return
Внутренняя
ставка
окупаемости
Payback
Period
Период
окупаемости
…
Примеры ROI моделей в ИТ/ИБ
1
0
7
Как продать ИТ/ИБ-проект бизнесу?
От бизнес стратегии к ROI в ИТ/ИБ
Пример бизнес-кейса для ИТ/ИБ-проекта
Ключевые показатели для оценки инвестиций
Примеры ROI моделей в ИТ/ИБ
…
Пример ROI от снижения затрат на ручную настройку ИБ в среде VMware
Показатель Значение Приведенная
стоимость PV (3 года)
Стоимость ручной настройки ИБ $133 683 $117 004
Эффект от *****: снижение затрат 75% $100 262 $87 753
Затраты на ***** $40 800 $37 503
NPV (эффект - затраты) $50 249
ROI (NPV / затраты) 134%
Выгода в месяц (эффект / 36 месяцев) $2 785
Период окупаемости, мес. 15
Данный расчет сделан с ***** ROI Calculator для вымышленной компании
…
Модель рисков: нарушения ИБ и их стоимость (Forrester)
…
3 варианта риска потери данных в виртуальной среде на основе модели угроз Forrester Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года)
Штрафы PCI DSS -$1 141 613
Потеря важной информации -$2 716 695
-$3 858 308
Вариант 2: «Ручная настройка ИБ» (-95% рисков) Ручные затраты на compliance и настройку ИБ -$117 004
Потеря важной информации -$135 835
-$252 839
Вариант 3: «Автоматизация настроек ИБ с *****» (-98% рисков) Затраты на ***** -$37 503
***** снижает ручные затраты на 75% $87 753
Оставшиеся ручные затраты -$29 251
Потеря важной информации -$54 334
-$33 335 Данный расчет сделан с ***** ROI Calculator для вымышленной компании
…
ROI: ***** снижает число ошибок ручной настройки параметров ИБ и уменьшает затраты от потери данных
Данный расчет сделан с ***** ROI Calculator для вымышленной компании
Показатель Значение PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Затраты на ***** $40 800 $37 503
NPV $226 010 $182 000
ROI 485% Выгода в месяц $6 278
Период окупаемости, мес. 7
…
Итоговый ROI для *****: снижение затрат на ручную настройку ИБ + снижение рисков потери данных в среде VMware
Данный расчет сделан с ***** ROI Calculator для вымышленной компании
Value PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Снижение затрат на ручную настройку 75% $100 262 $87 753
Общая выгода от ***** для ВС VMware $367 072 $307 256
Затраты на ***** $40 800 $37 503
NPV $326 272 $269 753
ROI 719%
Выгода в месяц $9 063
Период окупаемости, месяцев 5
…
ROI для веб фильтрации
Расчет ROI для веб-фильтрации в предположении: • 1000 пользователей в организации, имеющих постоянный доступ к веб
• 15 мин. в день тратят на работу в веб в личных целях
• Полная стоимость сотрудника (с накладными) ~ 14,2 Евро час
• Стоимость решения для веб-фильтрации = 50 Евро в год на пользователя
• Подробнее см. на http://bit.ly/e911mQ
Показатель Значение Значение (с учетом рисков)
Общие затраты (приведенная стоимость, PV) 4 909 453,37р. 4 909 453,37р.
Общие затраты (PV) на одного сотрудника 4 909,45р. 4 909,45р.
Общая выгода (приведенная стоимость, PV) 84 807 542,94р. 42 403 771,47р.
Общая выгода (PV) на одного сотрудника 84 807,54р. 42 403,77р.
NPV 79 898 089,57р. 37 494 318,10р.
NPV на сотрудника 79 898,09р. 37 494,32р.
ROI (за весь период) 1727% 864%
Выгода в месяц, PV 2 355 765,08р. 1 177 882,54р.
Период окупаемости, месяцев 2,08 4,17
…
Бизнес-кейс: защита Персональных Данных при помощи решений компании «ABC»
…
Последствия потери персональных данных (ПДн)
Потеря информации
Прямые потери
(штрафы, отзыв
лицензии)
Косвенные потери
(репутация)
Посчитаем
стоимость
потери
репутации
…
Задача
…
Исходные данные
…
Уход 1 клиента из-за потери его ПДн = потеря 40-80 клиентов в будущем
LORI MACVITTIE
Расскажет
8-16
знакомым
У каждого в его круге влияния
(250 человек) 10% или 25
человек окажутся вашей
целевой аудиторией
2% из второго круга
или 5 человек никогда
не станут вашими клиентами
Первый
круг
Второй
круг
Потеряно
клиентов
8 2000 40
16 4000 80
…
Ключевые показатели
CLV (Customer
Lifetime Value)
• Общие продажи
на 1 клиента за
время его
обслуживания
(среднее
значение)
CAC = Customer
Acquisition Cost
• Затраты на
привлечение
нового клиента за
период
• CAC =
маркетинговый
бюджет / число
новых клиентов
CtR (Cost to Replace
a Customer)
• Затраты на замену
клиента
• CtR = CAC * 51
#Узнавших о
проблеме
• # потерянных
записей ПДн *
2000
…
Стоимость потери репутации
…
Результаты 1 (если 100,000 клиентов уйдут к конкурентам из-за потери их ПДн)
…
Бизнес-кейс
Потеря 100 000 клиентов из-за утечки их ПДн может привести к потере до 15,5% годовой выручки
Комплексное решение для защиты ПДн от ABC обойдется в 0,000…% от возможных потерь
ROI, IRR, период окупаемости
…
Анализ чувствительности
…
Результаты 2 (если 100,000 клиентов уйдут к конкурентам из-за потери их ПДн)
…
Посчитали ROI. Что дальше? Выводы и заключение.
1
2
5
…
Инвесторы выбирают проекты с учетом возврата, риска и осознанной необходимости
Сравнение показателей
• IRR 1 <=> IRR 2
• Риск 1 против Риск 2
• …
Обязаны ли мы делать
этот проект?
• «Прихоть» спонсоров
• Требования
регуляторов
…
Методы продажи ценности
Эмоциональным
клиентам
• Эмоции
Рациональным
клиентам
• Бизнес-кейсы (ROI,
IRR..)
…
Методы продажи ценности ИБ Эмоциональный
покупатель
Рациональный
покупатель
Страх ROI для ИБ
Продажа ИБ как часть большего проекта
Теория перспектив (рискнем без ИБ)
Дилемма разных бюджетов (уже 1 раз купили)
Сыт и нет бюджета Голодный и
есть бюджет
Предложить решение задачи клиента
…
Объясняйте источники ROI для ИБ-проектов
Рост эффективности
процессов ИБ:
Управление
политиками
Администрирование
Снижение рисков для
бизнеса:
Соответствие
требованиям
Уменьшение потерь
…
Не ROI единым…
1
3
0
Если менеджеры полагаются
только на ROI, то можно
легко принимать неверные
решения
• В пользу краткосрочных
преимуществ против
долговременных
ROI и период окупаемости не
единственные критерии, по
которым выбираются
проекты
• Соответствие требованиям
регуляторов
• Ремонты
• Политика
• Эмоции
…
Выводы: что нужно для расчета ROI
1
3
1
Целесообразность
• Есть ли ROI для CISO от подготовки бизнес-кейса/ROI для бизнеса?
Время и деньги
• Понадобиться личное участие CIO и ключевых ИТ/ИБ-специалистов
• Подготовка бизнес-кейсов, учет затрат в ИТ/ИБ, расчет ROI – стоят денег
Модель
• Есть ли модель учета затрат на ИТ/ИБ?
• Модель Chargeback/Showback?
• Есть ли методы оценки отдачи от ИТ/ИБ-проекта для бизнеса?
• Есть ли модель для оценки рисков?
…
Дополнительные материалы на основе частного облака эффективность инвестиций (ROI)
как продать ИТ-проект бизнесу
бизнес-кейса
http://devbusiness.ru/mkozloff/about/ http://www.devbusiness.ru/mkozloff/tag/roi/
1
3
2
…
СПАСИБО ЗА
ВНИМАНИЕ!
(c)2013, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя данную информацию, Вы
соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь риск, связанный с использованием данной информации».
Упомянутые торговые марки и названия принадлежат их законным владельцам.
(c)2013, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав.
Используя данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы
принимаете на себя весь риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным
владельцам.
