Cisco. Лукацкий Алексей. "Как продать ИБ? От вендора заказчику и от заказчика своему руководству"

© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены. 1


Как продать ИБ?От вендора заказчику и от заказчика своему руководству

Алексей ЛукацкийБизнес-консультант по безопасности


Почему мы занимаемся информационной безопасностью?

Страх

ComplianceЭкономика

• Самая популярная причина продажи ИБ (реальные инциденты и мифические угрозы)

• В условиях кризиса не работает (есть более приоритетные риски и угрозы –колебания курса, нет заимствований, сокращение, банкротство контрагентов, урезание бюджетов…)

• Наиболее актуальная причина для государственных органов

• Средняя актуальность – крупные предприятия

• Низкая актуальность – средний бизнес

• Практически неактуальна – для малого бизнеса

• Очень редко когда применяется в ИБ

• В условиях кризиса приобретает очень важное значение


«Простота» использования драйверов «продажи» ИБ

• Самый простой способ «продажи» ИБ• Можно вообще не знать особенностей и потребность заказчика и позицию руководстваCompliance

•Самый первый и самый привычный способ «продажи» ИБ• Срабатывает, если угроза имела место в недавнем прошлом• Требует хорошего контакта с заказчиком/руководствомСтрах

•Новый и пока еще редкий способ «продажи» ИБ• Требует серьезного знания бизнеса заказчика• Требует выхода на уровень бизнеса• Не реплицируется – каждое обоснование уникально• Обоснование может показать, что ИБ невыгодна или не нужна заказчику!

Экономика


Почему в кризис сложнее продать страх и compliance?

§ Потребность в защищенности – это базовая потребность человека, а в спокойные времена она распространяется и на информационную сферуРуководство готово вкладываться в ИБ

§ В кризис риски меняются – новые пугают сильнееСтрах уже не продается так, как раньше. Но он и не исчез

Кассовый разрывМассовое сокращениеИзменение курса валютБанкротство партнеровСанкции …

Вирусные атакиУтечки ком.тайны

DDoS атакиЦеленаправленные

атаки152-ФЗ

…

РИСКИ? РИСКИ!ТОРГОВЛЯСТРАХОМ


Вложения куда проще обосновать?


Измерение в деньгах требует иных подходов

§ Обосновывать вложения требует бизнес!

§ Бизнес не говорит на языке ИБ!Он говорит на языке бизнеса, на языке денег!

§ Нужна иная стратегия обоснования!


В кризис меняется отношение к инвестициям

§ В кризис организации меньше тратят и больше накапливают «денежную подушку»Именно финансовому директору принадлежит право сказать «да» или «нет». Именно он определяет до какого предела дойдет оптимизация

§ Затраты сокращаются или меняется их структура«Под нож» идут те, кто считается непрофильным для предприятия активом, не зарабатывающим денег, а только их тратящих

§ Финансовому директору сложно продать страхи вирусов и несоответствия ФЗ-152

CFO оперирует прибылями и убыткамиРисками он тоже оперирует, но немного иными – курс валюты, невозможность заимствований, требование погашения кредита, банкротство партнеров и т.п.


Куда мы вкладываем деньги?

Продукт ИБ

• Зачем нам конкретный продукт?• Какую задачу он решает?

Проект ИБ

• Зачем нам этот проект ИБ?• Какую задачу он решает?

Проект ИТ

• Зачем нам этот проект ИТ?• Какую задачу он решает?

Бизнес-проект

• Зачем нам этот бизнес-проект?• Какую задачу он решает?

§ Мы вообще понимаем, ДЛЯ ЧЕГО нам ИБ?§ Варианты «так принято» и «чтобы было безопасно» не подходят!

Вариант «так требуют регуляторы» возможен J но с оговорками


Мы часто топчемся на одном месте, не понимая цели!

§ Мы должны понять, ЧТО у нас лучше и ЗАЧЕМ это лучше нам!Для ЧЕГО нам ИБ? Каких КОНКРЕТНЫХ результатов мы хотим достичь?

§ Для ответа на вопрос «ЗАЧЕМ нам ИБ?» необходимо провести декомпозицию задачи/проекта/продукта!


Достижение каких целей измеряем?

Цели топ-менеджмента Операционные цели

Финансовые цели Цели ИТ

Цели ИБ

§ Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБГрустно это признавать, но это так


Но есть ли все-таки связь ИБ и бизнесом?

§ Согласно исследованию E&Y во время кризиса все компании начинают с сокращения затрат (без эффекта)

§ 7 ключевых областей для оптимизации расходовОптимизация ассортимента продукцииИзменение стратегии продажСокращение затрат на персоналПовышение производительностиАутсорсингОффшорингОптимизация использования и стоимости привлечения ресурсов

Необходимо уходить от оценки ИБ ради ИБ!Оценивать надо исходя из целей бизнеса!


Декомпозиция и понимание бизнеса – ключ ко всему

§ Декомпозиция позволяет разбитьПрограмму на проектыПроект на задачиЗадачи на действияПродукт на функцииЦели на подцели

§ Что делает DLP-функции Cisco ESA?Ловит утечки данных!

§ Что делает система защиты доступа в Интернет Cisco WSA?Блокирует Facebook!

§ Что делает МСЭ Cisco ASA with FirePOWER?Предотвращает доступ хакеров вовнутрь!

§ Что делает система контроля сетевого доступа Cisco ISE?Предотвращает несанкционированный сетевой доступ!

§ Что делает антивирус Cisco AMP?Ловит вирусы!


Декомпозиция 4 сценариев изменения стратегии продаж

Рост выручки

Рост числа клиентов

Географическая экспансия

Защищенныйудаленный доступ

Рост числа сделок

Вынос PoS в «поля»

Защищенныймобильный доступ

Ускорение сделок

Новый канал продаж

ЗащищенныйИнтернет-магазин

Снижение себестоимости

Более дешевый канал продаж

ЗащищенныйИнтернет-банк


Снижение арендной платы

§ Снижение арендной платы à уменьшение арендуемых площадей à перевод сотрудников на домà решение по защищенному удаленному доступу

§ Экономия на:Аренда площадейПитание сотрудниковОплата проездных (если применимо)Оплата канцтоваровОплата коммунальных расходов, а такжеУлучшение психологического климата за счет работы домаРост продуктивности


Уменьшение складских запасов

§ Уменьшение складских запасов à удаленный доступ к складской ИС поставщиков à решение по защищенному удаленному доступу, защита Интернет-ресурсов, Identity & Entitlement Management

§ Экономия на:Уменьшение складских площадейОптимизация логистикиУскорение цикла поставки


Оптимизация финансовых затрат

§ Оптимизация финансовых затрат à переход на лизинг или оплату в рассрочку à обращение в компании по ИТ/ИБ-финансированию

§ Выгоды:CapEx переходит в OpExУскоренная амортизация (коэффициент – 3)Снижение налога на прибыль и имуществоНе снижает Net Income, EBITDAНет проблем списания оборудованияОтсрочка платежаФиксированная ставка в рубляхПоложительное влияние на финансовые показатели


Рост продуктивности сотрудников

§ Рост продуктивности à снижение времени, потраченного на дорогу àперевод сотрудников на домà решение по защищенному удаленному доступу

§ Рост продуктивности – от 10% до 40%

§ Дополнительно:Увеличение рабочего времениЭкономия на аренде площадейЭкономия на питании сотрудниковЭкономия на оплате проездных (если применимо)Экономия на оплате канцтоваровУлучшение психологического климата за счет работы дома


Уменьшение числа командировок

§ Уменьшение числа командировок à внедрение видеоконференцсвязи/унифицированных коммуникаций/TelePresence àрешение по защищенному удаленному доступу и защите унифицированных коммуникаций

§ Экономия на:Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки)


Рост продуктивности сотрудников

§ Чтение электронной почты à отвлечение на незапрошеннуюкорреспонденцию à антиспам-решение

§ Экономия на:Интернет-трафикеВремени чтения почтыПоследствия вирусных эпидемий

§ ОсобенностиЭкономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников


Сокращение затрат на Интернет

§ Контроль действий сотрудников в Интернет à блокирование загрузок постороннего ПО, музыки, видео и контроль посторонних сайтов à решение по контролю URL

§ Экономия на:Интернет-трафике

§ ДополнительноРост продуктивности (может быть)Защита от вирусов и троянцев в загружаемом трафике


Другие примеры

§ Снижение рисков путешествий (и затрат на них) для сотрудников àвнедрение унифицрованных коммуникаций и Telepresence à защита коммуникаций (технологии VPN, AAA и т.п.)

§ Снижение издержек на ИТ à аутсорсинг à защита и разграничение удаленного доступа (технологии VPN, AAA, МСЭ и т.п., а также проработка юридических и организационных моментов, связанных с ИБ)

§ Снижение издержек на внутренний Helpdesk à внедрение системы автоматического управления паролями пользователей (технология AAA)


Другие примеры

§ Поглощения и слияния à обеспечение конфиденциальности сделки, оценка приобретаемых активов с точки зрения ИБ à ИБ

§ Выход на IPO à соответствие требование SOX или листинга иной биржи àобеспечение целостности и прозрачности

§ Повышение кредитного рейтинга à выполнение требований S&P или Moodysà ИБ (как некоторые из требований рейтинговых агентств)

§ Рост доверия со стороны акционеров à внедрение системы корпоративного управления à внедрение СВКà внедрение СУИБ (как неотъемлемая часть СВК согласно требованиям ЦБ и ФСФР)


Бизнес-цели тоже бывают разноуровневые

§ «Бизнес-цели» - отталкиваемся не от того, ЧТО защищаем, а КУДА стремимся

§ Бизнес-цель может бытьУ всего предприятиемУ отдельного подразделенияУ отдельного проекта/инициативыУ отдельного «важного» человека («спонсора»)

§ Бизнес-цели не всегда связаны с финансами Нельзя искать только финансовую выгоду от решения вопросов безопасностиНеобходимо учитывать нефинансовые цели (например, лояльность клиентов) и синергетический эффект


Всегда ли выгода измеряется деньгами?

§ Бизнес инвестирует в проекты, приносящие отдачуОтдача не обязательно носит денежный характер

Критерии

• Бизнес-ориентированный• Связанный с приоритетами/целями компании• Измеримый в метриках, понятных бизнесу• Приносящий ценность или отдачу (желательно финансовую)• Оптимальный (цель не любыми средствами)• Выполненный в срок• Не нарушающий законодательство

Примеры

• Снижение TCO• Защита взаимоотношений• Рост доверия• Соответствие требованиям• Ускорение выхода на рынок• Географическая экспансия• Снижение бизнес-рисков• Снижение текучки клиентов/партнеров• Рост лояльности клиентов/сотрудников• Оптимизация процессов• Интероперабельность и интеграция• Стандартизация• Рост качества• Оптимизация затрат (на внедрение, эксплуатацию, поддержку и т.п.)• Повторное использование• Масштабируемость


ИБ сама по себе или как часть целого?

§ ИБ как самостоятельный проект – самый удобный, но и самый редкий на практике случай финансового измерения


Расходы считать просто. Что с доходами / выгодами?

§ Получение новых доходов

§ Снижение расходов/потерь

§ Снижение времени

§ Снижение (высвобождение) числа людей

§ Не во всех компаниях это выгоды!Поймите, что считается выгодой именно у вас


Кейс 1: средства контроля доступа в Интернет

§ Реальный пример: сотрудник тратил 6 часов из 8 на ежедневный просмотр порнографии, но за оставшиеся 2 часа приносил недельную выручкуПроект по внедрению средства контроля доступа в Интернет провалился

Что теряет компания?

• 1,5 часа в день на «одноклассниках»• 200 сотрудников• 6600 часов потерь – 825 чел/дней• $18750 в месяц (при зарплате $500)• $225000 в год потерь

Решения Web Security

•3 форм-фактора – железо(CapEx), виртуалка (CapEx) и облако (OpEx)•Разные функции – контроль доступа и защита доступа


Кейс 2: оценка выгод от приобретения DLP-решений

§ Пока инцидент не произошел оценить его сложно!

§ Цена на инцидентстоимость расследования инцидентастоимость восстановления после инцидентастоимость PR/общения с прессойзатраты на юридические издержки (опционально)затраты на нарушение соответствия (опционально)стоимость досудебного урегулирования (опционально)

§ Цена на записьстоимость уведомления (создание списка пострадавших, печать, почтовые услуги)стоимость реагирования пострадавших, например, звонки в Help Desk (опционально)стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)



§ А еще можно попробовать посчитать стоимость утекшей информацииИнформация стоит денег сама по себе (оценка нематериальных активов)Информация позволяет улучшить что-то (стоимость информации равна разнице между стоимостью «до» и «после»)Информация позволяет принимать решения (выгоды от принятого решения)


30© Cisco и(или) ее аффилированные лица, 2014 г. Все права защищены.

Защита не должна быть дороже защищаемой информации!

А кто считал стоимость информации?


Почему мы не привязываемся к стоимости информации?

Она имеет ценность

Имеет ценность для вас

Снижает неопределенность при принятии решений

Влияет на поведение людей, приводящее к экономическим

последствиям

Нематериальный актив (собственная стоимость)

Не имеет ценности для вас, но имеет для кого-то еще

Если ей воспользуются другие, то вы понесете убытки или проиграете в конкурентной борьбе

Ее защита требуется государством / регулятором

Она не имеет ценности, но ее принято защищать

Многоразныхоценок


Виды стоимости нематериальных активов

Вид стоимости ОпределениеСтоимость обмена Вероятная цена продажи, когда условия обмена известны

обеим сторонам и сделка считается взаимовыгоднойОбоснованная рыночная стоимость

Наиболее вероятная цена, по которой объект оценки переходит из рук одного продавца в руки другого на открытом рынке и добровольно

Стоимость использования Стоимость объекта оценки в представлении конкретного пользователя и с учетом его ограничений

Ликвидационная стоимость Стоимость объекта оценки при вынужденной продаже, банкротстве

Стоимость замещения Наименьшая стоимость эквивалентного объекта оценки


Разные методы оценки нематериальных активов

Рыночный

• Метод сравнения продаж аналогичных объектов оценки

Затратный

• Метод стоимости замещения

• Метод восстановительной стоимости

• Метод исходных затрат

Доходный

• Метод расчета роялти• Метод исключения ставки роялти

• Метод DCF• Метод прямой капитализации

• Экспресс-оценка• Метод избыточной прибыли

• Метод по правилу 25%• Экспертные методы



§ Дополнительные варианты оценки средств утечки информацииОтток клиентов (в течении 1, 3, 6, 12, n месяцев)Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев)Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)


А может посчитать отдачу, привязав к курсу акций?


Не всегда связь очевидна



§ Исходные данныеПо закону желающий уволиться обязан предупредить об увольнении за 2 неделиУвольняющийся ищет новую работу в том числе и на работе (сайты, переписка и т.п.)HR обычно не умеет найти кандидата на открываемую вакансию за 2 неделиКомпания теряет от 2 до 10 недель, пока вакансия не закрыта«Стоимость» сотрудника известна и равна разнице между приносимым им доходом и расходами на него

§ Если средство контроля e-mail будет заранее (за месяц-два, т.к. работа тоже не ищется мгновенно) предупреждать о планах по увольнению, то оно будет помогать HR (не ИБ)Эффективность может быть даже измерена деньгами



§ Исходные данныеВо многих компаниях организуются тендерные комитеты или бюджетные комитеты, принимающие важные решения об инвестицияхВажно, чтобы в этих комитетах не было «договоренностей» и «сговоров»

§ Если средство контроля e-mail будет предупреждать владельцев бизнеса о «давлении» или «принуждении» во время обсуждения той или иной инвестиции, то она будет помогать владельцам бизнеса/главам тендерных комитетов (не ИБ)Оно будет эффективна для данной задачи, хотя и не факт, что речь будет вестись о финансовой эффективности


Еще раз: важна не цель ИБ, а цель бизнеса

§ Контроль взаимодействия внутри организации по e-mailКто на кого влияет

§ Контроль тех, кто планирует уволиться и ищет работу через Web и e-mailВозможность повлиять на решение тех, кто важен для компании, и найти замену тем, кто не важен

§ Контроль утечек информации по e-mail, Web или иному любому протоколуОсобенно если мы сможем посчитать их стоимость

Средство защиты e-mail и Web


Что теряем?

Что тратим?

Средства защиты

«Бумажные» работы

Поддержка в актуальном состоянии

Лояльность клиентов (отток)

Штрафы

Удар по репутации

Кейс 3: выполнение требований ФЗ-152

Консалтинг

Обучение / тренинги

Сертификация СрЗИ

Уведомление субъектов ПДн

Изменение системы защиты

Управление инцидентами

Приостановление деятельности

Выуверены?


Правонарушение Нарушаемая статьязаконодательства

Наказание для должностных лиц

Наказание для юридических лиц

Нарушение требований к согласию Ст.9 ФЗ-152 3-8 тысяч рублей 15-50 тысяч рублей

Обработка ПДн без согласия Ст.6 ФЗ-152 5-15 тысяч рублей 30-50 тысяч рублей

Незаконная обработка спецкатегорий ПДн

Ст.10 ФЗ-152 10-25 тысяч рублей 150-300 тысяч рублей

Неопубликование политики в области ПДн

Ст.18.1 ФЗ-152 3-6 тысяч рублей 15-30 тысяч рублей

Отказ в предоставлении информации субъекту

Ст.14, ст.20 ФЗ-152 4-6 тысяч рублей 20-40 тысяч рублей

Отказ в уничтожении или блокировании ПДн

Ст.21 ФЗ-152 4-10 тысяч рублей 25-45 тысяч рублей

Нарушение правил хранения материальных носителей ПДн

ПП-687 4-10 тысяч рублей 25-50 тысяч рублей

Нарушение правил обезличивания (для госов)

ПП-211 и приказ РКН №996

3-6 тысяч рублей Не предусмотрено

Потери могут и возрасти; особенно после новой директивы


Кейс 4: интересы CFO в условиях кризиса

§ Проекты с низким CapExИли снижение CapEx для существующих проектов / программ – аутсорсинг, SaaS и т.п.

§ Проекты с высоким ROI или небольшим Payback PeriodЕсли вы сможете обосновать ROI/PbP своему CFO

§ Проекты с разнесенными платежами и обязательствамиК измерению отношения не имеет, но может быть полезно

§ Преимущества лизинга:CapEx переходит в OpExУскоренная амортизация (коэффициент – 3)Снижение налога на прибыль и имуществоНе снижает Net Income, EBITDAНет проблем списания оборудованияОтсрочка платежаФиксированная ставка в рублях (ниже банковского процента по кредиту)Положительное влияние на финансовые показатели


Кейс 5: TEI от Forrester

§ Закрытая методика, разработанная компанией Giga Group, купленной ForresterТребует участия экспертов ForresterПочти все упомянутые на предыдущем слайде методики требуют участия их авторов, работающих «на доверии» и «на имени»

§ Оценивает эффективность по трем критериямГибкостьСтоимостьПреимущества

§ Использует другие методики (ROV, ROI и т.п.)


TEI of Cisco Borderless Networks Study

§ Базируется на методологии Forrester Total Economic Impact (TEI)

§ Интервью 13 заказчиков

§ Опубликованное исследование ROI базируется на организации в США с 5,000 сотрудниками

§ Трехлетний расчет преимуществ и затрат


Расчеты TEI of Cisco ISE и Cisco Secure DC


BN Business Benefits Calculator 1.0

§ Разработан Forrester Research

§ Базируется на методологии Forrester Total Economic Impact (TEI)

§ Данные базируются на:Интервью с заказчикамиОтчетами заказчиковИсследованиями аналитиков

§ АудиторияIT Director/Sr. ManagersBusiness Decision Makers


Калькулятор расчета для Cisco TrustSec на сайте Cisco

© 2005 Cisco Systems, Inc. All rights reserved.


Кейс 6: удаленный защищенный доступ

• Решение Cisco Virtual Office (CVO) à перевод сотрудников на домà уменьшение арендуемых площадейà снижение арендной платы

Офис (класс А) Стоимость м2 в год* Итого**

Башня Федерация 850$ 1700$Александр Хаус 800€ 1600€8 марта, 14 570$ 1140$Daev Plaza 1300$ 2600$GreenWood 290$ 580$

* + стоимость стоянки $150-250 в месяц** Из расчета 2 м2 на сотрудника

Элемент CVO Цена

Cisco 861 449$IP Phone 7911G* 225$Cisco Security Manager**

300$

Итого 974$

* Опционально** В пересчете на одно место*** Дополнительно требуется ISE и HeadEnd VPN для HQ


Кейс 6: удаленный защищенный доступ

§ Дополнительная экономия на:Питании сотрудниковОплате проездных (если применимо)Оплате канцтоваровОплате коммунальных расходов

§ А такжеУлучшение психологического климата за счет работы домаРост продуктивности на 10-40%


Рост продуктивностиОткуда берется 1 час потери продуктивности?

§ Рабочий день мужчины в России – 8 часов 14 минутПереработка на 14 минут

§ Рабочий день мужчины в Москве – 5 часов 33 минутыПотери 2,5 часов ежедневно (!) – преимущественно пробки

§ Рабочий день женщины в России – 5 часов 44 минутыПотери 2 часов 16 минут ежедневно

§ Рабочий день женщины в Москве – 5 часов 23 минутыПотери 2 часов 37 минут ежедневно

Источник: Росстат, 06.06.2011


Кейс 7: решение по защите от спама

§ Исходные данные:Число сотрудников (почтовых ящиков) – 7000Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника)Объем спама – 60% (42000 сообщений)Время обработки одного спам-сообщения сотрудником в ручном режиме – 10 секСуммарные дневные затраты на спам – 14,583 человеко-дняСредняя зарплата сотрудника – $1500

§ Потери компанииВ день – $994,29В месяц – $21784,5В год – $248573,86

§ Выгоден ли антиспам в данной ситуации?Да, как и всегда в крупных организациях. Помимо затрат на Интернет и серверные мощности


Кейс 8: оценка соответствия узлов требованиям политик

Статья экономии Человека/часов Цена*

Идентификация несоответствующих компьютеров 1.0 $12.00

Определение местоположения несоответствующих компьютеров 1.0 $12.00

Приведение в соответствие 2.0 $24.00Потенциально сэкономленные затраты на 1 компьютер (в год) $48.00

Потенциально сэкономленные затраты на 1 компьютер (за 3 года) $144

$14400 (100 users) $72000 (500 users) $144000* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться от $1000 до $4000

Элемент решения Цена

Cisco ISE Appliance 3315 Server (100 users) / 3Y

$15490


$36490(~2x)


$62990 (~2,5x)

§ В крупных организациях автоматизация задач по ИБ всегда выгоднее, чем в небольших организациях, в которых многие задачи могут быть решены вручную


Кейс 9: цена взлома медицинской системы

Пример США! В РФ часть потерьбудет отсутствовать или незначительна


Подсчет потерь - это хорошо, но это анализ постфактум!

Продуктивность • Простои• Ухудшение психологического климата

Реагирование• Расследование инцидента• PR-активность• Служба поддержки

Замена • Замена оборудования• Повторный ввод информации

Штрафы • Судебные издержки, досудебное урегулирование• Приостановление деятельности

Конкуренты • Ноу-хау, государственная, коммерческая тайна• Отток клиентов, обгон со стороны конкурента

Репутация • Гудвил• Снижение капитализации, курса акций

Другое • Снижение рейтинга• Снижение рентабельности

§ Деньги надо просить быстро!А подсчет может занять время

§ Это затыкание дыр!Нет стратегии!

§ Денег на защиту могут и не дать!Все уже случилось!

§ Могут еще и наказать!И даже уволить


Отталкивание от потерь – самый простой вариантКак финансы видят ИБ

Фонд оплаты трудаАренда помещенийОборудованиеПрограммное обеспечениеБухгалтерское ведениеКонсалтинг

Х ХХХ ХХХ р.ХХХ ХХХ р.

Х ХХХ ХХХ р.Х ХХХ ХХХ р.

ХХ ХХ р.Х ХХХ ХХХ р.

0 р.0 р.0 р.0 р.0 р.0 р.

Стало безопаснее чем вчераCompliance

Лучшие практикиСнижены риски

Сохранены тайныКонсалтинг

ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ

ПростоиРасследованиеШтрафыВосстановлениеОтток клиентовРепутация

Х ХХХ ХХХ р.ХХХ ХХХ р.

Х ХХХ ХХХ р.Х ХХХ ХХХ р.

ХХ ХХ р.Х ХХХ ХХХ р.

ХХХ р.ХХХ р.ХХХ р.ХХХ р.ХХХ р.ХХХ р.

Быстрее пошли сделкиСнижение стоимости аренды

Снижение времени на вход в системыСнижение CapEx и переход на OpEx

Снижение потерьРост лояльности клиентов

ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ

Как ИБ должна видеть финансы


Кейс 10: борьба со снижением простоев

§ Простои могут бытьУ сотрудникаУ узлаУ процессаУ приложения…

§ Простой всегда выражается в деньгах!

§ Снижение времени простоя (обеспечение доступности) должна является одной из основных целей ИБ, т.к. она понятна бизнесу лучше конфиденциальности и целостности информации


Жизненный цикл сбоя (простоя)

RPO – Recovery Point Objectives, RTO – Recovery Time Objectives, MAD – Maximum Allowable Downtime

§ Степень влияния и составляющие цены «сбоя» меняется с течением времениЭта иллюстрация может использоваться при оценке времени восстановления после атаки


Исходные данные для расчета цены простоя

§ Время простоя вследствие атаки

§ Время восстановления после атаки

§ Время повторного ввода потерянной информации

§ Зарплата обслуживающего персонала

§ Зарплата сотрудников атакованного узла или сегмента

§ Численность обслуживающего персонала

§ Численность сотрудников атакованного узла/сегмента

§ Объем продаж, выполненных с помощью атакованного узла или сегмента

§ Стоимость замены оборудования или запасных частей


Два кейса – WAF и антивирус

WAF

• DDoS…• Простой…• Потеря денег

WAF

• Кража данных кредитных карт...

• Наказание от МПС...

• Потеря денег

Антивирус

• Криптолокер...• Шифрование диска...

• Потеря доступа к файлам...

• Простой...• Потеря денег

Антивирус

• Вирусная эпидемия...

• Лечение...• Восстановление систем...

• Затраты...• Потеря денег


Откуда брать исходные данные?!

§ Все финансовые методы (традиционные и «новые») требуют для расчета исходные данные, обычно отсутствующие у служб информационной безопасностиНет, потому что мы не знаем, где их взятьНет, потому что не даютНет, потому что у нас нет квалификации для измеренийНет, потому что мы не верим в эффективность этих методовНет, потому что мы боимся соваться в финансыНет, потому что нет гарантии, что нам поверятНет, потому что нам не верятНет, потому что мы забыли математикуНет, потому что нет


Если вы готовы, то

§ Помните про конкретные цели ИБ

§ Помните про вопрос «ЗАЧЕМ?», а не только «ЧТО?»

§ Помните про декомпозициюЦелей, выгод и потерь

§ Помните про целевую аудиторию, которой вы будете демонстрировать отдачу

§ Примените универсальный способ оценки отдачиНесмотря на то, что его все равно не существует J


Из чего должен состоять бизнес-кейс

• Описание условий реализации инициативы (внутренней и внешней среды)Где• Описание самой инициативыЧто• Оценка операционных и экономических эффектов от нормальной реализации инициативыДля чего• Цепочка объясняющих причинно-следственных связей между инициативой и ожидаемыми эффектамиПочему• Алгоритм действий по выявлению и оценке ожидаемых эффектов, который предполагается тем или иным методомКак• Ключевые участники инициативы и распределение между ними ответственности за получением ожидаемых эффектов Кто


Новый взгляд на измерение ИБ с точки зрения бизнеса


Пишите на security-[email protected]

Быть в курсе всех последних новостей вам помогут:

Где вы можете узнать больше?

http://www.facebook.com/CiscoRu

http://twitter.com/CiscoRussiahttp://www.youtube.com/CiscoRussiaMedia

http://www.flickr.com/photos/CiscoRussia

http://vkontakte.ru/Cisco

http://blogs.cisco.ru/

http://habrahabr.ru/company/cisco

http://linkedin.com/groups/Cisco-Russia-3798428

http://slideshare.net/CiscoRu

https://plus.google.com/106603907471961036146/postshttp://www.cisco.ru/


Благодарюза внимание

Software

Cisco. Лукацкий Алексей. "Как продать ИБ? От вендора заказчику и от заказчика своему руководству"