Оценка отдачи вложений в ИБ

1/469 © 2008 Cisco Systems, Inc. All rights reserved. Security Training

Как оценить вложения в ИБ?

Алексей Лукацкий Бизнес-консультант по безопасности

© 2008 Cisco Systems, Inc. All rights reserved. Security Training 2/469

Безопасность и деньги

§ Занимаясь повседневной деятельностью мы нечасто думаем о деньгах в контексте ИБ И только тогда, когда возникает необходимость попросить у руководства деньги на новый проект, продукт или услугу

§ Выигрывает не тот, кто сильнее, а тот кто лучше приспособлен

§ Множество проектов и инициатив при нехватке финансовых средств Особенно в условиях кризиса

§ Деньги получает тот, кто может сможет лучше обосновать запрашиваемые ресурсы Сколько надо? Почему столько? Какова отдача?


Вложения куда проще обосновать?


Осязаемо и приятно!


Неприятно, но осязаемо


Неосязаемо и… вообще непонятно


Измерение в деньгах требует иных подходов

§ Обосновывать вложения требует бизнес!

§ Бизнес не говорит на языке ИБ! Он говорит на языке бизнеса, на языке денег!

§ Нужна иная стратегия обоснования!


Какова цель, на которую мы просим денег?


Куда мы вкладываем деньги?

Продукт ИБ

•  Зачем нам конкретный продукт?

•  Какую задачу он решает?

Проект ИБ

•  Зачем нам этот проект ИБ?


Проект ИТ

•  Зачем нам этот проект ИТ?


Бизнес-проект

•  Зачем нам этот бизнес-проект?


§ Мы вообще понимаем, ДЛЯ ЧЕГО нам ИБ?

§ Варианты «так принято» и «чтобы было безопасно» не подходит! Вариант «так требуют регуляторы» возможен J но с оговорками


Развенчание мифа о том, что ИБ не видна и не измерима

§ Если что-то лучше

§ ⇒ Есть признаки улучшения

§ ⇒ Улучшение можно наблюдать

§ ⇒ Наблюдаемое улучшение можно посчитать

§ ⇒ То, что можно посчитать, можно измерить

§ ⇒ То, что можно измерить, можно оценить

§ …и продемонстрировать!


Все начинается с целеполагания!!!

§ Но сначала мы должны понять, ЧТО у нас лучше и ЗАЧЕМ это лучше нам! Для ЧЕГО нам ИБ?


Цели бывают разные!

§ Популярные цели ИБ, которые нам не помогают! Получение аттестата ФСТЭК на все АС/ИСПДн Сертификация ключевых процессов на соответствие ISO 27001 Достижение 4 уровня по СТО БР ИББС Сокращение числа инцидентов ИБ до 3 в месяц Внедрение защищенного мобильного доступа для руководства Внедрение защищенного удаленного доступа для географической экспансии Повышение устойчивости инфраструктуры к DDoS-атакам с целью повышения лояльности клиентов и снижение их текучки

§ При оценке вложений нас интересует не вопрос «ЧТО мы хотим достичь?», а вопрос «для ЧЕГО?» Что изменится в результате вложений в ИБ?


Мы часто топчемся на одном месте, не понимая цели!

§ Для ответа на вопрос «ЗАЧЕМ нам ИБ?» необходимо провести декомпозицию задачи/проекта/продукта!

§  Каких КОНКРЕТНЫХ результатов мы хотим достичь?


Декомпозиция

§ Наиболее эффективный путь – декомпозиция бизнес-цели на части и выбор метрик для каждой из них

Бизнес-цель

Подцель 1 Подцель 2 Подцель 3

Действие 1 Действие 2

Измерение 1 Измерение 2


Бизнес не оперирует ИБ-целями

Цели топ-менеджмента

Операционные цели

Финансовые цели Цели ИТ

Цели ИБ

§ Цели ИБ в данной ситуации вторичны, т.к. их никто не понимает кроме службы ИБ Грустно это признавать, но это так


ИБ сама по себе или как часть целого?


Но есть ли все-таки связь ИБ и бизнесом?

§ Согласно исследованию E&Y во время кризиса все компании начинают с сокращения затрат (без эффекта)

§  7 ключевых областей для оптимизации расходов Оптимизация ассортимента продукции Изменение стратегии продаж Сокращение затрат на персонал Повышение производительности Аутсорсинг Оффшоринг Оптимизация использования и стоимости привлечения ресурсов


4 сценария изменения стратегии продаж: декомпозиция

Рост выручки

Рост числа клиентов

Географическая экспансия

Защищенный удаленный доступ

Рост числа сделок

Вынос PoS в «поля»

Защищенный мобильный доступ

Ускорение сделок

Новый канал продаж

Защищенный Интернет-магазин

Снижение себестоимости

Более дешевый канал продаж

Защищенный Интернет-банк


Снижение арендной платы: декомпозиция

§ Снижение арендной платы à уменьшение арендуемых площадей à перевод сотрудников на дом à решение по защищенному удаленному доступу

§ Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров Оплата коммунальных расходов, а также Улучшение психологического климата за счет работы дома Рост продуктивности


Уменьшение складских запасов: декомпозиция

§ Уменьшение складских запасов à удаленный доступ к складской ИС поставщиков à решение по защищенному удаленному доступу, защита Интернет-ресурсов, Identity Management

§ Экономия на: Уменьшение складских площадей Оптимизация логистики Ускорение цикла поставки


Оптимизация финансовых затрат

§ Оптимизация финансовых затрат à переход на лизинг или оплату в рассрочку à обращение в компании по ИТ/ИБ-финансированию

§ Выгоды: CapEx переходит в OpEx Ускоренная амортизация (коэффициент – 3) Снижение налога на прибыль и имущество Не снижает Net Income, EBITDA Нет проблем списания оборудования Отсрочка платежа Фиксированная ставка в рублях Положительное влияние на финансовые показатели


Рост продуктивности сотрудников

§ Рост продуктивности à снижение времени, потраченного на дорогу à перевод сотрудников на дом à решение по защищенному удаленному доступу

§ Рост продуктивности – от 10% до 40%

§ Дополнительно: Увеличение рабочего времени Экономия на аренде площадей Экономия на питании сотрудников Экономия на оплате проездных (если применимо) Экономия на оплате канцтоваров Улучшение психологического климата за счет работы дома


Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям

Аэропорт

WAN/Internet

SiSi

SiSi

Отель

Предприятие

Дорога Кафе

Главный офис HQ

Филиал Дом

§  Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)

§  Сотрудник в среднем тратит только 30–40% времени в офисе

100 сотрудников



Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К

Рост продуктивности


Уменьшение числа командировок

§ Уменьшение числа командировок à внедрение видеоконференцсвязи/унифицированных коммуникаций/TelePresence à решение по защищенному удаленному доступу и защите унифицированных коммуникаций

§ Экономия на: Командировочных затратах ($300-400 на авиабилет + $100 на гостиницу в сутки)


Рост продуктивности сотрудников

§ Чтение электронной почты à отвлечение на незапрошенную корреспонденцию à антиспам-решение

§ Экономия на: Интернет-трафике Времени чтения почты Последствия вирусных эпидемий

§ Особенности Экономия на времени чтения почты имеет значение для предприятий с большим числом сотрудников


Сокращение затрат на Интернет

§  Контроль действий сотрудников в Интернет à блокирование загрузок постороннего ПО, музыки, видео и контроль посторонних сайтов à решение по контролю URL

§ Экономия на: Интернет-трафике

§ Дополнительно Рост продуктивности (может быть) Защита от вирусов и троянцев в загружаемом трафике


Другие примеры

§ Снижение рисков путешествий (и затрат на них) для сотрудников à внедрение унифицрованных коммуникаций и Telepresence à защита коммуникаций (технологии VPN, AAA и т.п.)

§ Снижение издержек на ИТ à аутсорсинг à защита и разграничение удаленного доступа (технологии VPN, AAA, МСЭ и т.п., а также проработка юридических и организационных моментов, связанных с ИБ)

§ Снижение издержек на внутренний Helpdesk à внедрение системы автоматического управления паролями пользователей (технология AAA)


И еще примеры бизнес-целей, которые можно декомпозировать

§ Бизнес инвестирует в проекты, приносящие отдачу Отдача не обязательно носит денежный характер

Критерии

•  Бизнес-ориентированный •  Связанный с приоритетами/целями компании

•  Измеримый в метриках, понятных бизнесу •  Приносящий ценность или отдачу

(желательно финансовую) •  Оптимальный (цель не любыми средствами)

•  Выполненный в срок •  Не нарушающий законодательство

Примеры

•  Снижение TCO •  Защита взаимоотношений •  Рост доверия •  Соответствие требованиям •  Ускорение выхода на рынок •  Географическая экспансия •  Снижение бизнес-рисков •  Снижение текучки клиентов/партнеров •  Рост лояльности клиентов/сотрудников •  Оптимизация процессов •  Интероперабельность и интеграция •  Стандартизация •  Рост качества •  Оптимизация затрат (на внедрение, эксплуатацию, поддержку и т.п.)

•  Повторное использование •  Масштабируемость


Связь ИТ и бизнес-задач по COBIT


Функции и процессы любой компании

Основная деятельность (выпуск продукта,

предоставление услуг)

Улучшение основной деятельности

(оптимизация издержек)

Совершенствование предыдущей категории

(управление качеством)


Всегда ли ИБ измерима деньгами?!

§ ИБ не относится к первой категории функций предприятия Финансовые метрики сложно применять в этом случае, т.к. ИБ напрямую не генерит бизнес

§ ИБ чаще всего относится ко второй категории функций Возможность использования финансовых метрик зависят от оцениваемого процесса Некоторые проекты ИБ могут помочь оптимизировать издержки

§ Управление ИБ – это всегда третья категория функций Финансовых метрик может вообще не быть Исключение может составлять экономия на персонале за счет более эффективного управления


Нет, не всегда!

§  Классические финансовые метрики определяют балансовую стоимость предприятия, его доходы и расходы

§ Рыночная стоимость, капитализация определяются в т.ч. и нефинансовыми показателями Уровень корпоративного управления Наличие бренда Прозрачность Эффективность управления И т.д.

§ Не зря появляется такое понятие, как система сбалансированных показателей (Balanced scorecard, BSC)


Security balanced scorecard

Заказчик Финансы

Внутренние процессы Обучение и рост

Базовая BSC

Заказчик

Ценность для бизнеса

Операционная эффективность

Будущее

Compliance


Но вернемся к оценке отдачи в ИБ

§ Мало оценить расходы на продукт/проект ИБ

§ Необходимо оценить получаемые выгоды

§ Нужна положительная разница между выгодой и расходами


О каких выгодах можно говорить?

§ Получение новых доходов

§ Снижение расходов/потерь

§ Снижение времени

§ Снижение (высвобождение) числа людей

§ Не во всех компаниях это выгоды! Поймите, что считается выгодой именно у вас


Высвобождение времени администратора – это выгода или нет?

§ Выгоды у всех разные! Универсального списка нет!


Всегда ли вредно посещать порно-сайты: пример из жизни!

§ Напоминание: Важно учитывать потребности бизнеса!


Выгода может означать скрытые потери!

§ Задача: оценить эффективность системы контроля доступа

§ Данный пример показывает оценку отдачи ДО!

Видимая оценка

•  1,5 часа в день на «одноклассниках»

•  200 сотрудников •  6600 часов экономии –

825 чел/дней •  $18750 в месяц (при зарплате $500)

•  $225000 в год экономии

Скрытая оценка

•  Блокирование доступа не значит, что сотрудники будут работать

•  Работа «от» и «до» и не больше

•  Ухудшение псих.климата •  Потери $150000 в год


Не всегда возможно оценить отдачу заранее!

Оценка ДО

Оценка ПОСЛЕ


Как оценить DLP-решение?

§ Пока инцидент не произошел оценить его сложно!

§ Цена на инцидент стоимость расследования инцидента стоимость восстановления после инцидента стоимость PR/общения с прессой затраты на юридические издержки (опционально) затраты на нарушение соответствия (опционально) стоимость досудебного урегулирования (опционально)


Почему мы не привязываемся к стоимости защищаемой информации?

Она имеет ценность

Имеет ценность для вас

Снижает неопределенность при принятии решений

Влияет на поведение людей, приводящее к экономическим

последствиям

Нематериальный актив (собственная стоимость)

Не имеет ценности для вас, но имеет для кого-то еще

Если ей воспользуются другие, то вы понесете убытки или проиграете в конкурентной

борьбе

Ее защита требуется государством / регулятором

Она не имеет ценности, но ее принято защищать


Как оценить стоимость информации?

§ Информация стоит денег сама по себе Самый простой метод Множество стандартов оценки нематериальных активов

§ Информация позволяет улучшить что-то Стоимость информации равна разнице между стоимостью «до» и «после»

§ Информация позволяет принимать решения Самый сложный сценарий оценки стоимости Методы AIE, iValue и другие


Как оценить DLP-решение?

§ Цена на запись стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) стоимость реагирования пострадавших, например, звонки в Help Desk (опционально) стоимость защитных мер у заказчиков, например, регулярные уведомления, системы борьбы с мошенничеством, средства ИБ (опционально)

§ Дополнительные метрики Отток клиентов (в течении 1, 3, 6, 12, n месяцев) Удар по курсовой стоимости акций (в течении 1, 3, 6, 12, n месяцев) Удар по доходам (в течении 1, 3, 6, 12, n дней или недель - в месяцах измерять нет смысла - рынок все забывает)


А может посчитать отдачу, привязав к курсу акций?


Не всегда связь очевидна


Есть ли связь между ИБ и стоимостью акций?

§ Существующие исследования Гордон, Лёб и Жу - 2003 год - падение в среднем на 2% Кавузоглы, Мишра и Рагхунатан - 2004 год - падение в среднем на 2.1% Хова и Д'Арси - 2003 год - связи не обнаружено Каннан, Рис и Сридхар - 2004 год - падение на 0,73%. Теланг и Ваттал – 2011 год - падение на 0.6% Experian Data Breach Resolution – 2011 год – падение стоимости бренда на 12%

§ При этом влияние на курс акций имеет место быть только в первый день опубликования Во второй и последующие дни серьезного влияния на стоимость акций безопасность уже не оказывает


У любого продукта/проекта множество измерений

§ Даже самый продукт ИБ обычно решает сразу несколько задач

§ Выявить эти задачи (провести декомпозицию) важнейший шаг при оценке отдачи в ИБ

§ У стоимости информации тоже есть разные измерения


Одно и тоже можно измерить по-разному (проект по IdM)

§  Число сброшенных паролей в месяц Сброшенных после блокирования учетной записи, например. Или после забытого пароля и использования системы генерации паролей самими пользователями

§  Среднее число учетных записей на пользователя Средним показателем считается 10-12. В любом случае это число демонстрирует необходимость внедрения SSO

§  Число учетных записей «без пользователей» Пользователей переводя на новую работу, повышают, увольняют... А что с их учетными записями?..

§  Число новых учетных записей Насколько оно отличается от числа новых сотрудников за тот же период времени?

§  Среднее время на предоставление доступа новой учетной записи к ресурсам, необходимым для работы


Одно и тоже можно измерить по-разному (проект по IdM)

§  Среднее время на утверждение изменений в учетной записи и ее правах доступа

§  Число систем или привилегированных учетных записей без владельца

§  Число исключений при установлении правил доступа Обычно при создании новых ролей или внедрении новых приложений число таких исключений велико, но постепенно оно должно стремиться к нулю. Если нет, то есть серьезная проблема с качеством идентификационных параметров учетной записи.

§  Число нарушений разделения полномочий Например, есть ли у вас в системе пользователи одновременно с правами разработчика и внедренца системы? Или с правами операциониста и контроллера?


Другой пример: средство аудита сети

§  Решение по управлению изменениями Обнаружение изменений на сети в реальном режиме времени Предварительная проверка изменений перед их внедрением на сети Контроль за выполнением корпоративных правил и политик

§  Аудит и анализ соответствия политиками компании Внедрение политик и правил на сети Автоматическая генерация отчетов по соответствию международным рекомендациям (SOX, VISA CISP, HIPAA, GLBA, ITIL, CobiT, COSO)

§  Согласование изменений Настройка правил согласования Возможность настройки сложных правил

§  Отчетность


Решаемые задачи с точки зрения разных целевых аудиторий

•  Управление политиками безопасности •  Контроль изменений на сетевом оборудовании с точки зрения ИБ

•  Аудит безопасности средств защиты и сетевого оборудования

•  Проверка соответствия требованиям ИБ-стандартов

ИБ

•  Управление изменениями на сетевом оборудовании

•  Распределение конфигов для удаленного оборудования

•  Контроль версий ОС на сетевом оборудовании •  Проверка соответствия требованиям ИТ-стандартов (ITIL, COBIT и т.п.)

ИТ



• Автоматизация управления политиками безопасности • Снижение затрат на разработку, распределение и контроль политик безопасности

• Контроль действий аутсорсера ИБ/ИТ

Управление предприятием

• Снижение затрат на управление средствами защиты и сетевым оборудованием

• Снижение TCO, CapEx и OpEx

Финансы / Бухгалтерия

• Снижение операционных рисков

Внутренний контроль или управление рисками



•  Выполнение требований стандарта Банка России СТО БР ИББС (для финансовых организаций)

•  Выполнение требований PCI DSS •  Выполнение требований ФСТЭК •  Контроль соответствия требованиям различных нормативных актов (COBIT, ITIL и т.п.)

Юридическая служба


Как оценить средство аудита сети с точки зрения ИТ/ИБ?

§  Число авторизованных изменений в неделю

§  Число актуальных изменений, сделанных за неделю

§  Число несанкционированных изменений, сделанных в обход утвержденного процесса внесений изменений (в среднем - 30-50%; у лидеров - менее 1% от общего числа изменений)

§  Показатель (коэффициент) неудачных изменений, вычисляемый как отношение несанкционированных изменений к актуальным

§  Число срочных изменений

§  Процент времени, затрачиваемого на незапланированную работу (в среднем - 35-45%; у лидеров - менее 5% от общего числа изменений)

§  Число необъяснимых изменений (вообще, это основной индикатор уровня проблем в данной сфере)


А как оценить отдачу?

§ Основная выгода – экономия времени! Время – деньги!

Ручной аудит

•  MTTR из-за ошибки конфигурации: 150 минут

•  Простои & инциденты из-за ошибок в «ручных» конфигурациях: 80%

•  Среднее время обнаружения уязвимости: 2 недель

•  Настройка нового устройства: 6 часов

•  Изменений в час: 20

Автоматизированный аудит

•  MTTR из-за ошибки конфигурации: 15 минут (10х)

•  Простои & инциденты из-за ошибок в «ручных» конфигурациях: 20%

•  Среднее время обнаружения уязвимости: Менее 2 минут (10080х)

•  Настройка нового устройства: 20 минут (18х)

•  Изменений в час: 5,000


Проект по ПДн: запускать или нет? Вот в чем вопрос!

Что получаем?

Что тратим?

Консалтинг

Реализация

Поддержка

Законопослушные

Защита от штрафов


Стоимость 1-го этапа проекта по ПДн

Интегратор 1 Интегратор 2 Интегратор 3 Интегратор 4 $55600 $30390 $123438 $31000

§ Особенности Сбор информации о ПДн – около $5K (min – 1.5K, max – 11K) Категорирование ПДн – min – 0.5K, max – 5K Сбор информации о защите – около $6K (min – 2K) Классификация ИСПДн – min – 0.5K, max – 9K Разработка модели угроз – min – 0.5K, max – 23K Разработка ТЗ - min – 1K, max – 9K Техпроект СЗПДн – min – 25K, max – 50K Подготовка к лицензированию – 3К Сопровождение в процессе лицензирования – 14К


Стоимость 2-го этапа (худший сценарий)

§ Аттестация одного АРМ – 10-15К рублей

§ Стоимость сертифицированной СЗИ – +10-15% к стоимости несертифицированного решения

§ Обучение с выдачей документа гособразца – 50К рублей (за двоих)

§ Адекватная защита АРМ – около 200-400 долларов

§ Защита периметра – 5-10К долларов Очень экономно и оптимистично

§ Защита сервера – около 800-1000 долларов


Редкооцениваемые затраты

§ Получение согласий от всех субъектов ПДн

§ Переделка договоров, форм анкет, форм на сайте

§ Уведомление субъектов ПДн о фактах обработки их ПДн

§ Уведомление субъектов ПДн об устранении нарушений, связанных с их ПДн

§ Затраты на управление инцидентами, связанными с утечками ПДн Готовится законопроект об обязательном уведомлении об утечках


От чего защищаемся?

№ Название статьи Максимальное наказание

13.11 Нарушение установленного законом порядка сбора, хранения, использования или распространения информации о гражданах (персональных данных)

10.000 руб.

13.14 Разглашение информации с ограниченным доступом

5.000 руб.

13.12 Нарушение правил защиты информации 20.000 руб. + конфискация + приостановление деятельности на срок до 90 суток

13.13 Незаконная деятельность в области защиты информации

20.000 руб. + конфискация




5.27 Нарушение законодательства о труде и об охране труда

50.000 руб. + приостановление деятельности на срок до 90 суток + дисквалификация должностного лица до 3-х лет

5.39 Отказ в предоставлении гражданину информации

1.000 руб.

19.4 Неповиновение законному распоряжению должностного лица органа, осуществляющего государственный надзор (контроль)

10.000 руб.




19.6 Непринятие мер по устранению причин и условий, способствовавших совершению административного правонарушения

500 руб.

19.5 Невыполнение в срок законного предписания (постановления, представления, решения) органа (должностного лица), осуществляющего государственный надзор (контроль)

500.000 руб. + дисквалификация должностного лица до 3-х лет

19.7 Непредставление сведений (информации) 5.000 руб. 19.20 Осуществление деятельности, не связанной

с извлечением прибыли, без специального разрешения (лицензии)

20.000 руб. + приостановление деятельности на срок до 90 суток




20.25 Неуплата административного штрафа либо самовольное оставление места отбывания административного ареста

Двукратное увеличение штрафа

§ Уголовное и дисциплинарное наказание не применяется А если да, то не к компании, а к ее работникам

§ На репутацию эти штрафы и утечки влияют слабо

§ Вопрос влияния инцидентов с ПДн на лояльность клиентов в России не изучен Но вероятность влияния не высока


Число протоколов также растет


Суммы штрафов пока незначительны


Но это не все – надо учитывать и будущие изменения

10.000 руб.

1.000.000 руб.

2% от дохода

Выручка за год

300.000 руб.

§ Новые составы правонарушений

§ Увеличение суммы штрафа

§  Кумулятивное наказание

§ Бесконтрольное проведение проверок


Не забывайте: не ЧТО, а ЗАЧЕМ!


Пример: повышение осведомленности

§ Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в должностные обязанности темы ИБ

§ Метрики Сколько пользователей знают, что в компании существует политика безопасности? А сколько ее читало? А сколько ее понимает (измеряется с помощью обычных опросов)? Сколько инцидентов ИБ связано с человеческим фактором? Сколько сотрудников сообщают в службу ИБ об инцидентах ИБ (при их организации со стороны самой службы ИБ - аудит, тесты на проникновение, спланированный социальный инжиниринг и т.п.)? Сколько пользователей поддалось на попытки спланированной службой ИБ социального инжиниринга?



§ Метрики Сколько пользователей имеют слабые пароли (определяется путем применения систем подбора паролей)? Сколько систем не выполняют требования политики безопасности (позволяет идентифицировать администраторов, которые не выполняют возложенные на них обязанности)? Сколько пользователей открывают письмо от незнакомца? Сколько пользователей знают, куда обращаться в случае инцидента? Сколько пользователей знают процедуру своих действий при реагировании на инциденты? Эти же метрики могут помочь оценить и процесс управления инцидентами (среди других метрик).



§ Метрики Сколько прошло времени с последнего тренинга/онлайн-курса, который посетил сотрудник. Эта метрика скорее оценивает саму службу ИБ, ответственную за регулярные процедуры повышения осведомленности. Сколько сотрудников было уволено или получило выговоры за нарушение политики безопасности? В российских компаниях этот показатель равен, как правило, нулю. Но это не значит, что все идеально. Скорее, ситуация обратная - никаких наказаний за нарушения политики ИБ просто не предусмотрено или все плюют на них, а влияния на их применение у службы ИБ не хватает. Сюда же можно отнести и число внешних исков со стороны пострадавших клиентов. Но в России это пока тоже из области фантастики.



§ Цель – ежегодное прохождение сотрудниками тренинга по ИБ и включение в должностные обязанности темы ИБ Это ответ на вопрос: «ЧТО мы хотим сделать?», но не «ЗАЧЕМ мы хотим это сделать?»

§ ЗАЧЕМ необходимо ежегодное прохождение сотрудниками тренинга по ИБ? Чтобы было меньше инцидентов? è Считайте отдачу за счет снижения ущерба от инцидентов! Чтобы выполнить требования регуляторов? è Считайте штрафы от невыполнения требований!


А может привязаться к размеру потерь? Да!

Продуктивность •  Простои •  Ухудшение психологического климата

Реагирование •  Расследование инцидента •  PR-активность •  Служба поддержки

Замена •  Замена оборудования •  Повторный ввод информации

Штрафы •  Судебные издержки, досудебное урегулирование •  Приостановление деятельности

Конкуренты •  Ноу-хау, государственная, коммерческая тайна •  Отток клиентов, обгон со стороны конкурента

Репутация •  Гудвил •  Снижение капитализации, курса акций

Другое •  Снижение рейтинга •  Снижение рентабельности


Не забываем про декомпозицию! Цена взлома медицинской системы

Пример США! В РФ часть потерь будет отсутствовать или незначительна


Все ли так просто или есть подводные камни?

§ Универсального метода финансовой оценки ИБ не существует Возможность применения различных финансовых методик зависит от знаний и опыта как стороны демонстрирующей оценку (служба ИБ), так и стороны, которой демонстрируют


Оцениваете не только вы, но и вас!

§ Финансовая оценка ИБ нужна только в том случае, если бизнес вообще готов разговаривать в этом разрезе Учитывая скепсис к финансовой оценке эффективности ИТ/ИБ, это происходит не всегда

§ Многие руководители (не только службы ИБ) считают, что оценить ИБ финансово невозможно Но можно оценить стоимость защищаемой информации, ущерб от инцидентов, эффективность проекта по IT Security

§ В таких случаях оценка финансовой отдачи от продуктов/проектов ИБ – просто интересная задача, не имеющая ничего общего с реальностью конкретной организации


Если вас готовы слушать, то готовы ли вы говорить на языке денег?

§ Это возможно, но только при условии выхода на бизнес-уровень, где вы можете посчитать отдачу!

§ Если бизнес готов разговаривать, то его обычно интересуют некие граничные цифры, после превышения которых бизнес готов обращать на безопасность хоть какое-то внимание При этом бизнес должен быть согласен с оценкой, т.к. его больше интересует реальность, а не математическая точность


Безопасники не всегда готовы L

§ Все финансовые методы (традиционные и «новые») требуют для расчета исходные данные, обычно отсутствующие у служб информационной безопасности Нет, потому что мы не знаем, где их взять Нет, потому что не дают Нет, потому что у нас нет квалификации для измерений Нет, потому что мы не верим в эффективность этих методов Нет, потому что мы боимся соваться в финансы Нет, потому что нет гарантии, что нам поверят Нет, потому что нам не верят Нет, потому что мы забыли математику Нет, потому что нет


Стоимость женских духов и экономика ИБ: что общего?

§  Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен – цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они – условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше


Зарубежные ROI Calculator

© 2005 Cisco Systems, Inc. All rights reserved.


Если вы готовы, то

§ Помните про конкретные цели ИБ

§ Помните про вопрос «ЗАЧЕМ?», а не только «ЧТО?»

§ Помните про декомпозицию Целей, выгод и потерь

§ Помните про целевую аудиторию, которой вы будете демонстрировать отдачу

§ Примените универсальный способ оценки отдачи Несмотря на то, что его все равно не существует J


Универсальный метод

• Описание условий реализации инициативы (внутренней и внешней среды) Где

• Описание самой инициативы Что • Оценка операционных и экономических эффектов от нормальной реализации инициативы Для чего

• Цепочка объясняющих причинно-следственных связей между инициативой и ожидаемыми эффектами Почему

• Алгоритм действий по выявлению и оценке ожидаемых эффектов, который предполагается тем или иным методом Как

• Ключевые участники инициативы и распределение между ними ответственности за получением ожидаемых эффектов Кто


Оценка отдачи может потребовать знания математики и финансов

§ Линейный и регрессионный анализ § Метод Монте-Карло § Теория игр (дилемма заключенного)

Когда злоумышленник сменит цель X на цель Y? Пример: почему MacOS атакуют меньше чем Windows Чтобы злоумышленники заинтересовались MacOS и стали заниматься монетизацией вредоносного ПО для нее, ее популярность должна превысить порог в 12-16% (он был превышен в 2010-м году). Поэтому сейчас мы видим такой рост интереса к вредоносному ПО для MacOS

Защита А Защита Б Атака А (1- - p)fv fv Атака Б (1 – f)v (1 – p)(1 – f)v


Классические финансовые модели лежат в основе всех сложных методов

§ Net Present Value (NPV) Какова ценность вкладываемых финансовых ресурсов для проекта при определенной ставке дисконтирования?

§  Internal Rate of Return (IRR) Какова ставка дисконтирования, при которой проект еще имеет смысл?

§ Return on Investment (ROI) Что мы потеряем и что получим от внедрения проекта?

§ Playback Period (PbP) Когда вернутся инвестиции?


«Новые» финансовые методы

§  «Инвестиционные» Total Value of Opportunity (TVO)

Total Economic Impact (TEI) Rapid Economic Justification (REJ)

§  «Затратные» Economic Value Added (EVA) Economic Value Sourced (EVS)

Total Cost of Ownership (TCO)

Annual Lost Expectancy (ALE)

§  «Контекстуальные» Balanced Scorecard Customer Index Information Economics (IE) IT Scorecard

§  «Количественные вероятностные»

Real Options Valuation iValue Applied Information Economics (AIE)

COCOMO II and Security Extensions


Только один пример: TEI от Forrester

§ Закрытая методика, разработанная компанией Giga Group, купленной Forrester Требует участия экспертов Forrester

§ Оценивает эффективность по трем критериям Гибкость Стоимость Преимущества

§ Использует другие методики (ROV, ROI и т.п.)


Описание метода TEI

§ TEI, базирующийся на экспертной оценке, делит эффекты на краткосрочные прямые и долгосрочные непрямые

§  Краткосрочные TCO Прямой эффект от использования бизнесом

§ Непрямые Через дополнительные возможности, которые открываются у бизнеса в связи с использованием данного ИБ-решения


Алгоритм метода

§ Описание инициативы Ориентированы на «среднее» по отрасли предприятие

§ Определение горизонта оценки Включая ставку дисконтирования риска

§ Оценка TCO

§ Оценка краткосрочного эффекта

§ Оценка будущих возможных эффектов

§ Оценка рисков реализации инициативы


TEI of Cisco Borderless Networks Study

§  Базируется на методологии Forrester Total Economic Impact (TEI)

§  Интервью 13 заказчиков §  Опубликованное исследование ROI базируется на организации в США с 5,000 сотрудниками

§  Трехлетний расчет преимуществ и затрат


TEI of Cisco ISE и Secure DC


BN Business Benefits Calculator 1.0

§  Разработан Forrester Research

§  Базируется на методологии Forrester Total Economic Impact (TEI)

§  Данные базируются на: Интервью с заказчиками Отчетами заказчиков Исследованиями аналитиков

§  Аудитория IT Director/Sr. Managers Business Decision Makers


Applied Information Economics

§ Applied Information Economics от Hubbard Decision Research Опирается на множество дисциплин (экономика, поведенческая психология, теория принятия решений, теория игр, анализ рисков и т.п.) Опирается на понятие неопределенности возврата инвестиций и позволяет спрогнозировать различные сценарии инвестирования Базируется на методе Монте-Карло


Метод Монте-Карло

§ Метод Монте-Карло появился в конце 1940-х годов для задач, в которых необходимо было оценивать вероятность успешного исхода того или иного события, не комбинаторикой, а просто большим (или очень большим) количеством экспериментов, которые и позволяют, подсчитав удачное число исходов опытов, оценить вероятность успеха

§ Метод Монте-Карло не дает вам 100%-ую точность Есть ряд задач, и оценка позитивного ROI относится к ним, когда их сложность, т.е. число измерений, которые надо осуществить, чтобы получить точный ответ, может расти экспоненциально В таких случаях можно пожертвовать точностью и найти менее точный ответ, но все равно дающий точность выше 50%



§ В AIE, как и в других методах, используется понятие выгод и затрат от проекта по ИБ Точных цифр мы не знаем и можем только гадать о том, что скрывается за этими неопределенными переменными Поэтому мы подставляем под эти переменные интервалы возможных значений и моделируем сотни или тысячи возможных сценариев

§ Результатом станет набор различных сценариев с различными результатами от реализации оцениваемого проекта



§ Например, может оказаться так, что В 15% случаев проект будет убыточен В 54% - доходен В 1.6% вообще может привести к краху предприятия (под крахом подразумевается убыток в сумме равной обороту всего предприятия)

§ Дальше остается только принимать решение, но принимать уже основываясь на математически выверенных результатах, а не на экспертной оценке


Иногда, чем проще, тем лучше: проект по Identity Management

§ Задача: оценить отдачу от проекта по внедрению единой системы управления идентификаций, аутентификацией и авторизацией С точки зрения ИБ и обычные пароли эффективны

§ Вспоминаем про декомпозицию Создание ID, вход в приложения, неудачные входы, звонки в Help Desk, обслуживание пользователей…

§ Исходные данные: Число пользователей – 120000 Ежегодная ротация кадров – 15% Среднее число ID/паролей – 5 Число рабочих часов в день – 8 Число рабочих дней в год - 260


Первая фаза расчета – установка ID

§ Ежегодное число новых пользователей – 18000 (120000*15%)

§ Необходимо поддерживать 90000 новых ID/паролей (5*18000)

§ Создание нового ID/пароля – в среднем 120 секунд (анализ заявки, создание и настройка учетной записи)

§ Всего на администрирование новых пользователей уходит 3000 часов (~2 человека при полной нагрузке)


Вторая фаза расчета – рутина

§ В среднем 20 входов в систему/приложения ежедневно (из-за истекшего таймаута, смены приложения и т.д.)

§ Среднее время регистрации – 15 секунд

§ Ежедневно тратится 10000 ресурсо-часов на регистрацию

§ Ежегодно тратится 2200000 ресурсо-часов на регистрацию в разные системы и приложения


Третья фаза расчета – проблемы

§ В среднем 1% всех попыток регистрации заканчивается неудачно

§ Повторная регистрация разрешается через 60 секунд

§ Общее время на повторную регистрацию в год составляет 88000 часов


Четвертая фаза расчета – поддержка

§ В среднем после 3-х неудачных попыток входа в систему учетная запись блокируется

§ После 2-х неудачных попыток входа рекомендуется позвонить в службу поддержки

§  2400 звонков ежедневно в службу поддержки по факту 2-х неудачных попыток входа в систему

§ SLA = 4 часа на обработку одного инцидента §  18000 пользователей ждут максимум по 4 часа –

72000 часа потери времени (продуктивности) §  2400 звонка максимум по 4 часа – 9600 часов в день или 2112000 ресурсо-часов в год


Итого

§ Время затраченное на администрирование новых ID/паролей, ежедневную регистрацию и повторные ввод ID/пароля составляет 2291000 часов в год… что составляет 1% всего рабочего времени компании

§ Еще 2184000 ресурсо-часов в год на поддержку неудачных попыток входа… что также больше 1% всего рабочего времени компании

§ Итого – 4475000 ресурсо-часов или больше 2% всего рабочего времени компании в год - только на одну задачу – управление Identity Умножьте это на свои доходы!


General Motors: реальный пример

§ Предоставление доступа в среднем через 7 дней после заявки

§ Синхронизация паролей и ID в разных системах – 3 дня

§  50% запросов требует контактов с пользователем

§  «Разруливание» проблем с доступом – 10 дней

§  Конфликт между ID может приводить к задержкам в работе до 90 дней


General Motors: реальный пример

§ Обработка 6600 проблем с доступом – потеря продуктивности – 3,000,000 долларов

§ Восстановление доступа для 56000 учетных записей – потеря продуктивности – 18,200,000 долларов

§  2500 сотрудников (учетных записей) уволено – затраты на удаление – 162,500 долларов

§ Прямой ущерб – 1,200,000 долларов


Другие примеры

§ Нередко бывает необходимо сравнить два и более средств защиты оценить эффективность конкретного средства защиты

§ Поэтому очень часто необходимо оценивать конкретные продукты Абстрактная оценка не срабатывает При расчете эффективности с участием конкретного продукта необходимо учитывать TCO, а не только стоимость лицензии

§ При финансовой оценке всегда необходимы исходные данные, которые находятся за пределами службы ИБ


Удаленный защищенный доступ Снижение арендной ставки

§ Решение Cisco Virtual Office (CVO) à перевод сотрудников на дом à уменьшение арендуемых площадей à снижение арендной платы

Офис (класс А) Стоимость м2 в год* Итого**

Башня Федерация 850$ 1700$ Александр Хаус 800€ 1600€ 8 марта, 14 570$ 1140$ Daev Plaza 1300$ 2600$ GreenWood 290$ 580$

* + стоимость стоянки $150-250 в месяц ** Из расчета 2 м2 на сотрудника

Элемент CVO Цена

Cisco 861 449$ IP Phone 7911G* 225$ Cisco Security Manager**

300$

* Опционально ** В пересчете на одно место

*** Дополнительно требуется ACS и HeadEnd VPN для HQ

Без оценки вопросов compliance и применения сертифицированных СКЗИ


Удаленный защищенный доступ Дополнительные выгоды

§ Дополнительная экономия на: Питании сотрудников Оплате проездных (если применимо) Оплате канцтоваров Оплате коммунальных расходов

§ А также Улучшение психологического климата за счет работы дома Рост продуктивности на 10-40%


Вчера: Люди “шли” на работу Сегодня: Работа “идет” к людям

Аэропорт

WAN/Internet

SiSi

SiSi

Отель

Предприятие

Дорога Кафе

Главный офис HQ

Филиал Дом

Рост продуктивности

§  Многие компании фокусируются на предоставлении сервиса на своей территории (зарплата, билеты, документооборот…)

§  Сотрудник в среднем тратит только 30–40% времени в офисе




Зарплата ($25K в год) $2,5 млн. $12,5 млн. $25 млн. 1 час потери продуктивности $1,200 $6,000 $12,000 Потери в год от 1 часа в неделю $62,5K $312,5К $625К


Рост продуктивности Откуда берется 1 час потери продуктивности?

§ Рабочий день мужчины в России – 8 часов 14 минут Переработка на 14 минут

§ Рабочий день мужчины в Москве – 5 часов 33 минуты Потери 2,5 часов ежедневно (!) – преимущественно пробки

§ Рабочий день женщины в России – 5 часов 44 минуты Потери 2 часов 16 минут ежедневно

§ Рабочий день женщины в Москве – 5 часов 23 минуты Потери 2 часов 37 минут ежедневно

Источник: Росстат, 06.06.2011


Система контроля доступа Масштаб имеет значение

Статья экономии Человека/часов Цена*

Идентификация несоответствующих компьютеров

1.0 $12.00 Определение местоположения несоответствующих компьютеров

1.0 $12.00

Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер (в год) $48.00 Потенциально сэкономленный затраты на 1 компьютер (за 3 года) $144

* из расчета зарплаты ИТ-специалиста 2200 долларов в месяц (цифра может варьироваться от $1000 до $4000

Элемент решения Цена

Cisco ISE Appliance 3315 Server (100 users) / 3Y

$15490


$36490 (~2x)


$62990 (~2,5x)


Экономически целесообразен ли антиспам?

§  Исходные данные: Число сотрудников (почтовых ящиков) – 7000 Объем электронной корреспонденции – 70000 в сутки (10 сообщений на сотрудника) Объем спама – 60% (42000 сообщений) Время обработки одного спам-сообщения сотрудником – 10 сек Суммарные дневные затраты на спам – 14,583 человеко-дня Средняя зарплата сотрудника – $1500

§  Потери компании В день – $994,29 В месяц – $21784,5 В год – $248573,86

§  Выгоден ли антиспам в данной ситуации? Да, как и всегда в крупных организациях


Контроль доступа в Интернет

§ Оценка экономической эффективности проекта по контролю доступа в Интернет на базе Cisco Web Security

§ Исходные данные 1,5 часа в день на «одноклассниках» или в «вконтакте» 200 сотрудников 6600 часов экономии – 825 чел/дней

§ Потери $18750 в месяц (при зарплате $500)

§ Ежегодные потери $225000

§ Стоимость Cisco Web Security Appliance (S160) - $15060 ($27100 на 3 года) Включая Web Usage Control, Web Reputation, Anti-Malware


Мы посчитали отдачу: что дальше?

§ Демонстрация отдачи для бизнеса и ее использование – это разные вещи

§ Снижение арендной платы à уменьшение арендуемых площадей à перевод сотрудников на дом à решение по защищенному удаленному доступу

§ Экономия на: Аренда площадей Питание сотрудников Оплата проездных (если применимо) Оплата канцтоваров

§ Принятие решения о переводе принимает менеджмент Надо не только предлагать решение, но и продвигать его


Прямая и косвенная отдача

Статья экономии Человека/часов Цена*

Идентификация несоответствующих компьютеров 1.0 $12.00 Определение местоположения несоответствующих компьютеров

1.0 $12.00

Приведение в соответствие 2.0 $24.00 Потенциально сэкономленные затраты на 1 компьютер $48.00

§ ИБ дала возможность сэкономить, но… § …воспользовался ли бизнес этой возможностью?


Прогресс и изменения

§ Все жаждут прогресса, но никто не хочет изменений

§ Люди инертны Склонны верить тому, что узнали в самом начале (ВУЗе, первой работе и т.д.) Ленивы и не будут упорно трудиться ради изменений Людей устраивает средний результат. Это зона комфорта. Best Practices никому не нужны (как и мировые рекорды) Люди считают свои решения лучшими

§ Чтобы пересмотреть точку зрения, человека надо долго переубеждать или показать воочию

§ Изменения происходят не вдруг – имейте терпение


Отложенность возврата инвестиций – тоже проблема

§ В области ИБ никто не проводил таких исследований, а в области ИТ отмечается существенный временной лаг между инвестициями в ИТ и эффектами от них Лаг достигает 4-5 лет Лаг связан с длительностью изменений, связанных с адаптацией организации к новым ИТ и более полным использованием их возможностей Долгосрочные эффекты от инвестиций в ИТ намного, в 2,5-3 раза, превышают краткосрочные В ИБ, вероятнее всего, сохраняются (в лучшем случае) те же показатели


Новый взгляд на измерение отдачи в безопасность


Вопросы?

Дополнительные вопросы Вы можете задать по электронной почте [email protected] или по телефону: +7 495 961-1410

Оценка отдачи вложений в ИБ

Documents

security training

cisco systems

capex opex

pci dss cobit

telepresence vpn

helpdesk aaa

waninternet sisi sisi

visa cisp