Как посчитать прибыль от отдела ИБ
В прошлой статье мы знакомились с критериями оценки рентабельности работы ИБ-отдела. Теперь изучим, как лучше измерять эту рентабельность, и заодно рассмотрим варианты гармоничных вложений в ИБ: как добиться большего эффекта малыми силами.
Избавляемся от дорогостоящих иллюзий
Для начала вспомним три самых популярных заблуждения об инвестициях в кибербезопасность.
Первое: «Больше ИБ-продуктов — сильнее защищенность»
Еще вождь пролетариата говорил: «Лучше меньше, да лучше». Это означает, что покупка и установка дополнительных файрволов и очередного антивирусного ПО (на всякий пожарный случай) не гарантирует усиленную защиту от взломов. Зато гарантирует лишние затраты денег и времени. ИБ-отдел сначала устанавливает эти продукты, потом учится их правильно использовать и настраивать, а если не учится, есть риск неверной интерпретации оповещений от этих систем. Что, в свою очередь, увеличит число ложных срабатываний. В итоге на борьбу с реальными киберугрозами тратится меньше времени и усилий, затраты растут, а безопасность серьезно страдает.
Второе: «Крутая технология гарантирует окупаемость затрат на ИБ»
Да, если ваша ИБ- и ИТ-инфраструктура готова к ее внедрению и развертыванию. Об уровнях зрелости ИБ-инфраструктуры мы упоминали в предыдущей статье, но если коротко, то чем мощнее решение, тем более серьезной ИБ-экспертизой, базой знаний и статистикой собственных угроз и инцидентов должна обладать компания и тем более четкие запросы к процессам киберзащиты она должна иметь.
Третье: «Кибербезопасность — это распознавание угроз и защита от них, поэтому вкладываться нужно только в антивирусное железо и ПО»
Не только. У каждой угрозы есть жизненный цикл, который затрагивает неосведомленность персонала и небрежное отношение к сохранности и восстановлению данных компании, а это два кита грядущих убытков при успешной атаке.
Быстро избавиться от затратных иллюзий усиления киберзащиты, сохранить бюджет и отследить эффект от внедрения новых инструментов помогут три критерия:
• число предотвращенных ИБ-инцидентов;
• скорость предотвращения инцидента;
• потенциальный ущерб от каждого такого инцидента.
Понятно, что при успешном внедрении динамика первых двух критериев должна быть положительной. Третий фактор нужен для подтверждения эффективности работы отдела ИБ: скажем, если за квартал было предотвращено на 15% больше инцидентов и сделано это было на 40% быстрее, то удельный вес такой работы выше, если потенциальный ущерб от каждого инцидента составил 2 млн, а не 200 рублей. Это показывает, что специалисты действительно работают над проблемными зонами бизнеса, а не над защитой ради защиты.
Обосновываем расчеты
Теоретически расчет затрат на кибербезопасность прост: считаются капитальные, операционные (текущие) и затраты на персонал. Плюс у топ-менеджеров есть два варианта закрытия ИБ-потребностей – собственными силами и с помощью сервис-провайдера.
А вот фактически утверждению бюджета на ИБ, обоснованию затрат и подтверждению эффективности ИБ-отдела не всегда хватает доказательной статистики (и порой даже арифметики). Например, как правильно посчитать потенциальный ущерб от инцидента? Что это такое? Существует ли ROI на ИБ или это очередное жонглирование цифрами, особенно когда ландшафт угроз стремительно меняется? Попробуем внести ясность.
Более-менее точно определить ущерб от взлома можно, если вы представитель ИТ-, финансового или логистического сервиса, критической инфраструктуры, промышленности и торговли. Особенно если вы соблюдаете требования PCI DSS или подобные стандарты.
Вам известны:
• стоимость простоя ваших неработающих сервисов и оборудования;
• стоимость баз данных — ваших и клиентских;
• стоимость привлекаемых экспертов в случае успешной кибератаки;
• стоимость репутационных потерь;
• стоимость юридических расходов и государственных штрафов.
Для остальных отраслей можно брать отдельные из перечисленных критериев.
Упомянутые выше расчеты затрат и эффективности ИБ-отдела относятся к методу оценки ежегодных ожидаемых потерь от конкретных рисков и угроз (Annualised Loss Expectancy, ALE). Самый понятный вариант здесь – по упрощенной формуле CISSP-ISSMP: число ИБ-инцидентов за год умножаем на среднегодовую сумму ущерба от типичного инцидента для компании (ALE = число инцидентов в год × средние затраты на каждый инцидент).
По формуле, предложенной CISSP-ISSMP, считаем возврат инвестиций ROI для ИБ-инфраструктуры:
ROI = (ALE / Cost of Countermeasures) × 100%, где Cost of Countermeasures – затраты на предотвращение инцидентов в год, которые в основе складываются из:
- затрат на лицензии, устройства и сервисы;
- стоимости восстановления данных;
- затрат на стороннюю экспертизу;
- затрат на оплату труда персонала.
По-хорошему, в первый пункт нужно относить и капитальные затраты на ИБ, например равными долями.
Понятно, что такой метод расчета довольно приблизителен, но он дает первое представление о возможном уровне затрат и сбережений для ИБ. Для более глубокого понимания процессов разумно посчитать совокупную стоимость владения ИБ-инфраструктурой (ТСО) и проанализировать киберзащитные действия по типам, регулярности и частоте.
В любом случае даже такой поверхностный анализ позволит вам оценить как результаты своей работы, так и эффективность предлагаемого вендором киберзащитного решения или услуги.
Опубликовано 25.07.2018