Как измерить безопасность рублем?
Автор
Алексей Лукацкий
Возврат — когда, вложив 100 рублей, я получаю 150. А когда, вложив 200 рублей, я не теряю 50 — это не возврат. Это экономия.
Любители изучают криптографию.
Профессионалы изучают экономику.
Алан Шиффман, 2 июля 2004 г.
Тема измерения финансовой эффективности информационной безопасности появилась на повестке дня относительно недавно. Оно и понятно. Экономический кризис. Компании стали вновь считать деньги, а точнее оценивать возврат сделанных инвестиций.
Какие наиболее распространенные и опасные проявления кризиса отмечают многие фирмы и их подразделения? Во первых, заканчивается эпоха изобилия и финансовых ресурсов перестает хватать. Во-вторых, переход от эпохи изобилия к эпохе экономии сопровождается снижением операционных и капитальных затрат, а также переносом некоторых затрат на следующий финансовый год. В-третьих, идет замораживание долгоиграющих проектов или отказываются от проектов с неочевидной выгодой. В-четвертых финансируются только проекты с быстрой отдачей. И, наконец, происходит сокращение «непрофильного» персонала или сотрудников, отдача от которых отсутствует или неочевидна.
Что делать в условиях нестабильной экономической ситуации службам информационной безопасности и их руководителям? Не секрет, что безопасность является одним из первых кандидатов на замораживание или сокращение. Ведь исторически считалось, что безопасность — это всегда центр затрат и никакой отдачи от нее быть не может. Попробуем развенчать данный миф на некоторых примерах.
Начну с терминологии. На портале GlobalCIO я опубликовал заметку (http://www.globalcio.ru/experts/143/) о том, что такое «эффективность измерения информационной безопасности», разложив по полочкам понятия «эффективность» и «измерение». Поэтому я не стану повторять материал и буду считать, что читатель с ним ознакомился. Перейдем сразу к делу.
ROI: профанация или реальный помощник
Первое, что мне хотелось бы сказать, методика ROI (возврат на инвестиции) в области информационной безопасности — это не то чтобы профанация или шаманство, просто пока она не может быть применена за одним исключением. Почему я делаю такой вывод? Все просто. Буква R в аббревиатуре ROI означает «возврат». Возврат сделанных инвестиций, а не их экономию, как часто преподносят некоторые эксперты. Их логика проста. Если информационная безопасность предотвращает угрозы, то компании не наносится ущерб от их реализации. А временами средство защиты еще и сэкономить позволяет. Например, на затратах на устранение последствий инцидентов ИБ. А сэкономленные деньги многие считают заработанными. Я не буду упоминать о том, что в расчетах сэкономленных денег мы говорим о вероятностной картине угроз. Они могут произойти, а могут и нет. Поэтому говорить об экономии того, что не случилось, как-то странно. Но допустим, случилось и средство защиты действительно дало возможно сэкономить. Это возврат? Все-таки нет. Возврат — когда, вложив 100 рублей, я получаю 150. А когда, вложив 200 рублей, я не теряю 50 — это не возврат. Это экономия. Что тоже неплохо. Но все-таки это не ROI в его классическом понимании.
А что за исключение, которое я упомянул выше? Если посмотреть на любую компанию, то, согласно Дагу Энгельбарту, все ее функции и процессы можно разделить на три категории:
- основная деятельность предприятия, направленная на «зарабатывание денег». Например, выпуск продукта, предоставление услуг и т. д.;
- функции улучшения основной деятельности. Например, управление эффективностью поставок, оптимизация издержек и т. д.;
- функции совершенствования предыдущей категории. Например, рост продуктивности и менеджмент качества. Причем качество, не как соответствие неким формальным требованиям (руководящим документам или техническим условиям), а как ценность для потребителя. Если он этой ценности не видит, то, несмотря на разнообразные сертификаты, награды и т. п., он не оценит новый продукт, услугу или процесс.
Как ни прискорбно это отмечать, но в 99% случаев ИБ не относится к первой категории функций. Только в двух случаях безопасность напрямую приносит деньги. В первом — компания занимается разработкой средств защиты; во втором — предоставляет услуги по безопасности своим клиентам (это может быть как оператор связи, так и интегратор, являющиеся так называемыми поставщиками Managed Security Services). Может быть и третий вариант — инсорсинг и переход на сервисную модель для службы ИБ, пропагандируемую ITIL или COBIT. Однако число таких компаний не столь велико, и они не стали предметом рассмотрения этой статьи. Мы поговорим о компаниях, для которых безопасность не является статьей дохода. Для них ROI в области ИБ или ROSI (Returen on Security Investment) — это скорее из области фантастики.
Если не ROI, то что?
Можно рассмотреть новомодные методики оценки эффективности проектов по информационной безопасности — ROV, AIE, IE, TVO, TEI, REJ, EVA, EVS, CI и т. д. И это если не верхушка айсберга, то все равно не полный список. Правда, данные методики либо опираются на достаточно сложно применимые в области ИБ финансовые понятия IRR, NPV, PB, PbP, DCF, либо являются проприетарными и доступными только сотрудникам компаний-разработчиков — Microsoft, Gartner, Forrester и других. Я бы не хотел сейчас погружаться в основы финансового анализа. Моя задача — показать «простые» способы оценки финансовой эффективности проектов по информационной безопасности.
Итак, что мы можем оценивать? Средство защиты, проект по защите или даже всю службу информационной безопасности. Начну с самого простого — с оценки отдельного средства защиты. Финансовую эффективность чего мы будем или можем измерять? Если вспомнить введение о терминологии, то сначала стоит определиться с этим. Вы можете захотеть посчитать финансовую эффективность средства защиты самого по себе. Не совсем понятно зачем, но вполне вероятно. А может, вы хотите оценить финансовую эффективность проекта, для которого покупается или приобретено средство защиты? Скажем, проекта по защите от спама. А может, вы будете оценивать эффективность крупного проекта, в котором средство защиты лишь один из винтиков? К примеру, проект построения торговой интернет-площадки или проект внедрения SAP на предприятии. Очевидно, что в таком случае надо оценивать эффективность каждого элемента и, возможно, их синергетический эффект. И наконец, вы намерены оценить достижение с помощью средства защиты поставленной бизнес-цели. В частности, географической экспансии в новый регион. И чем выше мы поднимаемся, тем сложнее процесс оценки. Не потому что нет формул или это невозможно. Просто понадобится больше исходных данных и оценивать придется больше компонентов, не только средства защиты. А это, в свою очередь, требует от служб информационной безопасности несвойственного им желания взаимодействовать с другими бизнес-подразделениями.
Рис 1. Уровень измерения финансовой эффективности объекта оценки в области ИБ
Антиспам
Давайте перейдем к конкретным расчетам и посмотрим, как можно демонстрировать финансовую эффективность информационной безопасности. Возьмем для начала обычный антиспам. Что делает данный продукт?
Часто его позиционируют как средство повышения продуктивности работников компании. Иными словами, меньше спама — больше времени на работу. Возьмем следующие исходные данные:
- число сотрудников (почтовых ящиков) — 7000;
- объем электронной корреспонденции — 70000 в сутки (10 сообщений на сотрудника);
- объем спама — 60% (42000 сообщений);
- время обработки одного спам-сообщения сотрудником — 10 сек;
- суммарные дневные затраты на спам — 14,583 человеко-дня;
- средняя зарплата сотрудника — $1500.
Каковы потери компании? В день — $994,29; в месяц — $21784,5, а в год — $248573,86. Выгоден ли антиспам в такой компании? При указанных исходных данных и поставленной цели да, так как его стоимость всегда ниже названных $250 тысяч в год. А если учесть, что существующие на рынке решения часто предусматривают не только функцию антиспама, но и защиту от вредоносного кода, от утечек, от подмены почтовых сообщений — выгода становится еще больше.
На самом деле гораздо большая экономия достигается за счет снижение затрат на серверные мощности, которые в противном случае должны хранить весь спам (а в исходных данных я цифру еще и занизил — спам может достигать значения и в 90, и в 95%). Если же взять компанию небольшую, то окажется, что там антиспам с финансовой точки зрения неэффективен (там будут применяться иные методы оценки эффективности).
Контроль доступа и соответствие политикам ИБ
Возьмем другой пример. Проект по контролю доступа сотрудников в Интернет. Его ключевым элементом станет средство URL-фильтрации.
Исходные данные следующие:
- 1,5 часа в день на «Одноклассниках» или в «Вконтакте»;
- 200 сотрудников;
- 6600 часов экономии — 825 чел./дней;
- потери $18750 в месяц (при зарплате $500);
- ежегодные потери $225000.
Стоимость средства web-фильтрации составит $15600 на год или $27100 на 3 года. Выгодно приобретать такой продукт? При указанных исходных данных — вполне. Можно пойти и еще дальше и сравнить по цене решение по URL-фильтрации «on premise», облачный сервис и встроенную функциональность в межсетевой экран или маршрутизатор.
Посмотрим на более сложный пример. Надо оценить эффективность системы, которая занимается обнаружением и автоматическим приведением в соответствие с политиками ИТ и ИБ несоответствующих им компьютеров. Отсутствие патча, необновленный антивирус, отключенная система защиты, слабая парольная политика. Все это нетрудно автоматизировать. Но нужно ли? Может, лучше нанять парочку студентов, которые будут бегать по комнатам офиса и приводить всех в соответствие? Давайте считать. При зарплате в $2200 в месяц и временных затратах на идентификацию несоответствующего компьютера (1 час), определение местоположения (1 час), приведение в соответствие (2 часа) автоматизация этого процесса дает $48 экономии. Если взять, например, продукт с трехлетней лицензией на 500 пользователей, то его стоимость будет в 2 раза ниже затрат на «ручное» обнаружение и приведение в соответствие. В компании из 1000 ПК разница будет уже в 2,5 раза в пользу ИТ-решения. Но возьмите компанию на 100 компьютеров и стоимость средства будет сопоставима с ручными затратами — выгоды при данных условиях и задаче уже нет.
Удаленная работа
Еще более сложный пример. В условиях кризиса компания решила перевести часть сотрудников на работу из дома. Это комплексный проект, включающий и вопросы ИТ, и безопасности, и HR, и АХО и т. п. Давайте его оценим с финансовой точки зрения. Перевод сотрудников на дом высвобождает арендные площади (при норме в 2 кв. м на человека). При этом мы должны купить сотруднику маршрутизатор для доступа в Интернет. Дальше мы выдадим каждому сотруднику по IP-телефону, и нам еще понадобится система управления защитными функциями маршрутизатора (межсетевым экраном, системой предотвращения вторжений и т. д.). Стоимость такого проекта в пересчете на одного сотрудника составит около $1000 в год. Какова стоимость арендной платы? Если рассматривать Башню «Федерация» в Москве, то 2 кв. м будут стоить $1700 в год. В Daev Plaza уже $2600, а в GreenWood — всего $580. Иными словами, в зависимости от исходного местоположения офиса перевод сотрудников на удаленную работу из дома может как принести свой эффект, так и нет. И безопасность тут не является решающим фактором — скорее одним из элементов, который надо считать и учитывать.
Какие важные уроки можно извлечь из этих примеров? Первое: считать можно! Это, пожалуй, самое главное. Второе: относительность. Как-то я летел в командировку и в журнале «Аэрофлот. Style» прочел статью о том, почему в разных странах и регионах одни и те же духи стоят по-разному. В статье был такой тезис, с которым я не могу не согласиться: «Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен — цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они — условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше». Иными словами, то, что эффективно в США или Франции может быть неэффективным с финансовой точки зрения в России. То, что совсем неэффективно в Нижнем Новгороде, может быть очень и очень эффективным в Москве. А все потому, что цены, участвующие в расчете на одни и те же статьи затрат, разные. И вот тут мы приходим к третьему уроку. Очень важна декомпозиция. Мы должны уметь разбивать достигаемую продуктом, проектом, службой цель на подзадачи, которые измерить проще, а потом просто их суммировать.
Исходные данные
Четвертый урок — для финансовой оценки информационной безопасности нужны исходные данные, которые обычно отсутствуют у служб ИБ. И причин тому несколько:
- Нет, потому что мы не знаем, где эти исходные данные взять!
- Нет, потому что бизнес-подразделения нам эти исходные данные не дают!
- Нет, потому что мы не верим в эффективность расчета финансовой эффективности ИБ!
- Нет, потому что мы боимся соваться в финансовые методы измерений!
- Нет, потому что нет гарантии, что нам поверят те, кому мы будем презентовать наши расчеты!
- Нет, потому что мы забыли математику!
- Нет, потому что нет!
Не оценкой единой
Финансовая оценка ИБ-проекта очень важна. Без нее сегодня, особенно в условиях надвигающегося кризиса, никуда. Но одной оценки мало. Службы ИБ должна быть инициатором тех изменений, за которые ратует, и проводником на пути к получению описанных выгод. Без этого любая оценка так и останется оценкой на бумаге, не имеющей никакого практического толка. А это гораздо сложнее, чем вычислять NPV, ALE, IRR или ROI для проекта по информационной безопасности. Одно дело — посчитать на бумаге какие-то цифры, и совсем другое — добиться, чтобы эти цифры были продемонстрированы на практике (бюджет на проект не был превышен, а выгоды от проекта — не были занижены). В этом и заключается активная и лидерская роль современного руководителя службы ИБ.
Опубликовано 16.07.2013
