Считаем выгоды, а не вероятности: простой подход к обоснованию необходимости затрат на безопасность
С проблемами информационной безопасности сталкиваются практически все компании. Если верить отчету Cybersecurity Ventures, хакерские атаки происходят каждые 14 секунд, а ущерб от действий киберпреступников в мировом масштабе достигнет 6 триллионов долларов уже в следующем году. Но даже несмотря на то, что сегодня практически все руководители понимают необходимость защиты активов от информационных угроз, перераспределять бюджет в пользу ИБ никто не спешит. Но, когда инцидент все же происходит, деньги начинают выделяться очень быстро, причем в гораздо большем количестве, чем если бы это было планово.
Как обосновать бюджет на информационную безопасность?
У каждого руководителя есть свои бизнес-показатели и болевые точки, которые можно использовать при обосновании выделения средств на информационную безопасность: это и невыполнение бизнес-показателей (KPI), и ответственность за невыполнение требований ИБ, которая уже сегодня зачастую ложится на руководство в законодательном порядке, и др.
При этом демонстрацию рисков стоит проводить максимально прагматично. Например, главному бухгалтеру красноречиво пояснить, что Excel-файлы в папке его отдела могут быть нелегитимно модифицированы или просто удалены, а потом задать вопрос: каковы будут последствия, если это произойдет? В свою очередь, генеральному директору необходимо объяснять, что решение совета директоров со стратегическими выводами и финансовыми результатами может попасть в руки инсайдера и быть нелегитимно использовано только потому, что отсутствует контроль доступа к папке совета директоров. Потери для бизнеса способны на порядки превышать стоимость средств защиты при попадании данной информации в руки конкурентов. А в случае компаний с критической информационной инфраструктурой (КИИ) нарушения регламентов ИБ могут повлечь за собой уголовную ответственность.
Выгоду же измерить рублем сложнее, поскольку информационная безопасность доходов компании не приносит. Она может увеличивать прибыль только за счет снижения затрат на ликвидацию последствий инцидентов путем их предотвращения либо минимизации ущерба. Подсчитать это влияние очень сложно даже для реализованных проектов, а уж попытки его прогнозировать напоминают гадание на кофейной гуще. Часто для этого пытаются высчитывать коэффициент возврата инвестиций ROI (от англ. Return on Investment), хотя этот интегральный показатель нужен скорее для оценки эффективности вложений инвестора в бизнес компании. Возможность использовать его для определения эффективности затратной части корпоративного бюджета сомнительна: все-таки расходы не стоит путать с инвестициями.
С годами в отрасли накопилось множество показателей и методик их определения. Есть, например, коэффициент ROSI (Return on Investment for Security), позволяющий измерить влияние на ROI, связанные с информационной безопасностью расходов, а также другие показатели, требующие расчетов различной степени сложности. Объединяет их одно: для подсчета не случившихся (предотвращенных) потерь приходится использовать теорию вероятностей. Этот метод, конечно, лучше кофейной гущи, но ненамного.
Как рассчитать выгоду?
Топ-менеджмент компаний прекрасно осознает отсутствие возможности прогноза потерь с какой-либо приемлемой точностью — любая статистика может быть преподнесена по-разному и обосновывать разные потребности. Ясно одно: риски ИБ для бизнеса существуют и рано или поздно влияют на него в той или иной мере. В связи с этим наиболее эффективным является подход статистического уменьшения наиболее серьезных рисков, так как закрыть все на 100% практически невозможно или это стоит очень дорого.
На основании вышесказанного я рекомендую закрывать наиболее значимые риски технологическими решениями, подкрепленными методологией, и рассчитывать ROI посредством сравнения альтернатив. Как только будет понятен список рисков, оптимальный способ дальнейшего их закрытия можно оценивать следующими способами:
1. Посредством ручного труда, внутренней разработкой – это дешево, долго и, как правило, лишь частично закрывает потребность.
2. Сочетание ручного труда и использование opensource software – это некий средний путь.
3. Посредством специализированных средств – это дорого, но эффективно.
4. Комбинация всех трех или двух из вышеназванных пунктов.
.jpeg)
Выбор оптимального пути будет зависеть от результатов анализа стоимости, необходимых временных рамок, трудозатрат и эффективности каждого элемента. Какой бы вариант вы ни выбрали, решение будет работать только при наличии регламента и методологии, покрывающих всю цепочку жизненного цикла защищаемого процесса. Приведем самый простой пример – регистрацию посетителей на входе в компанию: какие данные регистрируются, куда заносятся, что происходит с ними дальше, у кого есть к ним доступ, кто ими пользуется, когда они удаляются и т. д. Ответы на все эти вопросы должны быть регламентированы заранее.
Существует несколько подходов, разработанных всемирно известными консалтинговыми компаниями (например, Forrester) с методикой оценки совокупного экономического эффекта (Total Economic Impact, TEI) от внедрения информационных систем. Она используется для уже реализованных проектов, а для прогнозирования требует некоторой адаптации. Для начала необходимо выделить ключевые проблемы и потребности, которые должно закрыть новое решение. Например:
· Желание обеспечить лучшую видимость локальных и облачных данных. Во многих организациях нет достаточного понимания, какие данные собираются в ИТ-системах, а также отсутствует возможность автоматически отслеживать статистику доступа к ним с достаточным уровнем детализации и анализа.
· Необходимость снизить вероятность утечек данных и возможный ущерб от кибератак. Современные ИТ-системы слишком сложны, чтобы вручную отслеживать пригодные к эксплуатации уязвимости и попытки проведения хакерских атак. В случае успешного взлома нужно минимизировать его последствия и максимально быстро восстановить работоспособность инфраструктуры.
Далее стоит определить результаты и преимущества, которые компания получит после внедрения. Они могут быть как измеримыми в денежном эквиваленте (количественными), так и неопределенными (качественными). Например, такими:
· Уменьшение риска возникновения инцидентов.
· Экономия времени на расследование инцидентов безопасности.
· Скорость реакции на потенциальный инцидент – быстрое обнаружение признаков атаки / действий злоумышленника и реагирование.
· Повышение эффективности процессов предоставления доступа к данным.
· Рост удовлетворенности пользователей и спокойствия специалистов по защите информации.
Идея состоит в том, чтобы препарировать эти результаты, посмотреть, какие из них можно измерить, сравнить с аналогичными показателями до внедрения и подсчитать выгоду. Прогнозируемую экономию за счет снижения рисков взлома и утечек данных точно определить не получится, но, имея готовую модель угроз и аналитические отчеты, можно грубо прикинуть сумму потенциального ущерба исходя из статистической вероятности тех или иных инцидентов, расходов на восстановление работоспособности систем и убытков от их простоя. Повышение эффективности управления доступом к ним измеряется в человеко-часах и сравнивается с необходимым на выполнение тех же действий вручную временем. Аналогично можно подсчитать увеличение скорости реагирования департамента безопасности на инциденты. Неопределенные преимущества (вроде повышения удовлетворенности сотрудников и спокойствия безопасников) лучше вынести за скобки и оставить в технико-экономическом обосновании отдельным «лирическим» пунктом.
Если вы подсчитали все количественные выгоды, остается только свести их воедино, соотнести с совокупной стоимостью владения и прикинуть срок окупаемости проекта. Стоит ли пытаться определить выгоду самостоятельно или лучше доверить это профессионалам из команды системного интегратора, станет понятно при первых (грубых) попытках посчитать TCO. Метод Gartner хорош еще и тем, что позволяет адекватно оценить собственные возможности реализации проекта, поэтому начать лучше все-таки с него, а потом уже заниматься тонкими материями и вероятностными моделями.
Опубликовано 16.10.2020
