2. Образец заголовка
Экономические аспекты информационной безопасности
Термины и определения
2
Экономика
(от др.-греч. ο κος —ἶ дом, хозяйство хозяйствование и νόμος — ном, территория
управления хозяйствованием и правило, закон, буквально «правила ведения хозяйства
дома»)— хозяйственная деятельность общества, а также совокупность отношений,
складывающихся в системе производства , распределения, обмена и потребления.
Главная функция экономики состоит в том, чтобы постоянно создавать
такие благапродукты, которые необходимы для жизнедеятельности людейобществ и
без которых они не могут развиваться. Экономика помогает удовлетворить потребности в
условиях ограниченных ресурсов.
Экономический кризис
(греч krisis — поворотный пункт) — резкое ухудшение экономического состояния страны,
проявляющееся в значительном спаде производства, нарушении сложившихся
производственных связей, банкротстве предприятий, росте безработицы, и в итоге — в
снижении жизненного уровня, благосостояния населения. Так же эту ситуацию можно
охарактеризовать как резкое изменениесокращение ресурсной базы в результате ряда
коллизий
3. Образец заголовка
Экономические аспекты информационной безопасности
Кризисный год
3
Антикризисные
меры
Экономический кризис = Оптимизация затрат
Антикризисные
меры
Затраты на инициативы развития
Ресурсы
Затраты по текущим процессам
Кто определяет эту грань?
Оптимизация не равно сокращение!
Оптимизация - повышение экономической эффективности
CFO
?
Оптимизация ресурсов
4. Образец заголовка
Экономические аспекты информационной безопасности
Риски, Инциденты и Цели компании
4
Риски
сократились
с 9 до 6
Компания
заняла 20%
рынка
Инциденты
сократились
с 40 до 20
Стоимость
компании
увеличилась
на $20mil
???
???
Может ли бы быть KPI для ИБ – количество уволенных сотрудников
за разглашение коммерческой тайны?
5. Образец заголовка
Экономические аспекты информационной безопасности
Взгляд бизнеса на оценку рисков ИБ
5
Количественные показатели
(Quantitative Benefits) Качественные показатели
(Qualitative Benefits)
VS
Соответствие новым законам
Жизнь без вирусов
Отключили dropbox из офиса
…
0 in profit
Снижение рисков?
Кассовый разрыв
Массовое сокращение
Изменение курса валют
Банкротство партнеров
Санкции
…
Вирусные атаки
Утечки ком.тайны
DDoS атаки
Целенаправленные атаки
152ФЗ
…
РИСКИ? РИСКИ!
FEAR
MARKET
6. Образец заголовка
Экономические аспекты информационной безопасности
Взгляд финансов на нефинансовые
оценки ИБ
6
Как бизнес видит ИБ
Фонд оплаты труда
Аренда помещений
Оборудование
Программное обеспечение
Бухгалтерское ведение
Консалтинг
Х ХХХ ХХХ р.
ХХХ ХХХ р.
Х ХХХ ХХХ р.
Х ХХХ ХХХ р.
ХХ ХХ р.
Х ХХХ ХХХ р.
0 р.
0 р.
0 р.
0 р.
0 р.
0 р.
Стало безопаснее чем вчера
Compliance
Лучшие практики
Снижены риски
Сохранены тайны
Консалтинг
ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ
«Долго не мог дровосек уснуть, метался в постели и стонал от горя.
Тут жена ему и шепчет: - Давай завтра утром отведем детей в чащу
леса, разведем костер, сделаем вид, что пошли работать, а сами
вернемся домой…»
Братья Гримм «Гензель и Грета»
7. Образец заголовка
Экономические аспекты информационной безопасности
Периметровый подход
7
внутренний периметр
регламенты
внешний периметр
уязвимости
Прибыль от закрытой уязвимости?
Достижение цели компании?
Закрытые уязвимости
повышают общий уровень
защищенности компании
Риски были 9 теперь 6 WAF
DRP
DLP
«традиционный» подход к ИБ
8. Образец заголовка
Экономические аспекты информационной безопасности
Цели компании как внутренние продукты
8
Цель Логистики –
сократить количество
логистических
расходов на 20%
относительно
прошлого периода
Продукт Логистики –
Доставка товаров к клиентам
Продукт Логистики –
Доставка сырья на производство
Продукт Логистики –
Внутренняя логистика
9. Образец заголовка
Экономические аспекты информационной безопасности
Продукт компании как сумма внутренних
процессов
9
ИБ
ИБ
ИБ
ИБ
общий уровень защищённости - продукт?
информационная безопасность свойство продукта?
или
10. Образец заголовка
Экономические аспекты информационной безопасности
ИБ внутри продукта
10
Проверка
остатка
Запрос
товара
Формирование
предложения
Х
Выставление
счета
Х
Получить заказ
товара
Принять оплату
Закрыть заказ
товара
Отправить
заказанный
товар
Уведомить
о отправке
Собрать
данные
для BI
Безопасный способ
платежа
Корректные
данные
Коммерческая
тайна
Непрерывность
работы сервиса
Резервное
копирование
Влияние на
операционные
показатели
11. Образец заголовка
Экономические аспекты информационной безопасности
Обратная декомпозиция
11
исследования
разработка
производство
продажи
маркетинг
логистика
ИБ
Затраты на лицензии
Затраты на оборудование
Затраты на персонал
Затраты на процесс
….
Продукт
Внутренний
продукт
Стоимость владение
продуктом безопасности
Продукт
безопасности
Совокупное
влияние на
продукт
Через сумму изменений свойств внутренних продуктов мы можем посчитать
общее влияние на продукт компании, что делает проект ИБ значимым на уровне
бизнеса, поскольку становится понятно как он влияет на прибыль.
12. Образец заголовка
Экономические аспекты информационной безопасности
База для расчета финансовых методик
12
Сколько
стоит
деле?
Как
повлияет
на
прибыль
?
1
2
ROI
NPV
IRR
Break-even
Совокупные
доходы
Совокупные
расходы
return on investment или
отдача на капитал
net present value или
чистая приведенная
стоимость
internal rate of return или
Внутренняя норма
доходности
точка окупаемости
Методы оценки
3 Внутренние константы
Ставка дисконтирования Расчётный период
13. Образец заголовка
Экономические аспекты информационной безопасности
TCO
13
• Затраты на лицензии
• Затраты на оборудование
• Затраты на персонал
• Затраты на процесс
• Амортизация по годам
• Учтённые/застрахованые риски
• Затраты на исследования
• Общие проектные расходы
Total Cost of Ownership
TCOсовокупная стоимость владения
1987 год –
компания Gartner опубликовала
отчет, который суммировал и
популяризировал методику TCO Total
Cost of Ownership или совокупная
стоимость вложения. Данный год
считается началом структурной
оценки затрат на проекты в области
ИТ. Отчет был разработан
аналитиком Michael Smith, который
продолжает работать в компании
Gartner.
14. Образец заголовка
Экономические аспекты информационной безопасности
Расчет процесса и расчет проекта
14
Gartner говорит, что управление
стоимостью владения подчиняется 4
основным законам*
•Любая инвестиция в технологию вызывает
нескончаемы поток затрат на поддержание
и изменения
•Несколько десятилетий компании
оценивали, что проект в технологиях это
изначальные капитальные затраты, а потом
это операционные затраты, НО это не так
•Без управления жизненным циклом
проекта и программного обеспечения, вы
получите непредсказуемые «взрывы»
затрат
•Расходы на программное быстро
развиваемые технологии растут по
экспоненте.
* “The four laws of applications total cost of
ownership”.G00230382
70%
30%
По оценке Garthner -
Стоимость внедрения составляет в
среднем 1/3 от стоимости всего
проекта. При оценке стоимости
внедрения важно оценивать не только
ресурсы «внешнего» внедренца, но и
внутренние ресурсы компании.
15. Образец заголовка
Экономические аспекты информационной безопасности
Прайс-лист против TCO
15
Сколько стоит антивирусная защита
на 1000 сотрудников в год?
Прайс-лист: 1 лицензия стоит 100 рублей,
следовательно 1000 лицензий стоит 100 000 рублей
Факт: 1 лицензия стоит 100 рублей,
следовательно 1000 лицензий стоит 100 000 рублей
сервер обновлений – 150 000 рублей
обслуживание антивируса – 1 ччас в день – 247 часов
– 30 раб дней – 1,5 оклада сотрудника – 150 000 рублей
Решение инцидентов – 150 000 рублей
оверхеды – 100 000 рублей
следовательно все это стоит – 550 000 рублей
16. Образец заголовка
Экономические аспекты информационной безопасности
Бенефиты как базис расчета
16
затраты доходы
влияние ИБ на прибыль
оптимизация затрат добавление новых
качеств
положительная
разница
между суммарными
доходами и затратами
17. Образец заголовка
Экономические аспекты информационной безопасности
ИБ внутри процесса
17
E Х
HR Е
14 дней
24 дня
ФОТ*КПД 1,5
Факт:
заявление
об увольнении
HR
14 дней
HR
IS
ЕЕ передача
дел
предупреждение
за 38 дней
потери компании
Выход
нового
сотрудника
KPI на подбор
нового
сотрудника
38 дней
18. Образец заголовка
Экономические аспекты информационной безопасности
Увеличение доходов
18
• +1,5% к стоимости компании при выходе на IPO
• возможность участвовать в тендерах с
обязательным требованием
• упрощение процедуры подготовки к
большим контрактам
• Защита данных вывела компанию в лидеры
корпоративного рынка и сделала в 2009 году
самой быстрорастущей компанией в мире с
ростом дохода на 84 % за три года несмотря на
глобальную рецессию. За десять лет компания
продала 50 миллионов смартфонов, что
сделало BlackBerry вторым по популярности
смартфоном в мире.
19. Образец заголовка
Экономические аспекты информационной безопасности
Расчет от показателей бизнес-юнита
19
Бенефиты
процессные
Бенефиты
событийные
Построенные
на уровне
оказываемого
сервиса
Построенные
решении
инцидента
20. Образец заголовка
Экономические аспекты информационной безопасности
Статистика и прогнозы
20
“Как это не парадоксально, но всякая точная
наука основывается на приблизительности. Если
кто-то говорит вам, что точно знает что-то,
можете смело делать вывод: вы разговариваете
с человеком, не имеющим понятия о точности.”
План продаж
Маркетинговый эффект
Годовой бюджет
Все это построено на
статистике прошлого периода
и прогнозе на следующий
Бертран Рассел
Британский математик.
21. Образец заголовка
Экономические аспекты информационной безопасности
Кейс – DLP
21
Финансовый показатель Вариант 1 Вариант 2 Вариант 3
Чистая стоимость (TCO) 3 077 199,07р. 4 706 107,54р. 5 157 369,55р.
Чистые бенефиты 3 734 634,61р. 5 718 764,23р. 6 981 253,07р.
Приведённая стоимость 657 435,53р. 1 012 656,69р. 1 823 883,52р.
ROI, % 21 22 35
payback period, год 2 года 2 года 2 года
Бюджет на 1-ый год 1 955 000,00р. 3 189 325,15р. 3 539 334,15р.
Бюджет на 2-ой год 405 000,00р. 761 610,86р. 853 119,86р.
Бюджет на 3-ий год 405 000,00р. 761 610,86р. 853 119,86р.
Метрика Значение
Учётная ставка 20
Расчётный
период
3 года
23. Образец заголовка
Экономические аспекты информационной безопасности
Переоценка существующих процессов
23
сбор статистики –
метрик
расчет стоимости
функцииПродукта ИБ
инвойсирование
бизнес-юнитов
(выставление счетов в
качестве информации)
взаимозачеты
разнесение затрат по
ЦФО
управляемый
показатель SLA
PROFIT
Если старые процессы
все еще на стадии
проектов или требуют
пересмотра
условийресурсов
Их следует
рассмотреть как
новые с полным
расчетом
экономических
показателей
24. Образец заголовка
Экономические аспекты информационной безопасности
Разнесение костов ИБ
24
Где живут затраты на сотрудников ИБ?
В кадрах которые принимают их на работу?
Или в бухгалтерии которая платит зарплату?
25. Образец заголовка
Экономические аспекты информационной безопасности
Участие в инвестиционных проектах
25
ресурсы
Показатель
эффективности
(пусть будет
NPV в мл.руб)
Бизнесу нужен единый инструмент принятия инвестиционных
решений, а значит все проекты должны измеряться одинаково
Понятная приоритизация проектов
Добрый день, коллеги. Буквально в двух словах о себе. Меня зовут Дмитрий Мананников, я директор по информационной безопасности компании «СПСР-Экспресс». Мой опыт в информационной безопасности коммерческих компаний более 12 лет. Я работал в разных сферах и в банковской, и в энергетике, и в ИТ компаниях и потому полагаю, что те моменты, о которых мы будем сегодня говорить применимы в практике вне зависимости от специфики деятельности.
Я не полагаю такой подход, о котором мы сегодня будем говорить - универсальным или единственно правильным. Более того он так же лишен четкого фокуса на информационную безопасность, и на мой взгляд равно применим для любых процессов безопасности, экономической или физической, или для ИТ. Т.е. для подразделений, которые традиционно не сильны в экономике, и часто выглядят исключительно затратными центрами.
И в том числе, сегодня я хотел бы поговорить о чувстве, которое многих из нас не переполняет, о уверенности в завтрашнем дне. О том возможно укрепить через экономические аспекты ИБ, могут ли они стать преимуществом в этот непростой год, или же наоборот существенным недостатком.
Ну и начнем с слайда, переполненного текстом, как все любят. Я не буду его зачитывать, он нам нужен для того что бы одинаково понимать некие базисные вещи.
Определения взяты из словарей, никакой отсебятины.
И так экономика. На что бы я хотел сделать акцент в этом определении – на часть «Главная функция экономики состоит в том, чтобы постоянно создавать такие блага, которые необходимы для жизнедеятельности людей \обществ и без которых они не могут развиваться.». Что это за блага? Ну в случае коммерческих компаний это очевидно продукты, которые они производят. Продукт может быть услугой, может быть товаром, не суть важно. Важно то что создание продукта — это одна из главных функций экономики, а мы сегодня пляшем именно от нее.
И второе определение – экономический кризис. Который мы рассматриваем сегодня как фактор экономики, который вынуждает нас погрузится в детали и понять на что же он так влияет. И если мы обратимся к определению, то увидим, что речь идет о сокращении ресурсной базы. И основной момент текущего кризиса – нехватка денежной массы на рынке.
А нехватка денежной массы — это попытка каждой организации сделать «денежную подушку». А значит, как можно меньше платить партнерам, как можно быстрее забрать деньги по старым обязательствам и как можно меньше денег потратить. Т.е. период накопления и снижения издержек, а снижение издержек — это перераспределение ресурсов.