Закрыть
Логин:
Пароль:
Забыли свой пароль?
Регистрация
Войти как пользователь
Вы можете войти на сайт, если вы зарегистрированы на одном из этих сервисов:

DOCFLOW - теория и практика электронного документооборота. Все о ECM и СЭД (системы электронного документооборота), ЭП

Eng
26.03.2004
IT-security. Экономическая эффективность и управление рисками

Евгений Акимов, Директор по развитию бизнеса компании "ИнфоТеКС Интернет Траст".
Оригинал статьи находится на сайте "ИнфоТеКС Интернет Траст."
Опубликовано с любезного разрешения автора.

Еще совсем недавно развитие информационных технологий было чем-то модным и обязательным, этим занимались повсеместно, не особенно задумываясь о целесообразности. В бухгалтерию ставились компьютеры, на которых раскладывались пасьянсы, а в кабинете генерального обязательно появлялся никогда не включаемый "бренд".

В последние годы от информационных технологий начали требовать не только их "наличия", но и реальной отдачи: почему мы должны тратить деньги на развитие ИТ и, если должны, то почему именно столько? "Расцвет" необдуманных инвестиций в ИТ прошел.

Сегодня от начальников ИТ подразделений, ИТ-менеджеров и системных администраторов требуют не только рекомендаций по выбору той или иной системы (ERP, CRM, IT-security), но и тщательного анализа эффекта от их внедрения в сравнении с другими похожими решениями. Наиболее сложными в этом плане является информационная безопасность, за внедрением которой руководство, как правило, видит только дополнительные расходы и рассматривает это как нечто дополнительное, куда деньги только вкладываются, но никогда не возвращаются.

Как обосновать необходимость инвестиций в информационную безопасность? Исходя из каких критериев следует выбирать тот или иной вариант защиты? В этой статье я постараюсь ответить на эти вопросы.

Экономическая эффективность

Оценка эффективности системы IT-security важна при рассмотрении вопроса о ее внедрении или внесении изменений в уже имеющуюся. Строго говоря, речь идет именно об изменениях, так как какой-то уровень безопасности все равно обеспечивается даже, если специально об этом никто и не задумывался.

Для того чтобы экономически оценить (и обосновать) вносимые в бизнес изменения, используется финансовый показатель, называемый ROI (Return On Investment - возврат инвестиций). В общем случае ROI определяется по следующей формуле:

, где

Доходы - доходы компании за отчетный период (год),
Расходы - расходы компании за отчетный период (год),
Инвестиции - инвестиции, сделанные в компанию.

Таким образом, ROI - это интегральный критерий позволяющий оценить насколько эффективно работают вложенные в компанию деньги. Иными словами, сколько денег "производит" за год рубль, вложенный в компанию.

Подсчет ROI, как правило, не доступен подразделению, отвечающему за информационные технологии. Поэтому для того, чтобы понять как скажется на ROI инвестиции в IT-security, можно посчитать, вспомогательное "маленькое" roi, обусловленное изменениями в системе информационной безопасности:

, где

roi - показатель изменения ROI из-за инвестиций в IT-security;
 - изменение в доходах, обусловленное инвестициями IT-security;
 - изменение в расходах, обусловленное инвестициями IT-security;
 - инвестиции, сделанные в IT-security.

Допустим, до внесения изменений систему информационной безопасности, ROI в компании равнялось ROIold, уже сделанные инвестиции Иold, планируемые инвестиции . Тогда ROI компании после внедрения проекта будет определяться (после нехитрых математических преобразований):

В зависимости от эффективности проекта IT-security и от отношения размера инвестиций в него к общим инвестициям в компанию, изменяется общая эффективность компании - ROI может увеличится (roi>ROI), уменьшится (roi<ROI) или остаться прежним (roi=ROI).

Изменение доходов

Прямого влияния на рост доходов система информационной безопасности не имеет, поэтому, как правило, роста не следует ожидать увеличения выручки компании после инвестиций в IT-security. Однако нельзя  сразу приравнивать к нулю, так как существует ряд стандартных информационных систем, в которых именно грамотно построенная система защиты информации скажется на росте доходов компании. Например, согласно исследованиям PriceWaterhouseCoopers именно недостаточная безопасность электронных платежей стала основным барьером в для пользователей, т.е. реализация системы IT-security в таких системах обуславливает доверие клиентов, а значит и приток денег.

В настоящее время серьезным конкурентным преимуществом в системах банк-клиент или электронных торговых системах является применение сертифицированной криптографии. Использование таких решений при построении системы информационной безопасности для подобных систем может значительно сказаться на увеличении доходов компании.

Внедрение системы информационной безопасности, как правило, приводит к более продуктивному использованию рабочего времени сотрудниками. Это связано с ограничением доступа к информации, не требующейся для работы, например, развлекательным сайтам, а также уменьшением не служебной переписки.

Отметим, что, несомненно, существуют и другие причины роста доходов; снижения же доходов не наступает, т.е.  - величина заведомо не отрицательная.

Изменение расходов

Вообще без расходов обойтись не удается - операционные затраты присутствуют всегда: это и разработка проекта, и обучение, а иногда и стоимость средств защиты информации (характерно для аутсорсинга). Но есть составляющие, которые могут это компенсировать и даже привести к снижению расходов после реализации проекта.

Главная причина уменьшения расходов, то ради чего, система информационной безопасности и строится или модернизируется, - увеличение рискозащищенности.
Можно подсчитать ожидаемую стоимость рисков, например, в год:

, где:

Vrisk - вероятность реализации риска,
Сrisk - потери от реализации риска.

В свою очередь Vrisk определяется по формуле:

, где:

Vatack - вероятность попытки атаки/инцидента,
Srisk - защищенность от этой атаки/инцидента (от 0 до 1; 0 - высокая, 1 -низкая).

Подсчитав разницу в стоимости рисков до и после внедрения/изменения системы информационной безопасности, определяется снижение расходов на нейтрализацию потерь. К уменьшению расходов приводит снижение не служебного интернет-трафика и т.п.

Иногда встречается мнение, что система информационной безопасности приводит к снижению операционных расходов на администрирование. Это не совсем так. Если защите информации не уделялось или почти не уделялось внимание, то даже установка межсетевого экрана потребует дополнительных затрат, не говоря уже о построении PKI или более сложных систем. Упрощения администрирования возможно только в случае внесения изменений в уже существующую систему, например, при переходе на более прогрессивную технологию с мощными и гибкими средствами управления, смене поставщика услуг.

Таким образом, в большинстве проектов связанных с появлением новой функциональности системы защиты, ждать снижения расходов не приходится, и величина  может быть как отрицательной (что желаемо), так и положительной.

Выводы

Подсчитав roi, его необходимо сравнить со следующими "пороговыми величинами":

  1. roi < 0, т.е. эффективность проекта отрицательна. Это, естественно, худший вариант, но он не так редок, как может показаться (есть еще более плохая возможность, когда roi проекта IT-security столь отрицателен, что отрицательным может стать и ROI всей компании);
  2. ROI > roi > 0, т.е. внедрение проекта приведет к уменьшению общего ROI в компании;
  3. roi > ROI, т.е. внедрение проекта приведет к увеличению общего ROI в компании.

Любой экономист отказался бы от проекта в случае 1 (проект приносит убытки), как следует подумал бы, следует ли браться за него в случае 2 (проект снижает общую эффективность, но все же прибылен) и сразу рекомендовал бы проект к внедрению в случае 3 (проект прибылен и приводит росту эффективности). И ошибся бы, т.к. мы имеем дело с управлением рисками, и как не странно, даже в первом варианте отказываться от проекта информационной безопасности еще рано (конечно, если ROI все-таки положительно).

Управление рисками

Для наглядности сразу необходимо привести пример. Например, компания страхует свой офис на случай пожара. Воспользуемся приведенной выше формулой. Доходы, скорее всего не изменятся, расходы будут определяться стоимостью страхового полиса и увеличением рискозащищенности. Однако очевидно, что стоимость полиса заведомо больше, чем вероятностные потери от пожара, на этом строится бизнес страховых компаний. Если посчитать roi от покупки страхового полиса, то эта величина будет отрицательной. Тогда почему же институт страхования так популярен?

Дело в том, что стоимость ущерба от таких происшествий как пожар очень значительна, и если он, несмотря на низкую его вероятность, произойдет, то это будет удар по компании, который существенно подорвет весь ее бизнес, а может и приведет к банкротству.

Аналогично, при оценке рисков информационной безопасности необходимо учитывать не только произведение ущерба на вероятность его возникновения, но и абсолютное значение этого ущерба. Если стоимость потерь соизмерима со стоимостью всей кампании, то даже при низкой (но, конечно, не околонулевой) вероятности, их надо учитывать проектировании системы информационной безопасности.

Представим себе небольшую бурно развивающуюся интернет компанию, например, предоставляющую услуги хостинга, и сделаем примерную оценку эффективности проекта информационной безопасности для нее. В компанию инвестировано $ 100 000, а разница между доходами и расходами составляет $ 40 000 в год, т.е. ROI=0,4. Результатом мощной атаки? проведенной на сдаваемые в аренду сервера (например, уничтожение всей информации на серверах), будет уход всех клиентов, т.е. закрытие компании. Ущерб можно приравнять к стоимости всего проекта - $ 100 000. Вероятность успешного проведения такой атаки для активно работающий на рынке и не имеющей дополнительных средств защиты компании составляет около 10% (т.е. с вероятностью 10% в текущем году будет успешно проведена мощная "хакерская" атака). Таким образом, имеющийся риск оценивается в 10 000 в год. Установка мощного межсетевого экрана с системой обнаружения атак стоит около 10 000 и потребует операционных затрат примерно в $ 1 000 в месяц (техподдержка, обучение, зарплата, амортизация и т.п.). Реализация этого проекта защиты изменит вероятность успешности атаки в 10 раз и сократит стоимость риска до $ 1 000 в год.
Подсчитаем roi:


Экономическая выгода отрицательна. Подойдем к этому вопросу с другой стороны: каждый год из 10 таких небольших интернет-компаний одна закрывается в результате хакерской атаки, а ожидаемый "срок жизни" компании - 5 лет. Готова ли компания работать в условиях такой неопределенности? Наверняка, нет.

Можно ли формализовать управление рисками?

Предварительно, в зависимости от их вероятности Vrisk и потерь Crisk, разделим все риски на категории, получим такую таблицу (значения взяты условно).

       Вероятности  
   

Несущественная,
<1%

 Существенная,
от 1% до 10%

 Высокая,
свыше 10%
  Незначительные (меньше 1% cтоимости предприятия)

 1

2

 Потери  Значительные (от 1% до 10%)

 2

2

   Критические высокие (свыше 10%)

 2

3a

3b 


Риски категории 1 несущественны для компании даже в случае их реализации, кроме того, их вероятность не велика и скажется на подсчете экономической эффектности очень незначительно.

Риски категории 2 могут быть хорошо оценены при подсчете roi и не требуют дополнительного внимания.

Риски категории 3, имеющие не околонулевую вероятность и могущие привести критичным для компании потерям, требуют дополнительного внимания и не могут быть оценены по методике подсчета roi (хотя и очевидно, что риски высокой вероятности, скорее всего, внесут основной вклад при подсчете roi).

Что значит дополнительного внимания? Риски подкатегории 3b неприемлемы для организации и должны быть нейтрализованы в любом случае, даже если для этого необходимо перестроить все бизнес процессы компании. Необходимо отметить, что столь вероятных и критичных рисков скорее всего не будет.

Факт наличия рисков подкатегории 3a должен быть доведен до руководства компании и уже оно принимает решение и о том, насколько возможно продолжать деятельность в таких условиях.

Какой проект выбрать?

Пользуясь инструментарием подсчета roi и сравнения его с общим ROI компании можно сделать выводы о необходимости, общей эффективности проекта информационной безопасности, а также сравнить несколько имеющихся проектов.

Окончательное предпочтение тому или иному проекту рекомендуется сделать по критерию максимального roi, при условии нейтрализации в данном проекте рисков с существенной вероятностью, могущих привести к критическим потерям в компании.

Инвестиции и операционные затраты в случае аутсорсинга

Аутсорсинговый подход вносит некоторые коррективы в подсчет ROI. Например, в этом случае средства защиты, как правило, не приобретаются, а предоставляются оказывающей услуги компанией. Величина инвестиций в аутсорсинговый проект IT-security значительно меньше, чем в случае самостоятельной реализации системы информационной безопасности и определяется стоимостью разработки проекта и первоначальных работ по внедрению системы. Чаще всего, инвестиции в случае аутсорсинга в несколько раз меньше, чем при решении задачи собственным подразделением.

Кроме того, меняется состав операционных затрат: набор дополнительных сотрудников, их обучение и зарплата уже не требуются, это заменяет платеж за использование услуг. Обычно стоимость услуг сравнима с аналогичными расходами на внутреннюю инфраструктуру.

Таким образом, возможное (но совсем не обязательное) увеличение расходов компенсируется уменьшением инвестиций. Подсчет ROI еще раз говорит о том, что аутсорсингу можно отдать предпочтение даже в случае возрастания операционных затрат - эффективность проекта скорее всего возрастет.

Недостатки методики интегральных оценок при управлении рисками

Подсчет стоимости риска дает нам интегральную оценку информационной безопасности - в приводимой формуле подсчитывается математическое ожидание потерь вследствие нарушений информационной безопасности, т.е. средние убытки в год.

В конце года может оказаться, что реальные потери отличаются от ожидаемых. Например, подсчет стоимости рисков даст 10 000, что, например, может быть приемлемо для компании, а в результате реальные потери составят 20 000 или даже 100 000. Дополнительную сложность вносит и "человеческий фактор": вероятность действий хакеров невелика, однако если вдруг они "ополчатся" против компании, то потери могут быть не только в десятки, но в сотни раз больше подсчитанной по приведенной в статье формуле.

Для более показательной оценки ситуации мы, прежде всего, рекомендуем воспользоваться построением распределения стоимости рисков по вероятности. Диаграмма этого распределения наглядно показывает с какой вероятностью в конце года компания будет иметь те или иные убытки, что помогает в получении экспертной оценки ситуации с IT-security.

Этому распределению будет соответствовать средняя стоимость рисков в 7 190$.

Поделиться:




КАЛЕНДАРЬ
ПОСЛЕДНИЕ НОВОСТИ
21.06.2019
TESSA 3.3 – новые горизонты СЭД
Компания Syntellect объявила о выпуске официального релиза СЭД TESSA версии 3.3.
В новой версии платформы расширены возможности легкого клиента, обеспечена поддержка разных часовых зон и внесено более сотни других улучшений.

28.03.2019
Финансы уйдут в электронный документооборот
На рассмотрение государственной думы РФ вынесен законопроект о введении электронного документооборота в российских организациях. При создании электронных копии бумажных документов, оригиналы нужно будет хранить всего год.

28.03.2019
В ожидании цифрового прорыва
Как выбраться из «колеи», в которой, согласно институциональной теории, движется, увязнув всеми колесами, Россия? Ответ на этот вопрос эксперты ищут не первый год. Вряд ли есть одно решение, но, возможно, в этом стране помогут технологии: отечественная математическая школа всегда высоко ценилась во всем мире, да и IT-отрасль в России развита сильнее прочих. Во всяком случае, именно на их развитие делают ставку власти: от направления «Цифровые технологии» нацпроекта «Цифровая экономика» они ждут настоящего прорыва. Впрочем, его успех, по мнению экспертов, будет зависеть от синхронизации процесса цифровой трансформации во всех российских регионах.