Оценка эффективности инвестиций в информационную безопасность
«Финансовая газета», 2011, N 16
В последние годы весьма актуальной проблемой является оценка эффективности затрат на информационную безопасность. Консалтинговыми и аналитическими компаниями, работающими в ИТ-отрасли, созданы десятки методик оценки, и продолжают появляться новые. Это свидетельствует о том, что методика, приемлемая для всех участников рынка, до сих пор не разработана. Консенсус достигнут, пожалуй, лишь относительно целей оценки: к ним относятся увеличение эффективности работы систем и персонала, повышение уровня предоставляемых сервисов и анализ целесообразности вложений. Последняя цель представляется основной, что вполне естественно — потребитель решений, связанных с информационной безопасностью, заинтересован в экономической обоснованности немалых инвестиций. Это особенно ярко проявилось в 2008 — 2010 гг.
Кризис породил настоящий бум технико-экономических обоснований по проектам в сфере информационной безопасности. Резкое сокращение доступных финансовых ресурсов привело к тому, что руководство компаний-заказчиков в обязательном порядке требовало доказать окупаемость внедряемых систем в течение хотя бы полутора-двух лет. Компании-интеграторы были вынуждены составлять ТЭО для каждого проекта, однако практика показала, что львиная доля таких обоснований шла в мусорную корзину — даже самые профессионально выполненные расчеты не вызывали доверия заказчика. Попробуем разобраться в том, почему так сложна экономическая оценка вложений в информационную безопасность, существуют ли альтернативные критерии анализа, а также в том, какова специфика российского подхода к оценке затрат.
Недоказуемые цифры
Как правило, в компании с высоким уровнем информационной безопасности существуют некие модели рисков, которые предписывают реагировать на определенные угрозы безопасности четко определенным образом. Реакцией может быть как внедрение технического решения, так и создание процедур, соблюдение которых способствует снижению того или иного риска. У руководства нередко возникает вопрос: насколько эффективно тратятся деньги компании. Этот вопрос неизбежно сопряжен с тем, что ответить на него можно только в отрицательной форме: «компания не потеряла», «у компании не украли», «в компании не остановились бизнес-процессы» и т.п. Какова в этом случае вероятность, что все эти потери действительно могли бы реализоваться, если бы у компании не было систем информационной безопасности? Точно оценить вероятность возникновения того или иного риска непросто, а значит, нелегко будет доказать и экономическую оправданность затрат.
Для поставщика решений в области информационной безопасности идеальной была бы ситуация, когда клиент, заплатив за внедрение соответствующей системы условно 100 тыс. долл., был бы уверен в том, что приобретенное решение покрывает риски/убытки стоимостью 200 тыс. долл. Но как подсчитать стоимость предотвращенных рисков и какова вообще вероятность их возникновения?
В России количественная оценка рисков затруднена, поскольку еще не сложилась практика передачи статистических данных по внутренним и внешним угрозам информационной безопасности в некие открытые источники. На Западе подобная статистика существует, но в России эти данные либо вовсе не применимы в силу несопоставимости рыночных условий, уровня развития ИТ и применяемых технологий, либо не вызывают особого доверия.
Приведем пример. Допустим, перед банком стоит задача оценить вероятность DDoS-атаки на его веб-сайт, а также понять, насколько серьезны будут последствия. Для этого необходимо владеть статистическими данными: сколько сайтов в России реализовано на той же платформе, сколько проводится атак в единицу времени, в каком проценте случаев эти атаки успешны, сколько времени занимает ликвидация последствий и каков ущерб от кибер-нападений. Такой статистики, как уже сказано, в национальном масштабе не существует. Есть только мировая статистика по ущербу, который способны нанести некоторые наиболее распространенные типы атак и вирусы, выводящие из строя ключевые информационные системы банка. Так, для кредитных организаций подсчитано, что пятиминутный простой системы процессинга равнозначен банкротству банка. Понятно, что это усредненная оценка, но она довольно наглядно демонстрирует описанный подход. Вопрос заключается в том, насколько руководство российской компании доверяет международному опыту и накопленным данным. Впрочем, и применяемые в мировой практике методики оценки не позволяют измерить в деньгах возникающие репутационные потери или уровень квалификации ИТ-персонала. Для подобного анализа крупнейшие консалтинговые компании уже многие годы пытаются ввести косвенные модели оценки, но пока ни одна из этих моделей не получила массового признания.
Что касается качественной оценки рисков, то и ее трудно переложить на денежные показатели. Градация определенного риска по степени критичности — в общем случае низкая, средняя и высокая критичность — позволяет для каждого уровня опасности установить лишь весьма примерный диапазон возможных финансовых потерь. В каждом случае параметры «от» и «до» будут зависеть от множества накладывающихся друг на друга показателей: масштаб бизнеса, отрасль, первоначальное состояние ИТ-инфраструктуры и т.п.
Есть риски, по которым достаточно трудно подсчитать не только убытки в деньгах, но и корректно определить критичность угрозы. Иллюстрацией здесь может служить риск утечки коммерчески значимой информации, например годового бизнес-плана компании. Если этот документ окажется в руках случайного человека, в частности родственника сотрудника компании, получившего данные по недоразумению вместе с личным электронным сообщением, то ущерб для бизнеса можно считать нулевым. Если же подобная информация умышленно передана конкурентам, убытки могут быть весьма значительными, вплоть до существенного сокращения рыночной доли компании. Но с учетом такого разброса вариантов корректно подсчитать экономическую эффективность расходов на внедрение DLP-системы (Data Leak Prevention — предотвращение утечки данных) не представляется возможным, поскольку затруднена оценка стоимости утечки данных. Однако попытки составить такое обоснование, в основном при продаже DLP-систем, все же делаются, но в таких случаях продавец ИБ-решения заведомо рассчитывает на низкую квалификацию заказчика.
Таким образом, аргументированно доказать покупателю, что приобретение ИТ-продукта обеспечит защиту от определенного типа рисков с некоторой конкретной стоимостью — задача фактически невыполнимая.
По доходам и расходам
Для оценки экономической эффективности затрат на информационную безопасность существует две модели подсчетов — доходная и затратная.
Доходная модель применяется для внутренних расчетов и только в тех компаниях, для которых информационная безопасность — это сервис на продажу. Такие услуги предоставляют, например, сервис-провайдеры, предлагающие корпоративным и частным клиентам антивирусное программное обеспечение, услуги фильтрации трафика, предотвращения кибер-атак, услуги антиспама и родительского контроля для физических лиц и т.п. Это, пожалуй, единственный случай, когда расчет эффективности вложений в информационную безопасность не является проблемой. Достаточно подсчитать, сколько инвестировано в приобретение и/или развитие решения и сколько удалось заработать на продаже сервиса.
Затратная модель оценки используется, когда речь идет о приобретении систем информационной безопасности или утверждении годового бюджета, т.е. о тех случаях, когда компания либо приобретает некий новый продукт, либо принимает решение о поддержке уже существующих решений. Обычно при согласовании соответствующих бюджетов принимают в расчет три основные статьи расходов.
Первая — сопровождение существующих систем. Необходимость такого сопровождения обосновать сравнительно просто, даже не вдаваясь в сложные расчеты: деньги на внедрение уже потрачены, система работает и отказываться от действующего решения нецелесообразно.
Вторая — расходы на выполнение требований регуляторов в области информационной безопасности. Такие требования предъявляются к организациям, которым выданы лицензии ФСБ России, ФСТЭК и Банка России, сертификаты ISO в области информационной безопасности. Жестко регламентируются нормы информационной безопасности для публичных компаний, акции которых котируются на биржах США и других международных площадках — можно вспомнить закон Sarbanes-Oxley Act. Начиная с 2011 г. российским компаниям придется соблюдать требования Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (в ред. от 23.12.2010). Для одной компании набирается до десятка законодательных актов, в которых содержатся нормы информационной безопасности. Как видно, требований достаточно много, и поэтому расходы на соответствие им составляют ощутимую часть ИБ-бюджета. В большинстве компаний идут по пути разумного компромисса — стараются обеспечить соответствие собственных ИБ-систем не всем, но наиболее значимым требованиям. Под значимостью обычно понимают объем возможных штрафных санкций, которые будут применены к компании при нарушении требований, т.е. риски можно хотя бы примерно оценить экономически. Причем если раньше компании выбирали решение по принципу «лишь бы получить сертификат аттестационной комиссии», то сейчас заказчики все чаще ориентируются на фактическую работоспособность системы — чтобы она не только формально соответствовала требованиям регулятора, но и обеспечивала бы безопасность и работала с минимальным количеством сбоев. Но такие системы в любом случае не являются бизнес-ориентированными: их внедрение в большей степени направлено на обеспечение безопасности государства, а не самой компании.
Третья — внедрение систем, которые позволяют минимизировать бизнес-риски, присущие компании и способные повлиять на ее работу, на финансовый результат. Несмотря на то что эта группа решений относится к наиболее дорогостоящим, обоснование соответствующих расходов редко строится на конкретных финансовых показателях. Финансовое обоснование может быть представлено только в единичных случаях. Это связано с тем, что оценка рисков, как было показано, носит весьма приблизительный характер.
Метрика безопасности
Если говорить о внутренних службах безопасности, работающих в корпорациях, то подразделение информационной безопасности выступает в качестве внутреннего сервиса, которым пользуются другие функциональные подразделения компании. Попытка оценить эффективность службы сводится к тому, чтобы установить: в чем вести измерения и что считать критерием оценки.
Разумнее говорить не о денежной оценке эффективности вложений, а об оценке эффективности работы ИБ-службы. В компаниях должна действовать комплексная система риск-менеджмента, охватывающая в том числе и системы информационной безопасности, причем оценка эффективности здесь почти никогда не выражается в деньгах. В этом случае риски информационной безопасности рассматриваются как одна из разновидностей операционных рисков компании.
Оценивают, как правило, уровни критичности рисков, последствия их реализации для непрерывности бизнеса и т.п. В качестве критериев выступают внутренние статистические показатели, такие как, например, количество обнаруженных и предотвращенных инцидентов. Измерению в этом случае подлежат интеграционные показатели — те, по которым ведется постоянный мониторинг. Если из года в год ИБ-служба подтверждает на основе внутренней корпоративной статистики, что количество обнаруженных и обезвреженных угроз растет, а число реализованных рисков, напротив, падает, то на этапе обоснования бюджетов проблем с предоставлением необходимых средств скорее всего не возникнет. Нужно помнить, что специалист в области информационной безопасности никогда не станет финансовым специалистом — требовать от него детальных финансовых выкладок нелогично.
Для проведения оценки лучше всего использовать метрики информационной безопасности, зафиксированные в многочисленных международных стандартах, таких как NIST 800-55, ISO 27004 и др. В этих документах речь идет о метриках для конкретных технических решений и процедур, т.е. существует возможность проанализировать на основе статистических данных, насколько грамотно организована работа той или иной системы. Причем внутреннюю статистику в отличие от внешней можно проверить. В крупных компаниях таким анализом занимаются службы внутреннего аудита, нередко привлекаются для проведения экспертизы и независимые аудиторы. Важно также, чтобы специалисты по безопасности учитывали текущие тренды в своей сфере. Например, сейчас наблюдается бум DDoS-атак, и в компаниях, чей бизнес напрямую зависит от работы web-приложений, делается особый упор на борьбу с интернет-угрозами.
Таким образом, нужно признать, что количественная оценка эффективности вложений в информационную безопасность возможна, но она лежит в сфере статистических, но не финансовых показателей, а реальную эффективность работы ИБ-службы следует оценивать на основе ощущений владельцев бизнеса: грамотная и продуктивная работа будет всегда заметна и оценена руководством.
Источник
4.3 Оценка эффективности инвестиций в информационную безопасность
Реалии современного бизнеса таковы. Что в условиях рынка практически любая компания сосредоточена на поддержании своей конкурентоспособности – не только продуктов и услуг, но и конкурентоспособности компании в целом.
В этих условиях качество и эффективность информационной системы влияют на конечные финансовые показатели опосредовано, через качество бизнес-процессов.
При этом важно ответить на вопрос: как относиться к вложениям в информационную безопасность – как к затратам или как к инвестициям? Если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат является важной для компании проблемой. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность в целом и ИБ в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Разница в том, что затраты – это, в первую очередь, «осознанная необходимость», инвестиции – это перспектива окупаемости. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.
Основным экономическим эффектом, к которому стремится компания, создавая систему защиты информации (СЗИ), является существенное уменьшение материального ущерба вследствие реализации существующих угроз информационной безопасности.
Отдача от таких инвестиций в развитие компании должна быть вполне прогнозируемой.
В основе большинства методов оценки эффективности вложений в информационную безопасность лежит сопоставление затрат, требуемых на создание СЗИ, и ущерба, который может быть причинен компании из-за отсутствия этой системы.
ROI – это процентное отношение прибыли (или экономического эффекта) от проекта к инвестициям, необходимым для реализации этого проекта.
В основу общей модели расчета ТСО положено разделение всех затрат на две категории: прямые и косвенные. Под косвенными затратами, как правило, понимаются скрытые расходы, которые возникают в процессе эксплуатации СЗИ. Эти незапланированные расходы могут существенно превысить стоимость самой системы защиты. По данным той же Gartner Group, прямые затраты составляют 15-21 % от общей суммы затрат на использование ИТ.
Одним из ключевых преимуществ показателя ТСО является то, что он позволяет сделать выводы о целесообразности реализации проекта в области ИБ на основании оценки одних лишь только затрат. Тем более, что в случае с защитой информации нередко возникает ситуация, когда экономический эффект от внедрения СЗИ оценить нельзя, но объективная необходимость в ее создании существует.
Другим преимуществом этого показателя является то, что модель расчета ТСО предполагает оценку не только первоначальных затрат на создание СЗИ, но и затрат, которые могут иметь место на различных этапах всего жизненного цикла системы. Но, несмотря на это, показатель ТСО, впрочем, как и ROI, является статичным, отражающим некий временной срез – «фотографический снимок», не учитывая изменения ситуации во времени. Ведь информационные системы с течением времени подвергаются постоянным изменениям, появляются новые угрозы и уязвимости. Таким образом, обеспечение ИБ – это процесс, который необходимо рассматривать именно во времени. Поэтому для анализа эффективности инвестиций в ИБ предлагается рассмотреть возможность применения системы динамических показателей, основанных на методе дисконтированных потоков денежных средств (Discounted Cash Flows – DCF).
Целью любых инвестиций является увеличение притока денежных средств (в данном случае – уменьшение размера ущерба в результате реализации угроз ИБ) по сравнению с существующим.
Поэтому будущие поступления денежных средств (снижение ущерба) должны быть дисконтированы, то есть приведены к текущей стоимости. Для этого применяют ставку дисконтирования, величина которой отражает риски, связанные с обесцениванием денег из-за инфляции и с возможностью неудачи инвестиционного проекта, который может не принести ожидаемого эффекта. Другими словами, чем выше риски, связанные с проектом, тем больше значение ставки дисконтирования. Эта ставка также отражает общий уровень стоимости кредита для инвестиций.
Нередко ставка дисконтирования определяется показателем средневзвешенной стоимости капитала (Weighted Average Cost of Capital – WACC). Это средняя норма дохода на вложенный капитал, которую приходится выплачивать за его использование. Обычно WACC рассматривается как минимальная норма отдачи, которая должна быть обеспечена инвестиционным проектом.
Непосредственно для оценки эффективности инвестиций используют показатель чистой текущей стоимости (Net Present Value – NPV). По сути, это текущая стоимость будущих денежных потоков инвестиционного проекта с учетом дисконтирования и за вычетом инвестиций. Этот показатель рассчитывается по следующей формуле:
где – чистый денежный поток для i-го периода$
n – ставка дисконтирования (стоимость капитала, привлеченного для инвестиционного проекта).
При значении NPV большем или равном нулю, считается, что вложение капитала эффективно. При сравнении нескольких проектов принимается тот из них, который имеет большее значение NPV, если только оно положительное.
Предположим, некой компании требуется оценить проект по защите одного из сегментов сети своей информационной системы при помощи системы обнаружения вторжений (IDS).
Периоды Первонач. инвестиции Выгоды (размер риска) Размер остаточного риска Стоимость годовой поддержки Затраты на администрирование и инфраструктуру Итог 0 -15000,0 -15000,0 1 20000,0 -6000,0 -2000,0 -5400,0 6600,0 2 20000,0 -6000,0 -2000,0 -5400,0 6600,0 3 20000,0 -6000,0 -2000,0 -5400,0 6600,0
Если на основе данных, представленных в таблице 6, рассчитать показатель ROI, то получится, что внедрение IDS в данном случае даст экономический эффект, на 39% превышающий вложения. При анализе этого проекта с учетом стоимости капитала мы имеем следующий результат, инвестирование в этот проект не будет эффективным, так как значение NPV будет отрицательным (3014).
Кроме того, можно рассчитать внутренний коэффициент отдачи (Internal Rate of Return – IRR). Для этого необходимо найти такую ставку дисконтирования, при которой значение NPV будет равно нулю. В данном случае получим значение IRR равное 15%. Это значение имеет конкретный экономический смысл дисконтированной точки безубыточности. В этой точке дисконтированный поток затрат равен дисконтированному потоку доходов. Данный показатель также позволяет определить целесообразность вложения средств.
В рассматриваемом примере инвестиции в проект нецелесообразны, так как мы получили значение IRR меньше заданной ставки дисконтирования (30%).
Очевидно, что для оценки эффективности инвестиций в создание СЗИ недостаточно лишь определения показателей.
Кроме того, полезно проводить анализ чувствительности полученных показателей. Например, в рассмотренном примере увеличение исходного значения риска всего на 12% приведет к получению положительного значения NPV и увеличению ROI на 8%. А если учесть, что риск – это вероятностная величина, то погрешность в 12% вполне допустима. Так же можно проанализировать чувствительность полученных результатов и к другим исходным данным, например к затратам на администрирование.
Не следует забывать и о том, что далеко не весь ущерб от реализации угроз ИБ можно однозначно выразить в денежном исчислении. Например, причинение урона интеллектуальной собственности компании может привести к таким последствиям, как потеря позиций на рынке, потеря постоянных и временных конкурентных преимуществ или снижение стоимости торговой марки. Поэтому нередко даже при наличии рассчитанных показателей ROI и ТСО решение о создании СЗИ принимается на основе качественной оценки возможных эффектов.
Любой метод оценки эффективности инвестиций в ИБ является всего лишь набором математических формул и логических выкладок, корректность применения которых – только вопрос обоснования. Поэтому качество информации, необходимой для принятия решения о целесообразности инвестиций, в первую очередь, будет зависеть от исходных данных, на основе которых производились вычисления. Уязвимым местом в любой методике расчета является именно сбор и обработка первичных данных, их качество и достоверность.
Кроме того, четкое понимание целей, ради которых создается СЗИ, и непосредственное участие постановщика этих целей в процессе принятия решений также является залогом высокого качества и точности оценки эффективности инвестиций в ИБ. Такой подход гарантирует, что система защиты информации не будет являться искусственным дополнением к уже внедренной системе управления, а будет изначально спроектирована как важнейший элемент, поддерживающий основные бизнес-процессы компании.
Источник