18.04.2011

Что такое TEI?

Методик количественной оценки вклада ИТ (или ИБ) в бизнес существует немало. Помимо традиционных (ROI, TCO, NPV и т.д.) практически каждая консалтинговая и аналитическая компания предлагает свой подход. Одним из них является методика TEI (Total Economic Impact) от Forrester. В отличие от TCO, которая оперирует только затратами, и ROI, которая оперирует затратами и получаемыми преимуществами (как правило, в виде денег), TEI включает еще два элемента - гибкость и риски.



С помощью TEI компании могут оценивать бизнес-вклад проекта или решения по ИТ (ИБ) в количественной форме:
  • преимущества вычисляются как позитивный (хотя он может быть и негативным) результат (рост прибыли или эффективности) за заданный период анализа.
  • затраты вычисляются также за заданный период анализа (а не только капитальные затраты) и включают этап не только внедрения, но поддержки, а также планирования.
  •  гибкость определяет непрямые или долгосрочные выгоды, получаемые от внедрения проекта или принятия решения (например, тренинг специалистов позволяет в случае изменения бизнес-потребностей быстро к ним адаптироваться).
  • риски (неопределенность) компенсируют первоначальные оценки получаемых преимуществ, что позволяет более точно оценивать итоговые результаты.

Каждый из этих 4-х показателей разбивается на составные и вполне измеримые части, суммирование которых и дает итоговую цифру. Например, Forrester выделяет 5 категорий, получаемых от ИТ (ИБ) преимуществ:
  • доходы
  • продуктивность пользователей
  • эффективность капитала
  • защита активов
  • соответствие.

К чему я это все веду? Просто данная методика может быть применена при вычислении бизнес-отдачи от информационной безопасности. Использовать TEI можно двояко. Первый - самостоятельно вычислять все нужные показатели и суммировать их. Задача более чем непростая. Второй вариант - заказать соответствующие рассчеты у Forrester. Третий вариант является частным случаем второго - ждать, когда Forrester сам опубликует такие исследования. На сегодняшний день Forrester оценивал вклад в бизнес таких технологий как Wi-Fi, PBX и т.д.

К безопасности они пока не подобрались, но... по заказу Cisco компания Forrester недавно провела исследование и разработала калькулятор расчета бизнес-вклада от технологий, входящих в архитектуру Borderless Network (Сети без границ). К этим технологиям относятся маршрутизация и коммутация, мобильность (удаленный доступ и Wi-Fi), оптимизация WAN-каналов и безопасность.Результаты этого исследования публичны и доступны у нас на сайте.

Что интересного в этом исследовании? Во-первых,оно лишний раз подтверждает, что чтобы оценивать бизнес-вклад необходимо заложить в модель определенные бизнес-показатели. В частности, зарплату ИТ/ИБ-персонала, персонала поддержки и бизнес-пользователей. Также необходимо знать сумму капитальных и операционных затрат на ИТ/ИБ (с разбиением на софт, железо и сервисы) за заданный период времени. После всех расчетов (Forrester разработал для нас еще и специальный Excel-калькулятор для самостоятельного использования) на выходе мы получаем и диаграммы затрат на ИТ/ИБ, и денежный поток в течение заданного периода времени, и получаемые преимущества и т.д.

Второй вывод, который я сделал, анализируя результаты по разным заданным показателям, безопасность может приносить денежную выгоду и сама по себе. Но происходит это нечасто. Как правило, основная выгода от ИБ заключается в экономии, защите активов и соответствии. И третий вывод - чтобы "продать" безопасность наверх, ее лучше продавать вместе с чем-то; с защищенным удаленным доступом, с модернизацией сетевой инфраструктуры, с построением Интернет-представительства и т.д. Выгоды от информационной безопасности самой по себе не так привлекательны (особенно в краткосрочной перспективе), как от комплексных ИТ-проектов, в которых ИБ - одна из составных частей.

Покажу конкретный пример выдаваемых результатов. На первой иллюстрации мы видим получаемые преимущества для компании с 5000 сотрудниками и 50 офисами. Ежегодные преимущества составляют около 3 миллионов долларов, которые получаются, в основном, за счет удаленного защищенного доступа. Он снижает сложность инфраструктуры на 60% и повышает продуктивность сотрудников на 2% (в рассматриваемом примере). На ИБ у нас ложится "всего"15% совокупных преимуществ. Но и это немало.


На второй иллюстрации мы видим финансовый анализ, который доказывает, что ждать отдачи от ИТ/ИБ в первый год нелогично.


И, наконец, на третьей иллюстрации показываются финансовые показатели, понятные любому финансисту, который будет принимать решение о выделении инвестиций на ИТ/ИБ-проект.



В целом ничего нового - данные тезисы известны многим. Просто методика TEI лишний раз доказала их правоту "с цифрами в руках". Не голословные утверждения, а понятная методика и понятные результаты, которые не стыдно и финансовому директору показать.

12 коммент.:

Владимир Гнинюк комментирует...

Количественная оценка рисков в области ИБ – тема достаточно дискуссионная. Да, «как танец с бубнами» перед «топами», для выбивания бюджета, вещь крайне необходимая, если еще и методика «от-кутюр» - о большем мечтать грешно.

Ну а что касается реальной жизни, то это в лучшем случае – самообман. Вот недавний пример из реальной жизни http://vgninyuk.blogspot.com/2011/04/ra.html

Алексей Лукацкий комментирует...

Любая тема дискуссионная ;-)

Скажу крамолу, но если методика позволяет решить задачу безопасника (например, выбивание бюджета), то значит она работает (для данного безопасника).

А вообще количественно оценить ИБ можно. Только исходные данные нужны, которых обычно у безопасников не бывает.

magicandy комментирует...

Представьте себе безопасника на ликеро-водочном заводе или табачной фабрике, который "выбил" бюджет под информационную безопасность, при этом бизнес стал более прибыльным, и значит, количество людей отправившихся на кладбище, увеличилось...:)
Существуют ли какие-либо иные оценочные характеристики, которые не приводят к вышеуказанным парадоксам, или бизнес и жизнь - понятия несовместимые?

magicandy комментирует...

...думаю, что рассматривать купе без контекста паровоза - это пир во время чумы...

Алексей Лукацкий комментирует...

Он мог стать не более прибыльным, а менее затратным. Следовательно на число жизней не повлияло ;-)

magicandy комментирует...

Те же самые яйца, только вид сбоку :)))

Алексей Лукацкий комментирует...

Ну философский вопрос о том, можно ли идти работать на ликеро-водочный завод (т.к. работа на его благо - это работа во вред людям) оставляю за кадром ;-)

Алексей Волков комментирует...

> Скажу крамолу, но если методика позволяет решить задачу безопасника (например, выбивание бюджета), то значит она работает (для данного безопасника).

В том-то и дело, что для данного безопасника. Любая методика субъективна - ведь результат расчета зависит прежде всего от того, кто и как считает. На сегодняшний день объективных методик не существует. Да и не только в ИБ - вон, выборы возьмите... ;)

Алексей Лукацкий комментирует...

Объективного вообще ничего нет

rr комментирует...

Очень интересно.

securityinform комментирует...

А есть какие-то примеры применения этой методики для ИБ?

Алексей Лукацкий комментирует...

Есть. В тексте дана ссылка