24.6.11

Можно ли посчитать ROI по безопасности?

И вновь вернусь к этой животрепещущей теме ;-) Так и не выложил я реальные цифры по расчету ROI по методу Монте-Карло - руки все не доходят оформить это надлежащим образом. Но зато наткнулся неделю назад еще на одну статью, посвященную этому вопросу. А в статье дана ссылка на калькулятор ROSI (Return on Security Investment).

Забавный инструмент. Формула там "простая" - из монетарной стоимости снижаемых рисков надо вычесть стоимость защитных мер, направленных на это самое снижение. Калькулятор работает в два шага. На первом надо посчитать цену всех инцидентов (что может быть проще ;-), а на втором - стоимость защитных мер (security controls). Дальше калькулятор все сделает за вас и выдаст вам в результате расчет ROSI.

ЗЫ. Калькулятор бесплатный, но зарегистрироваться на сайте придется.

ЗЗЫ. От себя добавлю, что вывод, который я озвучил на форуме директоров по ИБ в презентации по финансовой оценке проектов по ИБ, верен и в данном калькуляторе. Чтобы посчитать стоимость инцидентов вам необходимы данные, которых обычно у служб ИБ нет - они в ведении ИТ-департаментов, финансовых департаментов и других бизнес-подразделений. Это вам не объем спама или число дыр считать ;-)

8 коммент.:

Сергей Борисов комментирует...

Другими словами - все плохо?

Алексей Лукацкий комментирует...

Плохо, если безопасник не может получить исходных данных. А если может, то хорошо.

Alexey Volkov комментирует...

Дело не в том, что не может получить. Дело в том, что не может сформулировать, что именно ему нужно и в какой форме. Увы, но в подавляющем большинстве случаев безопасность и бизнес разговаривают на разных языках. Отсюда и все проблемы. Современный безопасник должен не только хорошо разбираться в своем вопросе, но иметь подготовку и в менеджменте организации, и в юриспруденции, и в финансах. Постоянно самообразовываться и развиваться. Иначе он обречен на вымирание. И никакие ROI здесь не помогут.

Сергей Борисов комментирует...

Даже если случится чудо и безопасник научится говорить на языке бизнеса, он столкнется с отсутствием цены всех инцидентов (крупных инцидентов могло и не быть).

А ведь может оказаться что и бизнес не может оценить активы в деньгах. А всем этим калькуляторам - только стоимости подавай. Понимаешь ли им не подходят категории типа "снижение репутации в глазах 13% клиентов".

Алексей Лукацкий комментирует...

Он столкнется с этим только в одном случае - когда он не хочет или не умеет считать. Все инциденты известны. Сделать расчет по каждому из них не представляет большого труда. Надо только потом всю это информацию вести в базе инцидентов. Но у кого она есть? Потому и не считают стоимость инцидентов.

Тоже самое касается и активов. Методики оценки нематериальных активов существуют в России уже лет 10. Вопрос в том, что ими мало кто пользуется.

ansv комментирует...

Может кто-нибудь пояснить, как учесть в стоимости инцидента, скажем, ущерб репутации, если в организации отродясь никаких инцидентов не регистрировали и "сбежавших" клиентов никто не подсчитывал.

Смотреть на другие организации? Так может быть специфика. В том числе и национальная. Только экспертное "на глаз" остается или есть какие-то методики?

Алексей Лукацкий комментирует...

Никак ;-( Ответ вытекает из вопроса. Если в организации не фиксируют инциденты и отток клиентов не считают, то ни о каком ROI и речи быть не может. Хотя текучка клиентов считается проще всего - есть данные по продажам за любой период; сравнивайте до и после инцидента. Только надо учитывать, что отток мог быть после, но не вследствии инцидента. Но в целом задача решаема.

Alexey Volkov комментирует...

Алексей... Нифига не проще. На поведение клиентов влияет очень и очень много факторов, и кража клиентской базы в подавляющем большинстве случаев – на предпоследнем месте. И даже если она украдена, то имеет не прямой, а отложенный во времени эффект, и реально посчитать потери крайне затруднительно. Скорее потери будут имиджевые и репутационные, а это такое дышло...