Методик количественной оценки вклада ИТ (или ИБ) в бизнес существует немало. Помимо традиционных (ROI, TCO, NPV и т.д.) практически каждая консалтинговая и аналитическая компания предлагает свой подход. Одним из них является методика TEI (Total Economic Impact) от Forrester. В отличие от TCO, которая оперирует только затратами, и ROI, которая оперирует затратами и получаемыми преимуществами (как правило, в виде денег), TEI включает еще два элемента - гибкость и риски.
С помощью TEI компании могут оценивать бизнес-вклад проекта или решения по ИТ (ИБ) в количественной форме:
Каждый из этих 4-х показателей разбивается на составные и вполне измеримые части, суммирование которых и дает итоговую цифру. Например, Forrester выделяет 5 категорий, получаемых от ИТ (ИБ) преимуществ:
К чему я это все веду? Просто данная методика может быть применена при вычислении бизнес-отдачи от информационной безопасности. Использовать TEI можно двояко. Первый - самостоятельно вычислять все нужные показатели и суммировать их. Задача более чем непростая. Второй вариант - заказать соответствующие рассчеты у Forrester. Третий вариант является частным случаем второго - ждать, когда Forrester сам опубликует такие исследования. На сегодняшний день Forrester оценивал вклад в бизнес таких технологий как Wi-Fi, PBX и т.д.
К безопасности они пока не подобрались, но... по заказу Cisco компания Forrester недавно провела исследование и разработала калькулятор расчета бизнес-вклада от технологий, входящих в архитектуру Borderless Network (Сети без границ). К этим технологиям относятся маршрутизация и коммутация, мобильность (удаленный доступ и Wi-Fi), оптимизация WAN-каналов и безопасность.Результаты этого исследования публичны и доступны у нас на сайте.
Что интересного в этом исследовании? Во-первых,оно лишний раз подтверждает, что чтобы оценивать бизнес-вклад необходимо заложить в модель определенные бизнес-показатели. В частности, зарплату ИТ/ИБ-персонала, персонала поддержки и бизнес-пользователей. Также необходимо знать сумму капитальных и операционных затрат на ИТ/ИБ (с разбиением на софт, железо и сервисы) за заданный период времени. После всех расчетов (Forrester разработал для нас еще и специальный Excel-калькулятор для самостоятельного использования) на выходе мы получаем и диаграммы затрат на ИТ/ИБ, и денежный поток в течение заданного периода времени, и получаемые преимущества и т.д.
Второй вывод, который я сделал, анализируя результаты по разным заданным показателям, безопасность может приносить денежную выгоду и сама по себе. Но происходит это нечасто. Как правило, основная выгода от ИБ заключается в экономии, защите активов и соответствии. И третий вывод - чтобы "продать" безопасность наверх, ее лучше продавать вместе с чем-то; с защищенным удаленным доступом, с модернизацией сетевой инфраструктуры, с построением Интернет-представительства и т.д. Выгоды от информационной безопасности самой по себе не так привлекательны (особенно в краткосрочной перспективе), как от комплексных ИТ-проектов, в которых ИБ - одна из составных частей.
Покажу конкретный пример выдаваемых результатов. На первой иллюстрации мы видим получаемые преимущества для компании с 5000 сотрудниками и 50 офисами. Ежегодные преимущества составляют около 3 миллионов долларов, которые получаются, в основном, за счет удаленного защищенного доступа. Он снижает сложность инфраструктуры на 60% и повышает продуктивность сотрудников на 2% (в рассматриваемом примере). На ИБ у нас ложится "всего"15% совокупных преимуществ. Но и это немало.
На второй иллюстрации мы видим финансовый анализ, который доказывает, что ждать отдачи от ИТ/ИБ в первый год нелогично.
И, наконец, на третьей иллюстрации показываются финансовые показатели, понятные любому финансисту, который будет принимать решение о выделении инвестиций на ИТ/ИБ-проект.
В целом ничего нового - данные тезисы известны многим. Просто методика TEI лишний раз доказала их правоту "с цифрами в руках". Не голословные утверждения, а понятная методика и понятные результаты, которые не стыдно и финансовому директору показать.
С помощью TEI компании могут оценивать бизнес-вклад проекта или решения по ИТ (ИБ) в количественной форме:
- преимущества вычисляются как позитивный (хотя он может быть и негативным) результат (рост прибыли или эффективности) за заданный период анализа.
- затраты вычисляются также за заданный период анализа (а не только капитальные затраты) и включают этап не только внедрения, но поддержки, а также планирования.
- гибкость определяет непрямые или долгосрочные выгоды, получаемые от внедрения проекта или принятия решения (например, тренинг специалистов позволяет в случае изменения бизнес-потребностей быстро к ним адаптироваться).
- риски (неопределенность) компенсируют первоначальные оценки получаемых преимуществ, что позволяет более точно оценивать итоговые результаты.
Каждый из этих 4-х показателей разбивается на составные и вполне измеримые части, суммирование которых и дает итоговую цифру. Например, Forrester выделяет 5 категорий, получаемых от ИТ (ИБ) преимуществ:
- доходы
- продуктивность пользователей
- эффективность капитала
- защита активов
- соответствие.
К чему я это все веду? Просто данная методика может быть применена при вычислении бизнес-отдачи от информационной безопасности. Использовать TEI можно двояко. Первый - самостоятельно вычислять все нужные показатели и суммировать их. Задача более чем непростая. Второй вариант - заказать соответствующие рассчеты у Forrester. Третий вариант является частным случаем второго - ждать, когда Forrester сам опубликует такие исследования. На сегодняшний день Forrester оценивал вклад в бизнес таких технологий как Wi-Fi, PBX и т.д.
К безопасности они пока не подобрались, но... по заказу Cisco компания Forrester недавно провела исследование и разработала калькулятор расчета бизнес-вклада от технологий, входящих в архитектуру Borderless Network (Сети без границ). К этим технологиям относятся маршрутизация и коммутация, мобильность (удаленный доступ и Wi-Fi), оптимизация WAN-каналов и безопасность.Результаты этого исследования публичны и доступны у нас на сайте.
Что интересного в этом исследовании? Во-первых,оно лишний раз подтверждает, что чтобы оценивать бизнес-вклад необходимо заложить в модель определенные бизнес-показатели. В частности, зарплату ИТ/ИБ-персонала, персонала поддержки и бизнес-пользователей. Также необходимо знать сумму капитальных и операционных затрат на ИТ/ИБ (с разбиением на софт, железо и сервисы) за заданный период времени. После всех расчетов (Forrester разработал для нас еще и специальный Excel-калькулятор для самостоятельного использования) на выходе мы получаем и диаграммы затрат на ИТ/ИБ, и денежный поток в течение заданного периода времени, и получаемые преимущества и т.д.
Второй вывод, который я сделал, анализируя результаты по разным заданным показателям, безопасность может приносить денежную выгоду и сама по себе. Но происходит это нечасто. Как правило, основная выгода от ИБ заключается в экономии, защите активов и соответствии. И третий вывод - чтобы "продать" безопасность наверх, ее лучше продавать вместе с чем-то; с защищенным удаленным доступом, с модернизацией сетевой инфраструктуры, с построением Интернет-представительства и т.д. Выгоды от информационной безопасности самой по себе не так привлекательны (особенно в краткосрочной перспективе), как от комплексных ИТ-проектов, в которых ИБ - одна из составных частей.
Покажу конкретный пример выдаваемых результатов. На первой иллюстрации мы видим получаемые преимущества для компании с 5000 сотрудниками и 50 офисами. Ежегодные преимущества составляют около 3 миллионов долларов, которые получаются, в основном, за счет удаленного защищенного доступа. Он снижает сложность инфраструктуры на 60% и повышает продуктивность сотрудников на 2% (в рассматриваемом примере). На ИБ у нас ложится "всего"15% совокупных преимуществ. Но и это немало.
На второй иллюстрации мы видим финансовый анализ, который доказывает, что ждать отдачи от ИТ/ИБ в первый год нелогично.
И, наконец, на третьей иллюстрации показываются финансовые показатели, понятные любому финансисту, который будет принимать решение о выделении инвестиций на ИТ/ИБ-проект.
В целом ничего нового - данные тезисы известны многим. Просто методика TEI лишний раз доказала их правоту "с цифрами в руках". Не голословные утверждения, а понятная методика и понятные результаты, которые не стыдно и финансовому директору показать.
Количественная оценка рисков в области ИБ – тема достаточно дискуссионная. Да, «как танец с бубнами» перед «топами», для выбивания бюджета, вещь крайне необходимая, если еще и методика «от-кутюр» - о большем мечтать грешно.
ОтветитьУдалитьНу а что касается реальной жизни, то это в лучшем случае – самообман. Вот недавний пример из реальной жизни http://vgninyuk.blogspot.com/2011/04/ra.html
Любая тема дискуссионная ;-)
ОтветитьУдалитьСкажу крамолу, но если методика позволяет решить задачу безопасника (например, выбивание бюджета), то значит она работает (для данного безопасника).
А вообще количественно оценить ИБ можно. Только исходные данные нужны, которых обычно у безопасников не бывает.
Представьте себе безопасника на ликеро-водочном заводе или табачной фабрике, который "выбил" бюджет под информационную безопасность, при этом бизнес стал более прибыльным, и значит, количество людей отправившихся на кладбище, увеличилось...:)
ОтветитьУдалитьСуществуют ли какие-либо иные оценочные характеристики, которые не приводят к вышеуказанным парадоксам, или бизнес и жизнь - понятия несовместимые?
...думаю, что рассматривать купе без контекста паровоза - это пир во время чумы...
ОтветитьУдалитьОн мог стать не более прибыльным, а менее затратным. Следовательно на число жизней не повлияло ;-)
ОтветитьУдалитьТе же самые яйца, только вид сбоку :)))
ОтветитьУдалитьНу философский вопрос о том, можно ли идти работать на ликеро-водочный завод (т.к. работа на его благо - это работа во вред людям) оставляю за кадром ;-)
ОтветитьУдалить> Скажу крамолу, но если методика позволяет решить задачу безопасника (например, выбивание бюджета), то значит она работает (для данного безопасника).
ОтветитьУдалитьВ том-то и дело, что для данного безопасника. Любая методика субъективна - ведь результат расчета зависит прежде всего от того, кто и как считает. На сегодняшний день объективных методик не существует. Да и не только в ИБ - вон, выборы возьмите... ;)
Объективного вообще ничего нет
ОтветитьУдалитьОчень интересно.
ОтветитьУдалитьА есть какие-то примеры применения этой методики для ИБ?
ОтветитьУдалитьЕсть. В тексте дана ссылка
ОтветитьУдалить