Вопрос с Security ROI возникает постоянно. Как по делу, так и в разного рода спекуляциях. И четкого ответа так до сих пор и нет. Я его тоже не дам ;-) Но можно поразмышлять - может что и родится в процессе. Начну с того, что оценка возврата инвестиций в ИБ не обязательно должна проводиться в форме конкретной и измеряемой отдачи, прибыли. Ведь инвестирование часто происходит для того, чтобы защитить имеющуюся рыночную долю, снизить юридические риски, повысить эффективность (производительность) или поднять лояльность потребителя. Тут о прибыли говорить не приходится. По крайней мере напрямую. Хотя повышение производительности должно сказаться на повышении прибыльности. Например, та же географическая экспансия за счет внедрения технологий удаленного защищенного доступа. А лояльность потребителей (например, за счет внедрения системы отражения DDoS) сказывается как на числе сделок, так и на текучести клиентов, что тоже может быть выражено в конкретных денежных знаках. Правда, чтобы ИБшнику посчитать лояльность, надо активно работать с отделом по работе с клиентами и объяснить, зачем ему статистика текучести клиентов за полгода-год до внедрения системы и после. Но это уже отдельная песня - как выйти на бизнес-уровень.
Итак, как оценивать отдачу? Можно выделить два подхода - оценка с точки зрения результата и оценка с точки зрения процесса. В первом случае обычно оценивается разница "до" и "после" внедрения технологий/процессов ИБ. Разумеется с учетом и других факторов. Например, рост числа сделок или их ускорение после (кстати, "после" не значит "вследствии") внедрения VPN может быть вызван увеличением числа продавцов, прохождением ими специализированных курсов по продажам, внедрении программы мотивации и кучей других причин. Этот подход также используется обычно в одномоментных проектах (соответствие ФЗ-152 по требованиям ФСТЭК/ФСБ, внедрение защиты от DDoS, VPN между офисами и т.д.). В таких проектах достаточно просто показать достижение цели и расслабиться.
При определении вклада ИБ с точки зрения процесса оценивается применение технологий на промежуточных этапах достижения поставленных целей. Задача этого подхода оценивать немного иные показатели - точка во времени, когда проект по ИБ "ушел" с правильного пути, ошибки, приведшие к превышению затрат или недостижению заданных показателей, причины появления случайных или непредвиденных затрат. Данный подход также применяется и в "длинных" проектах с поэтапным инвестированием, когда отклонение чревато отставанием компании от конкурентов, когда необходимо поддерживать ранее сделанные инвестиции или когда надо выявить причины ухода с правильного пути или недостижение промежуточных реперных точек (такой причиной может быть непроведенный вовремя или неудачно проведенный тренинг повышения осведомленности по вопросам ИБ) и т.д.
Вообще идеально объединение этих двух подходов, что позволит не только показать достижение целей, но и оптимальность этого достижения или причины недостижения. На практике же многие идут именно по второму пути - с одной стороны он проще в реализации и в объяснении руководству, которое привыкло считать, что ИБ (да и ИТ тоже) измерить нельзя. С другой стороны в этом подходе не требуется обеспечивать достижение каких-то результатов - а это снижение ответственности, что всегда приятно ;-)
Но в ряде случаев второй подход может быть и сложнее. Например, оценка того или иного продукта с финансовой точки зрения может быть осуществлена в некоторых сценариях достаточно просто. В таком случае оценка на основе процесса, подразумевающая не только финансовую результативность, будет избыточной. Опять же, не всегда финансовая результативность может быть легко посчитана и продемонстрирована. Тогда мы оцениваем проект с иных точек зрения. По этому принципу строится система сбалансированных показателей, где финансовое измерение только одно из 4-х.
Итак, как оценивать отдачу? Можно выделить два подхода - оценка с точки зрения результата и оценка с точки зрения процесса. В первом случае обычно оценивается разница "до" и "после" внедрения технологий/процессов ИБ. Разумеется с учетом и других факторов. Например, рост числа сделок или их ускорение после (кстати, "после" не значит "вследствии") внедрения VPN может быть вызван увеличением числа продавцов, прохождением ими специализированных курсов по продажам, внедрении программы мотивации и кучей других причин. Этот подход также используется обычно в одномоментных проектах (соответствие ФЗ-152 по требованиям ФСТЭК/ФСБ, внедрение защиты от DDoS, VPN между офисами и т.д.). В таких проектах достаточно просто показать достижение цели и расслабиться.
При определении вклада ИБ с точки зрения процесса оценивается применение технологий на промежуточных этапах достижения поставленных целей. Задача этого подхода оценивать немного иные показатели - точка во времени, когда проект по ИБ "ушел" с правильного пути, ошибки, приведшие к превышению затрат или недостижению заданных показателей, причины появления случайных или непредвиденных затрат. Данный подход также применяется и в "длинных" проектах с поэтапным инвестированием, когда отклонение чревато отставанием компании от конкурентов, когда необходимо поддерживать ранее сделанные инвестиции или когда надо выявить причины ухода с правильного пути или недостижение промежуточных реперных точек (такой причиной может быть непроведенный вовремя или неудачно проведенный тренинг повышения осведомленности по вопросам ИБ) и т.д.
Вообще идеально объединение этих двух подходов, что позволит не только показать достижение целей, но и оптимальность этого достижения или причины недостижения. На практике же многие идут именно по второму пути - с одной стороны он проще в реализации и в объяснении руководству, которое привыкло считать, что ИБ (да и ИТ тоже) измерить нельзя. С другой стороны в этом подходе не требуется обеспечивать достижение каких-то результатов - а это снижение ответственности, что всегда приятно ;-)
Но в ряде случаев второй подход может быть и сложнее. Например, оценка того или иного продукта с финансовой точки зрения может быть осуществлена в некоторых сценариях достаточно просто. В таком случае оценка на основе процесса, подразумевающая не только финансовую результативность, будет избыточной. Опять же, не всегда финансовая результативность может быть легко посчитана и продемонстрирована. Тогда мы оцениваем проект с иных точек зрения. По этому принципу строится система сбалансированных показателей, где финансовое измерение только одно из 4-х.
17 коммент.:
В одной книге по финансовому анализу прочитал интересный способ денежной оценки репутации публичной компании: стоимость репутации = рыночная капитализация компании - балансовая стоимость компании. Получается способ перевода не денежной выгоды в денежную. Наверно можно использовать при оценке экономической эффективности ИБ инвестиций.
Есть такой метод. Но он оценивает что-то глобальное. А в нашем случае ИБ - это только один винтик в общем деле.
Часто ИБ воспринимается как процесс противодействия угрозам и оценкой рисков. А есть ли у ИБ теневая вторая жизнь ? Без привязки к рискам?
Иными словами существуют ли иные цели кроме противодействия угрозам?
Люди например моются не только ради здоровия... Но и для красоты и аромотерапии...и ...
Есть такие цели
Евгению: есть. И часто вторая жизнь бывает первой. Не той, что представляет А.Лукацкий.
Не очень понятно в чём проблема оценки :) ROI у безопасности, как мне кажется вообще нет.
Тем не менее, есть бизнес-ресурс, цена потери этого ресурса X и цена защиты этого ресурса до приемлимого уровня Y. Если X > Y - надо безопасить :) Если наоброт - не надо.
Остальное - умение играть статистикой и вероятностями - и это самое сложное. Ну и список таких бизнес-ресурсов составить дело не из лёгких.
Впрочем мне интересно немного другое - есть огромная корпорация Sony, у неё в штате небось было огромное кол-во безопасников и тратила она огромные бабки на все эти риски-писки. Но это не помешало кучке скрипт-кидисов-задротов нагнуть её трижды, похищая ПД её кастомеров. Вот тут-то и вопрос встаёт - нужна ли вообще бизнесу ИБ, если по большому счёту все эти многомиллионные инвестиции может свести к нулю админ-недоучка (или просто лентяй).
После таких историй как с Sony обосновать что-то бизнесу довольно трудно, ведь всё равно, любое дело (не обязательно ИБ) держится не на кипах бумаг и инструкций, защищающих тых их писателей, а на людях, которые умеют делать дело.
После некоторых обсуждений вывод такой:
Считать отдачу от ИБ нужно через основной бизнес! Можно считать отдельно бизнеса только в виде потенциала. Чтобы оценить реальную отдачу нужно накладывать потенциал ИБ на конкретный бизнес!
При этом, нужно четко понимать, что при некотором потенциале технологий ИБ отдача может быть не только положительной но и нулевой и даже отрицательной! В зависимости от того, как этот потенциал используется!
В FB была в ночь на субботу интересная дискуссия по этому вопросу с выпускниками MBA ;-)
Дык а выводы по результатам дискуссии ?
MBA заявили, что все фигня. Притянуть можно все угодно, хоть ROI, хоть WACC. И даже кто-нибудь это "съест", но финансистам это лучше не показывать - засмеют. Другая рекомендация - ждать, когда иностранные эксперты придумают что-то внятное по ROI в ИБ. Мое предложение в сторону MBA придумать самим осталось безответным ;-)
Э... на банкире - помнишь...
В конторе по разработке ПО...
Задача - обосновать новую поделку !
- Исполнитель обосновывает
- результат не принимается
- Исполнитель обосновывает по одной методике
- результат не принимается
- Исполнитель обосновывает по другой методике
- результат не принимается
- Исполнитель - "прошу указать методику обоснования"
- т.и.ш.и.н.а...
Лучшая методика обоснования:
- баня,пиво,девочки
- большая доля
- ...
Вот интересно а как оценивать потенциал технологии ИБ ?!. Ну некую цифиру получать накладывая на которую параметры бизнеса и т.п. можно бы было оценивать не только отдачу но и эффективность реальной технологии в реальной конторе. И к тому же выявлять неэффективное использование и само собой неэффективную работу службы ИБ ?...
Баня, девочки... с CxO не работает. Если ты можешь пригласить человека, принимающего решения, в баню, то уровень ваших отношений такой, что ему обоснование не нужно ;-)
Дык беда в том, что любые методики отбрасываются! По какой не посчитай! На вопрос - я посчитаю по любой Вами указанной и результат будет такой какой получится хоть положительный хоть отрицательный... Но укажите по какой...
Ответа на такой вопрос не дают !
Отсюда появляется некое искусство впаривания замешенное на неких кусках методик, танцах с бубном, выковыриванием из *** и подачи в удобный момент под красивую музыку ;)
Ну если принимающая сторона не понимает, что хочет, то безусловно все сводится к впариванию
Отправить комментарий