Реальная экономия на использовании средств ИТ-безопасности
Коэффициент возврата инвестиций
Защита от нецелевого использования ресурсов e-mail и Интернета
Предотвращение утечек конфиденциальных данных
Основательный подход к выбору продуктов
Сегодня существует огромное количество угроз ИТ-безопасности и, пожалуй, еще большее количество продуктов, позволяющих в той или иной мере защититься от этих угроз. Теоретически наращивать систему ИТ-безопасности предприятия можно до бесконечности, внедряя все новые и новые решения. Однако на практике каждая компания всегда ограничена в своих финансовых возможностях и стоит перед выбором, от какой угрозы защищаться и какой продукт внедрять. Более того, сотрудники информационных служб, делающие этот выбор, обязательно должны обосновать свое решение, чтобы убедить руководство компании в его правильности. При этом разумные аргументы в пользу того или иного продукта должны действительно свидетельствовать о необходимости покупки и внедрения комплекса ИТ-безопасности. Одним из самых убедительных аргументов является анализ эффективности инвестиций в конкретный продукт, позволяющий продемонстрировать реальную экономию финансовых средств (благодаря использованию именно этого программного решения). Об этом и пойдет речь в данной статье.
Финансовые метрики
инансовая метрика — это механизм, который позволяет проанализировать эффективность инвестиций в тот или иной продукт. Согласно последнему опросу Института компьютерной безопасности и ФБР (см. «CSI/FBI Computer Crime and Security Survey 2005» (Отчет об исследовании доступен на русском языке в Интернете: http://www.infowatch.ru/threats?chapter=147151396&id=169660266)), в котором приняли участие 700 американских компаний, наиболее популярными являются следующие метрики: коэффициент возврата инвестиций (Return on Investment, ROI), внутренняя норма рентабельности (Internal Rate of Return, IRR) и чистая приведенная стоимость (Net Present Value, NPV). Респондентам предлагалось ответить, используют ли их организации ROI, NPV или IRR для оценки эффективности финансовых вложений. Результаты опроса показывают, что 38% организаций применяют ROI, 18% — NPV, 19% — IRR (рис. 1).
Рис. 1. Процент компаний, использующих показатели ROI, NVP и IRR
Хотя эти цифры выглядят внушительно, все-таки они меньше, чем 55, 22 и 25% соответственно, полученных в результате аналогичного исследования 2004 года. Эксперты Института компьютерной безопасности и ФБР считают, что сокращение использования финансовых показателей вызвано чрезвычайно большим числом инцидентов в сфере ИТ-безопасности, произошедших за последний год. В результате повышенного внимания со стороны прессы, общества, правительства и исполнительных лиц к подобным происшествиям ИТ-безопасность превратилась в статью бюджета, на которую обязательно надо выделять средства. Таким образом, у ИТ-менеджеров в большинстве случаев отпала необходимость доказывать самим себе или руководству эффективность вложений в тот или иной продукт.
Рассматривая вопрос о популярности использования финансовых метрик, нельзя обойти стороной исследование известного журнала CSO Magazine (См.: http://www.csoonline.com/csoresearch/report94.html), согласно которому немногим более половины всех компаний (51%) подсчитывают коэффициент возврата инвестиций для внедряемых или уже эксплуатируемых систем ИТ-безопасности.
Таким образом, коэффициент возврата инвестиций действительно является самым популярным инструментом анализа эффективности инвестиций. Далее мы расскажем, как подсчитывать эту метрику в общем виде, а также приведем три практических примера вычисления этого коэффициента для следующих продуктов: комплексного решения для предотвращения утечек конфиденциальных данных, фильтра нежелательных сообщений и решения для защиты от нецелевого использования ресурсов электронной почты и Интернета.
 |
|
Коэффициент возврата инвестиций
оэффициент возврата инвестиций (ROI) проще всего определить как отношение прибыли, полученной в результате инвестиционного проекта, к величине начальных инвестиций. В контексте продуктов ИТ-безопасности если полученный коэффициент равен 1, то стоимость продукта точно уравновешивается полученной выгодой, следовательно, проект не является ни прибыльным, ни убыточным. Если вычисленное отношение больше 1, значит, прибыль превышает начальные инвестиции и такой продукт стоит покупать и внедрять. Наконец, если коэффициент меньше 1, то проект убыточен (затраты превышают полученную прибыль).
Заметим, что самый полный энциклопедический словарь Интернета (Wikipedia (См.: http://en.wikipedia.org/wiki/Return_on_ investment)) предлагает из коэффициента, определенного как отношение результирующей прибыли к величине начальных инвестиций, вычитать 1. В этом случае все вышеуказанные сравнения нужно будет проводить с нулем. Удобство такого сдвига метрики ROI к началу координат наиболее очевидно в том случае, когда сам коэффициент представляется в процентах. Тогда действительно, коэффициент, превышающий 100%, указывает на то, что прибыль больше начальных инвестиций в два раза. Между тем, с точки зрения финансового анализа неважно, симметрична метрика ROI относительно нуля или нет. Следует лишь понимать, где проходит граница между прибыльным проектом и убыточным.
Однако на практике данная метрика рассчитывается еще более простым способом: вычисляется реальная экономия финансовых средств от использования продукта из расчета одного года его эксплуатации. Далее будет показано, как подсчитывать и использовать эту величину. Сейчас же важно разобраться, почему коэффициент возврата инвестиций очень редко применяется на практике в своей наиболее корректной формулировке.
Все дело в том, что при подсчете метрики ROI для конкретного проекта (или продукта) очень сложно учесть абсолютно всю прибыль или выгоду, полученную в результате его использования. Во многих случаях удается определить это значение для первого года эксплуатации продукта, а также для второго и для третьего года (обычно первый год рассматривают отдельно, так как здесь в стоимость продукта могут входить и затраты на внедрение). Заглядывать дальше часто не только не имеет смысла, но еще и очень сложно с технической точки зрения — за это время могут появиться гораздо более эффективные продукты и решения.
Таким образом, на практике удобнее всего подсчитывать реальную выгоду, получаемую от применения продукта, и сравнивать ее со стоимостью продукта в первый и в последующие годы. Если быть точными до конца, то при этом вычисляется коэффициент возврата инвестиций для каждого года эксплуатации.
Далее на примерах мы покажем, как подсчитать выгоду от использования того или иного продукта и наиболее корректно сравнить ее со стоимостью продукта или решения.
|
|
Средства борьбы со спамом
качестве примера анализа эффективности инвестиций в продукт для борьбы со спамом удобнее всего рассмотреть проект защиты почтовой системы ОАО «ВымпелКом» с помощью продукта Kaspersky Anti-Spam Enterprise Edition. Не касаясь технических характеристик продукта и особенностей борьбы со спамом, отметим, что поставщиком решения является российская компания «Лаборатория Касперского», а заказчиком — телекоммуникационная компания, оказывающая услуги сотовой связи под торговой маркой «Билайн».
Для расчета коэффициента возврата инвестиций, а точнее реальной экономии вследствие использования продукта, воспользуемся сведениями, предоставленными ОАО «ВымпелКом» (См.: http://www.cnews.ru/reviews/articles/index.shtml?2005/09/15/187154_1 http://www.cnews.ru/reviews/articles/index.shtml?2005/09/15/187154_2 )(табл. 1).
Таблица 1
* Усредненная стоимость рабочего времени сотрудника в месяц состоит не только из затрат на оплату труда сотрудника (включая налоги на фонд заработной платы), но и из затрат на содержание его рабочего места, таких как аренда занимаемой рабочим местом части помещения, обслуживание соответствующим персоналом (например, IT-отделом, бухгалтерией, сотрудниками, отвечающими за уборку помещения, и т.д.), и некоторых других расходов.
Рассмотрим некоторые параметры подробнее. Прежде всего, общий объем корреспонденции (70 тыс. сообщений в сутки) обусловлен той важной ролью, которую почтовые коммуникации играют в ежедневном функционировании компании. Так, в ОАО «ВымпелКом» развернуто более 7 тыс. почтовых клиентов, а средний суммарный трафик сообщений составляет около 20 Гбайт в сутки. Следующим параметром является доля спама. Здесь следует обратить внимание на то, что при расчете экономической эффективности специалисты компании использовали не общую статистику, предоставляемую аналитическими агентствами (обычно это 70-75%), а собственные данные, замеренные в реальных условиях работы. Отметим, что любое предприятие, принимающее решение о покупке и внедрении средства для борьбы со спамом, в состоянии самостоятельно произвести необходимые замеры и подсчитать именно для своей сети суточный объем почтовой корреспонденции, а также долю спама.
Особое внимание следует обратить на время обработки одного нежелательного сообщения, то есть сколько времени тратит сотрудник компании на то, чтобы распознать, является ли сообщение действительно нужным или это просто спам. Абсолютно точно данный параметр определить невозможно, так как опытный пользователь сможет практически мгновенно отличить, скажем, рекламу от делового сообщения, а офисный сотрудник, едва знакомый с персональным компьютером, затратит на это даже более 30 секунд. Методика подсчета, которую использовали специалисты ОАО «ВымпелКом», неизвестна, однако параметр, равный 10 секундам, выглядит оптимальным.
По той же самой причине невозможно проверить следующий параметр, выражающий суммарные дневные затраты на спам. Тем не менее данную величину легко подсчитать в каждом отдельном случае для любой конкретной компании. Например, если время обработки одного нежелательного письма умножить на количество таких сообщений в сутки, то получится время (в случае ОАО «ВымпелКом» — измеренное в секундах), которое компания ежедневно теряет. Другими словами, сотрудники тратят это время на обработку корреспонденции (борются со спамом своими силами) вместо того, чтобы работать. Для исследуемого сотового оператора такая величина составляет 116,6 часов в сутки (42 тыс.Ѕ10 / 3600 (3600 — число секунд в одном часе)). Это больше 24 часов, но не следует забывать, что в компании такого масштаба работают более 11 тыс. сотрудников, из которых более 7 тыс. имеют дело с электронной почтой.
Чтобы перевести потери времени в реальные деньги, необходимо подсчитать, сколько компания тратит на «ручную борьбу» сотрудника со спамом (то есть сколько денег на этом теряет компания). Для этого следует вычислить средние затраты на служащих в тех же временных единицах, что и суммарная величина потерь, полученная ранее. В случае ОАО «ВымпелКом» средние затраты на сотрудника составляют 1500 долл. в месяц. Чтобы подсчитать, сколько компания платит сотруднику в час, необходимо месячную зарплату разделить на 22 (число рабочих дней в месяце), а потом еще на 8 (число рабочих часов в день). Таким образом, для сотового оператора получается 8,5 долл. — это средняя зарплата сотрудника в час.
В результате, умножив 8,5 долл. на 116,6 потраченных впустую часов, получим 991 долл. Это те деньги, которые компания теряет в сутки из-за непрекращающегося потока спама. Заметим, что у специалистов ОАО «ВымпелКом» этот параметр получился равным 1093 долл., то есть почти на 100 долл. больше. Это не меняет сути рассуждений, а лишь подчеркивает, что каждая компания в состоянии наиболее точно произвести все расчеты, имея на руках данные собственного мониторинга (О методике подсчета суммарных потерь ОАО «ВымпелКом» остается только догадываться, однако точно такой же результат (1093 долл.) может быть получен, если производить все вычисления, например, из расчета 20 рабочих дней в месяце).
Таким образом, вычислив суммарные потери в сутки, легко подсчитать убытки в течение месяца и года. По данным ОАО «ВымпелКом», это 32,812 тыс. долл. ежемесячно и 393 тыс. долл. ежегодно (табл. 2).
Таблица 2
Воспользовавшись информацией из открытых источников (Например, здесь: http://www.softkey.ru/catalog/program_ver.php?ID=2773) о стоимости Kaspersky Anti-Spam Enterprise Edition, легко понять, что в случае ОАО «ВымпелКом» его внедрение было выгодным.
Таким образом, чтобы определить эффективность инвестиций в решение ИТ-безопасности, необходимо подсчитать реальную экономию от применения продукта. Для этого следует подсчитать убытки вследствие успешной реализации угрозы ИТ-безопасности (в данном случае потраченное рабочее время на «разгребание» рекламных писем), а потом перевести их в денежное выражение. Зная реальную экономию в случае использования данного продукта, легко сравнить ее с ценой и вычислить, за какой промежуток времени проект окупится. Все эти шаги и были проделаны в анализе выше.
В заключение отметим, что анализ ситуации в одной компании очень редко применим для другой компании (за исключением очень похожих предприятий). Так, для небольшой компании уменьшается число почтовых клиентов и получаемой корреспонденции, а следовательно, снижается объем спама. Вдобавок, довольно сложно найти две фирмы, в которых будут одинаковая средняя зарплата, число почтовых ящиков и т.д. Таким образом, финансовый анализ необходимо проводить для каждой компании с учетом ее специфики.
|
|
Защита от нецелевого использования ресурсов e-mail и Интернета
ынок подобных продуктов чрезвычайно развит, на нем присутствуют как западные, так и российские игроки. Интересно отметить, что каждый иностранный поставщик решений в этой сфере приводит на своем веб-сайте специальный калькулятор, позволяющий подсчитать коэффициент возврата инвестиций, в то время как отечественные компании игнорируют такую возможность. Так, компании ISS и SurfControl (См.: http://www.iss.net/products_services/webfilter/roi_calculator.php, http://www.surfcontrol.ru/support/roi.shtml) предоставляют своим потенциальным клиентам ROI-калькулятор (у последней он доступен даже на русском языке), соответственно любой пользователь может очень быстро подсчитать эффективность своих вложений в тот или иной продукт в зависимости от его комплектации (рис. 2).
Рис. 2. ROI-калькулятор компании SurfControl
Чтобы воспользоваться ROI-калькулятором поставщика, необходимо, как и в предыдущем случае, оценить финансовые потери вследствие успешной реализации угрозы. В данном случае речь идет о том, что сотрудник потратит рабочее время на обмен личными (не деловыми) электронными сообщениями или на посещение сайтов, например, развлекательной направленности. Следовательно, необходимо подсчитать среднюю стоимость одного часа работы сотрудника.
Такие параметры, как число служащих, имеющих доступ к Интернету или к электронной почте, есть в наличии в каждой компании, однако неизвестно, сколько времени персонал тратит на использование информационных ресурсов предприятия в личных целях. ROI-калькуляторы ведущих поставщиков по умолчанию предлагают значение, равное одному часу, как для развлекательных сайтов, так и для личных сообщений. Заметим, что для каждой компании эти параметры будут сугубо индивидуальны, поэтому не стоит доверять значениям по умолчанию. Например, вполне может оказаться, что персонал данной конкретной фирмы налегает только на развлекательный Интернет, а почту использует в 99% случаев по назначению. В этом случае эффективным будет внедрение продукта лишь для предотвращения нецелевого использования ресурсов Интернета. Конечно, можно предположить, что сотрудники, лишившись «личного» Интернета, заменят его электронной почтой. Однако это лишь гипотеза, поэтому докупать какой-то программный модуль, не требующийся сейчас, нецелесообразно.
Как же определить индивидуальные для той или иной компании параметры? Ответ очень прост: каждый поставщик решений в этой сфере предлагает пробные версии своих продуктов, которые можно установить в корпоративной сети и которые помогут сделать все необходимые замеры. Именно таким способом, тестируя потенциально привлекательное решение в конкретной компании, можно вычислить, сколько времени служащие тратят на личный Интернет и неделовые сообщения.
Зная все эти параметры, можно воспользоваться как калькулятором поставщика, так и собственными выкладками: аналогично предыдущему случаю умножить стоимость часа на количество потраченных впустую часов.
|
|
Предотвращение утечек конфиденциальных данных
рассмотренных примерах определить финансовые потери оказалось более или менее просто. Хотя в расчетах не учитывались некоторые тонкости (например, спам повышает риск заражения вредоносными кодами, что приводит к дополнительным убыткам, а сотрудники, использующие Интернет в личных целях, могут подцепить в сети программу-шпиона), все-таки финальный параметр оказался «оценкой снизу». Другими словами, на практике потери могут быть не ниже установленных на бумаге. Следовательно, если продукт оправдывает себя согласно данному теоретическому анализу, то на практике он окажется еще более выгодным (возможно, незначительно).
Намного сложнее обстоит дело в тех случаях, когда речь идет об угрозах ИТ-безопасности, последствия которых очень сложно оценить в финансовых показателях, например об утечке конфиденциальных данных. Здесь ущерб только от одного инцидента лежит в пределах от нуля до десятков миллионов долларов. Более того, такие инциденты обладают крайне высоким уровнем латентности, поэтому пострадавшие компании стараются скрыть их. Следовательно, для расчета финансовых убытков часто не хватает аналитических и статистических данных. Тем не менее, как и в предыдущих примерах, можно попытаться оценить ущерб снизу. Для этого можно воспользоваться статистикой ведущих мировых исследовательских центров.
Согласно исследованию ФБР и Института компьютерной безопасности (см. «CSI/FBI Computer Crime Security Survey 2005»), в котором приняли участие 700 представителей американского бизнеса, средний ущерб каждой компании, зарегистрировавшей кражу конфиденциальных данных в 2005 году, составил 355,5 тыс. долл.
Однако еще не факт, что каждая компания сталкивается с кражей конфиденциальных данных ежегодно. Действительно, распространенность внутренних угроз ИТ-безопасности позволяют выяснить отчеты других организаций. Например, CERT (см. «2005 E-Crime Watch Survey» (Отчет об исследовании на русском языке доступен в Интернете: http://www.infowatch.ru/threats?chapter=147151396&id=170400764)), опросившая более 800 компаний, установила, что каждая вторая компания хотя бы раз в течение года пострадала от утечки конфиденциальных данных. По сведениям PricewaterhouseCoopers и CXO Media (см. «Global Sate of Information Security 2005»), опросивших более 13 тыс. компаний в 63 странах мира (в том числе и в России), более половины (60%) всех инцидентов ИТ-безопасности за прошедший год были вызваны инсайдерами (собственными сотрудниками). Аналитики подсчитали, что 33 и 20% приходятся на долю нынешних и бывших сотрудников соответственно, 11% — на долю клиентов компании, 8% — на долю партнеров и 7% — на долю временных служащих (контрактников, консультантов и т.д.). Даже если не учитывать клиентов и партнеров, то за 60% всех инцидентов несут ответственность нынешние, бывшие и временные сотрудники компании. Таким образом, можно оценить риск утечки конфиденциальной информации для любой компании примерно в 180 тыс. долл. ежегодно (средний ущерб, равный 355,5 тыс. долл., разделен на 2).
Между тем, следует учитывать еще одну естественную тенденцию: опасность утечки секретных данных значительно возрастает с увеличением масштаба компании. Эту интуитивно понятную закономерность выявило исследование компании InfoWatch (см. «Внутренние ИТ-угрозы в России 2004» (См.: http://www.infowatch.ru/threats?chapter= 147151396&id=157848009)), в котором приняли участие около 400 представителей российского бизнеса (более 200 из них можно считать представителями крупного бизнеса). Следовательно, для любой российской компании с численностью сотрудников более 1 тыс. человек ежегодные потери в размере 180 тыс. долл. вполне реальны. К тому же чем больше компания, тем более реален риск.
Таким образом, приведенная выше статистика позволяет оценить средний ущерб лишь снизу. Между тем, в некоторых случаях предприятия сталкиваются с многомиллионными убытками. Например, компания ChoicePoint, сообщившая об утечке персональных данных о 145 тыс. американских граждан в начале этого года, уже оценила свой ущерб в результате этого инцидента в 11,4 млн. долл. Следует учесть, что это потери всего лишь за первые два финансовых квартала после того, как об утечке стало известно. По оценкам аналитиков CSO Magazine, суммарный ущерб ChoicePoint достигнет 20-25 млн. долл. к концу текущего года.
Вдобавок в нынешнем году на пороге банкротства оказалась компания CardSystems Solutions, осуществлявшая обработку транзакций по кредитным картам со всего мира. Летом компания сообщила об утечке 70 тыс. номеров кредитных карт и компрометации еще 40 млн. В течение месяца от CardSystems Solutions отвернулись два гиганта кредитной индустрии — Visa и American Express. Серьезные претензии предъявила компания MasterCard. Таким образом, CardSystems Solutions пришлось прекратить все операции и закрыть свои двери.
Если обобщить все вышесказанное, становится очевидно, что утечка конфиденциальной информации и анализ эффективности инвестиций в этой сфере напрямую зависят от масштаба компании. В данном контексте представители крупного бизнеса могут воспользоваться средней оценкой ежегодного ущерба в размере 180 тыс. долл. и уже из этих соображений подсчитать срок окупаемости продукта внутренней ИТ-безопасности.
В заключение стоит отметить, что комплексные решения в этой сфере уже присутствуют на рынке, поэтому информации, необходимой для финансового анализа, достаточно.
|
|
Основательный подход к выбору продуктов
одсчет коэффициента возврата инвестиций является одним из самых эффективных способов доказать целесообразность капиталовложений в какой-то конкретный проект. С точки зрения руководства, привыкшего доверять компетентному мнению своих специалистов, благоприятный финансовый анализ служит веским доказательством в пользу профессионализма служащих и покупки продукта. Между тем, отрицательные результаты должны заставить задуматься и отказаться от внедрения решения, выгода от использования которого неясна.
Самим сотрудникам информационных служб не следует опасаться того, что начальство попросит подсчитать коэффициент возврата инвестиций, напротив, необходимо самостоятельно взять на вооружение этот метод и регулярно его использовать. Это самый быстрый способ приобрести репутацию компетентного и высокоэффективного сотрудника.
Таким образом, анализ эффективности инвестиций применительно к продуктам ИТ-безопасности позволяет расставить все точки над «i» в тех случаях, когда окупаемость продукта неочевидна, и наглядно продемонстрировать реальную экономию средств от конкретного решения.
