+7 (800) 555 54 45 www.spsr.ru

Экономические аспекты информационной безопасности

Дмитрий Мананниковдиректор по информационной безопасности

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Термины и определения

Эконо́мика(от др.-греч. οἶκος — дом, хозяйство хозяйствование и νόμος — ном, территория управления хозяйствованием и правило, закон, буквально «правила ведения хозяйства дома»)—хозяйственная деятельность общества, а также совокупность отношений, складывающихся в системе производства , распределения, обмена и потребления.

Главная функция экономики состоит в том, чтобы постоянно создавать такие блага, которые необходимы для жизнедеятельности людей\обществ и без которых они не могут развиваться. Экономика помогает удовлетворить потребности в условиях ограниченных ресурсов.

Экономический кризис(греч krisis — поворотный пункт) — резкое ухудшение экономического состояния страны, проявляющееся в значительном спаде производства, нарушении сложившихся производственных связей, банкротстве предприятий, росте безработицы, и в итоге — в снижении жизненного уровня, благосостояния населения. Так же эту ситуацию можно охарактеризовать как резкое изменение\сокращение ресурсной базы в результате ряда коллизий

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Антикризисные меры

Распределении ресурсов (особенно во время кризиса)

Нехватка ресурсов = Оптимизация

Антикризисные меры

Затраты на инициативы развития

Затраты по текущим процессам

(- бюджеты?)

(- персонал?)

Кто определяет эту грань? CFO

?

Выходное пособие

Оптимизация ресурсов

Ресурсы

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Как финансы видят ИБ

«Вся Власть Финансам» или антикризисное управление компанией

В кризис на принятие решения о выделение ресурсов больше всего влияют финансы

Фонд оплаты трудаАренда помещенийОборудованиеПрограммное обеспечениеБухгалтерское ведениеКонсалтинг

Х ХХХ ХХХ р.ХХХ ХХХ р.

Х ХХХ ХХХ р.Х ХХХ ХХХ р.

ХХ ХХ р.Х ХХХ ХХХ р.

0 р.0 р.0 р.0 р.0 р.0 р.

Стало безопаснее чем вчераCompliance

Лучшие практикиСнижены риски

Сохранены тайныКонсалтинг

ПРИБЫЛИ ( PROFIT ) & ( LOSS ) УБЫТКИ

«Долго не мог дровосек уснуть, метался в постели и стонал от горя. Тут жена ему и шепчет: - Давай завтра утром отведем детей в чащу леса, разведем костер, сделаем вид, что пошли работать, а сами вернемся домой…»

Братья Гримм «Гензель и Грета»

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

«Старые» методы получения ресурсов отказали

Количественные показатели(Quantitative Benefits)

Качественные показатели(Qualitative Benefits)VS

Соответствие новым законамЖизнь без вирусовОтключили dropbox из офиса…

0 in profit Снижение рисков?

Кассовый разрывМассовое сокращениеИзменение курса валютБанкротство партнеровСанкции …

Вирусные атакиУтечки ком.тайны

DDoS атакиЦеленаправленные атаки

152ФЗ…

РИСКИ? РИСКИ!

FEARMARKET

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

На что жить дальше?

Под какие гарантии получить ресурсы, когда «продажа страха» больше не работает?

Новые проекты Текущие процессы% %Новые угрозы Старые риски

ИБ

Качественные показатели

Количественные показатели

Экономикапроекта \процесса

+7 (800) 555 54 45 www.spsr.ru

Но ведь экономику ИБ нельзя посчитать?

МОЖНОИБ только затратное подразделение!

Прибыль от ИБ посчитать не возможно!

Попробуйте посчитать бенефитысоответствия 152ФЗ или ISO 27001!

1. Изменить «точку сборки»2. Понять выгоды (бенефиты)3. Рассчитать стоимость владения4. Добавить принятые в компании переменные

Что нужно?

bullshit cloud

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Где искать бенефиты? Или точнее где их искать не стоит.

внутренний периметр

регламенты

внешний периметр

уязвимости

Экономика закрытой уязвимости?

Закрытые уязвимости повышают общий уровень защищенности компании

Риски были 9 теперь 6 WAF

DRP

DLP

«традиционный» подход к ИБ

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Что компания производит?

общий уровень защищённости - продукт?

информационная безопасность свойство продукта?

ИБ

ИБ

ИБ

ИБ

или

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

В чем бенефиты влияния на свойства продукта?

затраты доходы

прибыль

влияние ИБ на прибыль

оптимизация затрат добавление новых качеств

положительная разница между суммарными

доходами и затратами

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Декомпозиция продукта

внутренний продукт

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

ИБ внутри продуктов

Проверка остатка

Запрос товара

Формирование предложения

Выставление счета

Получить заказ товара

Принять оплату

Закрыть заказ товара

Отправить заказанный

товар

Уведомить о отправке

Собрать данные для BI

Безопасный способ платежа

Корректные данные

Коммерческая тайна

Непрерывность работы сервиса

Резер

вно

е

коп

ир

ован

ие

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

ИБ внутри процесса

E Х

HR Е

14 дней

24 дня

ФОТ*КПД 1,5

Факт:заявление об увольнении

HR14 дней

HR\IS

ЕЕпередача

делпредупреждение

за 38 дней

потери компании

Выход нового сотрудника

KPI на подбор нового сотрудника38 дней

рекламное место

сдается

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Даже делая продукт дороже…

• +1,5% к стоимости компании при выходе на IPO

• возможность участвовать в тендерах с обязательным требованием

• упрощение процедуры подготовки к большим контрактам

• Защита данных вывела компанию в лидеры корпоративного рынка и сделала в 2009 году самой быстрорастущей компанией в мире с ростом дохода на 84 % за три года несмотря на глобальную рецессию. За десять лет компания продала 50 миллионов смартфонов, что сделало BlackBerry вторым по популярности смартфоном в мире.

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Затраты. Как их считать правильно?

Затраты на лицензииЗатраты на оборудованиеЗатраты на персоналЗатраты на процесс Амортизация по годамУчтённые рискиЗатраты на исследованияОбщие проектные расходы

Total Cost of Ownership

TCO Необходимо учесть все затратыпроекта и процесса который будет выстроен на его базе

совокупная стоимость владения

OPEX

CAPEX

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Экономика проекта

Финансовый показатель Вариант 1 Вариант 2 Вариант 3

Чистая стоимость (TCO) 3 077 199,07р. 4 706 107,54р. 5 157 369,55р.

Чистые бенефиты 3 734 634,61р. 5 718 764,23р. 6 981 253,07р.

Приведённая стоимость 657 435,53р. 1 012 656,69р. 1 823 883,52р.

ROI, % 21 22 35

payback period, год 2 года 2 года 2 года

Бюджет на 1-ый год 1 955 000,00р. 3 189 325,15р. 3 539 334,15р.

Бюджет на 2-ой год 405 000,00р. 761 610,86р. 853 119,86р.

Бюджет на 3-ий год 405 000,00р. 761 610,86р. 853 119,86р.

Метрика Значение

Учётная ставка 20

Расчётный период 3 года

-2,000,000.00р.

-1,000,000.00р.

0.00р.

1,000,000.00р.

2,000,000.00р.

cash flow: вариант 1

-4,000,000.00р.

-2,000,000.00р.

0.00р.

2,000,000.00р.

4,000,000.00р.

cash flow: вариант 2

-4,000,000.00р.

-2,000,000.00р.

0.00р.

2,000,000.00р.

4,000,000.00р.

cash flow: вариант 3

-3,000,000.00р.

-2,500,000.00р.

-2,000,000.00р.

-1,500,000.00р.

-1,000,000.00р.

-500,000.00р.

0.00р.

500,000.00р.

1,000,000.00р.

1,500,000.00р.

2,000,000.00р.

2,500,000.00р.

1 2 3 4

net

ben

efit

График: break-even point

Вариант 1

Вариант 2

Вариант 3

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Метрики\константы

просто возьмите их в Финансах

Как бы вы их не считалиКак бы вы не планировали

Ставка дисконтирования Расчетный периодIRR? ? ?

+7 (800) 555 54 45 www.spsr.ru

Что делать с уже существующими процессами?

сбор статистики –метрик

расчет стоимости функции

инвойсированиебизнес-юнитов

(выставление счетов в качестве информации)

взаимозачеты \разнесение затрат по

ЦФО

управляемый показатель \ SLA

PROFIT

Если старые процессы все еще на стадии проектов или требуют пересмотра условий\ресурсовИх следует рассмотреть как новые с полным расчетом экономических показателей

+7 (800) 555 54 45 www.spsr.ru

Внутренние взаимозачеты

Где живут затраты на сотрудников ИБ?

В кадрах которые принимают их на работу?Или в бухгалтерии которая платит зарплату?

+7 (800) 555 54 45 www.spsr.ru+7 (800) 555 54 45 www.spsr.ru

Антикризисные меры

Кризисный год

Экономический кризис = Оптимизация затрат = Новые правила игры

Антикризисные меры

Затраты на инициативы развития

Ресурсы

Затраты по текущим процессам

Оптимизация не равно сокращение! Оптимизация - повышение экономической эффективности

Оптимизация ресурсов

+7 (800) 555 54 45 www.spsr.ru

Какие проекты «хороши» в кризис?

Проекты с низким capex`ом

Проекты с высоким ROI\небольшим PP

Проекты с разнесенными платежами\обязательствами

Проекты обеспечивающие стратегические цели компании

«Короткие» деньги которыми можно оперативно управлять в случае изменения ситуации

Поддержка развития бизнеса\новые возможности

+7 (800) 555 54 45 www.spsr.ru

Картинка на которой менеджеры меряются своими p&l ямис подписью «добро пожаловать в клуб»

Да-да коллеги! Положительный P&L в этом году!

Спасибо за внимание

manannikov_da@spsr.ru

dmitriy.manannikov@gmail.com

facebook.com/dmitriy.manannikov