Инвестиции в информационную безопасность

     И здесь очень важно ответить на вопрос, как относиться к вложениям в информационную безопасность (ИБ) – как к затратам или как к инвестициям? Необходимо разрешить противоречие: если относиться к вложениям в ИБ как к затратам, то сокращение этих затрат позволит решить тактическую задачу освобождения средств. Однако это заметно отдалит компанию от решения стратегической задачи, связанной с повышением ее адаптивности к рынку, где безопасность бизнеса в целом и информационная безопасность в частности играет далеко не последнюю роль. Поэтому, если у компании есть долгосрочная стратегия развития, она, как правило, рассматривает вложения в ИБ как инвестиции. Именно такой подход позволяет определить цели и задачи построения системы защиты информации, а самое главное, он дает возможность сосредоточиться на результатах, ожидаемых от внедрения этой системы.

     И затраты, и инвестиции есть отвлечение средств, необходимость потратить деньги. Разница состоит в том, что затраты – это, в первую очередь, «осознанная необходимость», инвестиции – это перспектива окупаемости [13]. И в этом случае требуется тщательная оценка эффективности таких инвестиций и экономическое обоснование планируемых затрат.

     Основным  экономическим эффектом, к которому стремится компания, создавая СЗИ, является существенное уменьшение материального  ущерба вследствие реализации каких-либо существующих угроз информационной безопасности. При этом, руководствуясь статистическими данными различных аналитических служб, можно сделать вывод о том, что ущерб этот вполне реален и измеряется в денежных единицах. Например, по данным обзора информационной безопасности и компьютерных преступлений, подготовленного Институтом компьютерной безопасности США при участии ФБР (CSI/FBI Computer Crime and Security Survey), в 2003 году объем ущерба от утечки конфиденциальной информации среди 530 участвовавших в опросе коммерческих и государственных предприятий США составил более 70 млн долл., ущерб от хакерских атак – более 65 млн долл., а ущерб от вирусов – более 270 млн долл. Здесь следует учитывать, что все участвовавшие в опросе организации обладали СЗИ. Следовательно, можно предположить, что отсутствие этих систем защиты, а также многих других (контроля доступа, обнаружения вторжений, биометрии и т. д.) привело бы к еще более серьезным последствиям для бизнеса предприятий [13]. А в 2009 году ФБР подсчитало убытки американцев на сумму 559,7 млн. долларов.

     В настоящее время вопросы обеспечения информационной безопасности обостряются, и решения по ним принимаются в большинстве фирм. Так, по результатам исследования консалтинговой компании PricewaterhouseCoopers в 2009 году, в котором принимали участие 7000 респондентов из 114 стран, 43% участников опроса согласились с утверждением, что в условиях нынешнего экономического спада угроз для ИТ-активов компаний стало больше. Положительную оценку важности и необходимости реализации обеспечения защиты данных дали 74% респондентов. Основные ключевые инициативы, с которыми согласилось большинство участников, следующие:

1. Обеспечение защиты данных – основной приоритет;
2. Применение средств автоматизации для обеспечения информационной безопасности;
3. Увеличение доверия к аутсорсингу;
4. Анализ рисков – основа для инвестиций в информационную безопасность;
5. Соответствие требованиям регуляторов в части обеспечения безопасности. [18]

     Данные  меры существенно снижают убытки от информационных угроз. И их реализация необходима для более эффективной деятельности компаний.

     Таким образом, обеспечение информационной безопасности компании имеет вполне конкретный экономический смысл. А  достижение этой цели должно осуществляться экономически оправданными мерами. Принимать  решение о финансировании проектов по ИБ целесообразно лишь в том случае, когда есть уверенность не просто в увеличении расходной части бюджета, а осуществлении инвестиций в развитие компании. При этом отдача от таких инвестиций должна быть вполне прогнозируемой.

Глава 2. Методы оценки эффективности  инвестиций в информационную безопасность

     В настоящей главе мы рассмотрим традиционные финансовые методики для оценки эффективности  инвестиций в информационную безопасность. Международная практика обоснования инвестиционных проектов использует несколько показателей (методов), позволяющих подготовить решение о целесообразности (нецелесообразности) вложения средств. Показатели классифицируются по двум группам исходя из использования принципов дисконтирования денежных потоков. Мы последовательно рассмотри показатели по этим группам.

     Следует отметить, что  в основе  методов оценки эффективности инвестиций в информационную безопасность лежит сопоставление затрат, требуемых на создание СЗИ, и ущерба, который может быть причинен компании из-за отсутствия этой системы. 

2.1. Методы, не предполагающие дисконтирование денежных потоков

     Простые (рутинные) методы оценки инвестиций относятся  к числу наиболее старых и широко использовались еще до того, как  концепция дисконтирования денежных потоков приобрела всеобщее признание  в качестве способа получения самой точной оценки приемлемости инвестиций. Однако и в настоящий день эти методы остаются в арсенале разработчиков и аналитиков инвестиционных проектов. Причиной этому является возможность получения с помощью такого рода методов некоторой дополнительной информации. Иногда при оценке инвестиционных проектов расчет данных показателей полезен, так как позволяет снижать риск неудачного вложения денежных средств [11].

     Совокупная  стоимость владения( Total Cost of Ownership - TCO)

     Совокупная стоимость владения первоначально разрабатывалась как средство расчета стоимости владения компьютером. Но в последнее время благодаря усилиям компании Gartner Group эта методика стала основным инструментом подсчета совокупной стоимости владения корпоративных систем защиты информации. Основной целью расчета ТСО является выявление избыточных статей расхода и оценка возможности возврата инвестиций, вложенных в технологии безопасности [14]. Таким образом, полученные данные по совокупной стоимости владения используются для выявления расходной части использования корпоративной системы защиты информации.

     Главной проблемой при определении ТСО является проблема выявления составляющих совокупной стоимости владения и их количественная оценка. Все составляющие ТСО условное разделяются на «видимые» пользователю (первоначальные затраты) и «невидимые» (затраты на эксплуатацию и использование). При этом «видимая» часть ТСО составляет 32%, а по некоторым оценкам и 21%, а «невидимая» – 68 % или соответственно 79 %.

     К группе «видимых» затрат относятся следующие:

• стоимость лицензии;
• стоимость внедрения;
• стоимость обновления;
• стоимость сопровождения [14].

     Все эти затраты, за исключением внедрения, имеют фиксированную стоимость  и могут быть определены еще до принятия решения о внедрении корпоративной системы защиты информации. Следует отметить, что и в «видимом» секторе поставщиками систем безопасности иногда могут использоваться скрытые механизмы увеличения стоимости для привлечения клиента.

     Дополнительные  затраты («невидимые») появляются у каждого предприятия, завершившего у себя внедрение корпоративной системы защиты информации. «Невидимые» затраты также разделяются на группы:

• затраты на оборудование (включают в себя затраты на приобретение или обновление средств защиты информации, на организацию бесперебойного питания и резервного копирования информации, на установку новых устройств безопасности и пр.);
• дополнительное программное обеспечение (системы управления безопасностью, VPN, межсетевые экраны, антивирусы и пр.) [14];
• персонал (например, ошибки и трудности в работе со средствами защиты, неприятие или даже саботаж новых средств защиты и т. д.);
• стоимость возможностей – стоимость возможных альтернатив (приобретение или обновление корпоративной системы защиты информации/сделать это собственными силами или заказать сторонней организации);
• другие (в этом случае оценивается степень и стоимость риска «выхода из строя» системы).

     Показатель  ТСО корпоративной системы информационной безопасности рассчитывается как сумма всех затрат, «видимых» и «невидимых». Затем этот показатель сравнивается с рекомендуемыми величинами для данного типа предприятия. Если полученная совокупная стоимость владения системы безопасности значительно превышает рекомендованное значение и приближается к предельному, то необходимо принять меры по снижению ТСО. Сокращения совокупной стоимости владения можно достичь следующими способами: максимальной централизацией управления безопасностью, уменьшением числа специализированных элементов, настройкой прикладного программного обеспечения безопасности и пр.

     Одним из ключевых преимуществ показателя ТСО является то, что он позволяет  сделать выводы о целесообразности реализации проекта в области информационной безопасности на основании оценки одних лишь только затрат. Тем более, что в случае с защитой информации нередко возникает ситуация, когда экономический эффект от внедрения СЗИ оценить нельзя, но объективная необходимость в ее создании существует.

     Другим  преимуществом этого показателя является то, что модель расчета ТСО предполагает оценку не только первоначальных затрат на создание СЗИ, но и затрат, которые могут иметь место на различных этапах всего жизненного цикла системы.

     Рентабельность инвестиций в информационную  безопасность(Return on Investment for Security - ROSI)

     Впервые термин ROSI был введен в употребление специалистами в области IT-security  начале 2002 года. ROSI (ROI) – это процентное отношение прибыли (или экономического эффекта) от проекта к инвестициям, необходимым для реализации этого проекта (в общем случае под инвестициями понимают ТСО).

     ROSI =Пч_с.г. / I₀ ,

     Пч_с.г. – среднегодовая чистая прибыль или экономический эффект,

     I_о - первоначальные инвестиции.

       При принятии решения об инвестициях  полученное значение сравнивают  со средним в отрасли либо выбирают проект с лучшим значением ROI из имеющихся вариантов.

     За кажущейся простотой кроется сложная процедура расчета ROI, которая не всегда поддается формализации и универсализации. В данной формуле учитывается большее число параметров, включая связанные не только напрямую с инфраструктурой обнаружения атак, но и с общими финансовыми показателями компании, так как нередко та или иная технология или система приносит опосредованные преимущества [16]. Например, преимущество перехода с бесплатной системы обнаружения атак Snort, не имеющей графического интерфейса и трудно управляемой в территориально-распределенной сети, на RealSecure или Cisco IDS, удобной для работы администратора безопасности, очевидно, но трудно перелагается в цифры. Однако компании, знающие цену своих ресурсов, все-таки могут подсчитать экономический эффект от вложений в информационную безопасность, который упрощенно записывается следующим образом:

     ЭЭ = Income + Risk + AddLosses,

     где Income - изменение доходов в результате внедрения системы защиты;

      Risk - это параметр, исчисляемый в  денежном выражении и учитывающий  не только предотвращенные потенциальные  потери в результате действия  угрозы, но и вероятность ее осуществления;

     AddLosses - это потери, связанные с отсутствием  системы защиты, такие, как снижение  производительности администратора  безопасности, потери времени на  поиск информации об уязвимостях и атаках и т. п.[16].

     Риск  вычисляется по следующей формуле:

     Risk = Threat * Vulnerability * Losses

     Здесь Threat - это вероятность осуществления  атак. Данный параметр рассчитывается на основе накопленных различными организациями  и компаниями статистических данных об атаках в различных отраслях. Например, вероятность пострадать от вирусов, троянцев и Интернет-червей составляет 0,94 для любой компании, а самые часто атакуемые компании находятся в секторе высоких технологий, финансовых сервисов и энергетики. В среднем каждую неделю фиксируется 32 атаки на компанию (ежеквартальный рост этого значения - 64%). Vulnerability - это показатель наличия в сети уязвимостей, описываемых предыдущим параметром. Условно можно выделить четыре значения этого показателя - 0 (уязвимости нет); 0,3 (низкая степень уязвимости); 0,6 (средняя степень) и 1 (высокая степень).

     Самый последний параметр в данной формуле (Losses) - это потери, к которым может  привести та или иная атака (например, недополученная прибыль из-за простоев и сбоев данного узла или неустойка, вызванная невыполнением обязательств по причине отказа атакованного ресурса). Такие риски, как уголовное преследование вследствие утечки конфиденциальной информации, снижение производительности работы сотрудников, неудовлетворенность клиентов (а в худшем случае и их уход к конкурентам), снижение репутации, очень трудно подсчитать, но и они могут учитываться в данной формуле [16]. Их расчет увеличивает сумму потенциальных потерь в случае отсутствия инфраструктуры обеспечения информационной безопасности.

      В настоящее время многие компании применяют модели, основанные на данном показателе, при принятии решений относительно программ безопасности. Например, Intel IT была разработана модель оценки возврата инвестиций в информационную безопасность для тех типов программ безопасности, которые позволяют уменьшить число возникновения инцидентов, ведущих к различному роду потерям. Эта модель позволила компании принять серию обоснованных решений относительно программ безопасности. Подход к расчету ROSI в данной модели основан на данных тренда произошедших инцидентов, а не на оценке потенциальных уязвимостей, что приводит к намного более высокой степени точности по сравнению с другими ROSI методами. Для данного ROSI метода необходимы данные тренда инцидентов до и после имплементации программы, а также среднее ожидаемое значение потерь для каждого события. На рисунке 2.1 показаны входные данные для подсчета ROSI.