Методы расчета отдачи на инвестиции (ROI) в технологии информационной безопасности (ИБ)

http://devbusiness.ru/mkozloff

Экономический эффект от внедрения средств информационной

безопасности, примеры расчета ROI

Return on Investment (ROI) Отдача от инвестиций

3

Выгода – Затраты

Затраты

ROI = * 100%

Безопасность – это бизнес-процесс,

требующий инвестиций

ROI достигается за счет снижения

рисков до приемлемого уровня в рамках конкретной

модели угроз

Угрозы, риски и вероятности их

проявления постоянно

изменяются

http://www.slideshare.net/mkozloff/roi-7039990

1.

2.

Централизованная

установка

vCenter/vGate

20 ESX хостов (2CPU) 300 ВМ 3 администратора

Годовая з/п

администратора с

учетом накладных

расходов = $48к

Настройки ИБ

соответствуют

требованиям PCI DSS,

CIS, VMware Hardening

Ставка

дисконтирования 15%

Горизонт расчета 3

года

Ручная настройка виртуальной

инфраструктуры VMware для соответствия лучшим практикам CIS, VSHG и требованиям PCI DSS

Применение шаблонов vGate снижает время

настройки в 4 раза

Показатель Значение Приведенная

стоимость PV (3 года)

Стоимость ручной настройки ИБ $133 683 $117 004

Эффект от vGate: снижение затрат 75% $100 262 $87 753

Затраты на vGate $40 800 $37 503

NPV (эффект - затраты) $50 249

ROI (NPV / затраты) 134%

Выгода в месяц (эффект / 36 месяцев) $2 785

Период окупаемости, мес. 15

Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Модель угроз для

конкретной ситуации

Модель соответствую-

щих рисков

Вероятность проявления и

стоимость рисков

Стоимость рисков и средств их

уменьшения (ИБ - отрицательный

денежный поток)

Оценки возможности

снижения вероятности и

стоимости рисков при помощи средств ИБ

(положительный денежный поток)

The Value Of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March 2010, Forrester

True Cost of Compliance Report, Ponemon Institute LLC, January 2011

Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года)

Штрафы PCI DSS -$1 141 613

Потеря важной информации -$2 716 695

-$3 858 308

Вариант 2: «Ручная настройка ИБ» (-95% рисков) Ручные затраты на compliance и настройку ИБ -$117 004

Потеря важной информации -$135 835

-$252 839

Вариант 3: «Автоматизация настроек ИБ с vGate» (-98% рисков) Затраты на vGate -$37 503

vGate снижает ручные затраты на 75% $87 753

Оставшиеся ручные затраты -$29 251

Потеря важной информации -$54 334

-$33 335 Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Показатель Значение PV (3)

Выгода от снижения рисков ручной настройки $266 810 $219 503

Затраты на vGate $40 800 $37 503

NPV $226 010 $182 000

ROI 485% Выгода в месяц $6 278

Период окупаемости, мес. 7

Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Value PV (3)

Выгода от снижения рисков ручной настройки $266 810 $219 503

Снижение затрат на ручную настройку 75% $100 262 $87 753

Общая выгода от vGate для ВС VMware $367 072 $307 256

Затраты на vGate $40 800 $37 503

NPV $326 272 $269 753

ROI 719%

Выгода в месяц $9 063

Период окупаемости, месяцев 5

Данный расчет сделан с vGate ROI Calculator для вымышленной компании

Снижение риска потери информации

Сегментирование ПДн

• К1 = 18000 руб. на ПК

• К3 = 6000 руб. на ПК

Лицензии

Внедрение

Обучение администратора

Администрирование

Вы

год

а З

атр

аты

Централизованная установка, 1

администратор TrustAccess

5 серверов 150 ПК

Годовая з/п администратора с учетом накладных расходов = $48к

Снижение риска потери данных

после внедрения TrustAccess = 10%

Снижение риска штрафа по PCI

DSS = 8%

Сегментируем ИСПДн с К1 до К3

Ставка дисконтирования

15%

Горизонт расчета 3 года

• Данный расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК

• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March

2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)

• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации

ИСПДн при помощи TrustAccess

Риск Значение ПС (3 года)

Инвестиции 1 589 174р. 1 430 488р.

Выгода (снижение рисков потери данных на 10%) 13 146 650р. 10 304 243р.

Фактор риска для выгоды 30% - 3 943 995р. - 3 091 273р.

NPV 7 613 481р. 5 782 483р.

ROI 404%

Выгода в месяц 211 486р.

Период окупаемости, мес. 8

Источники ROI в ИБ: рост эффективности

процессов и снижения рисков (ошибок, потери

данных, штрафов…)

Для России нет публичной модели

угроз – делайте свою

Детали бизнес-процессов и рисков = точность расчета

(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя

данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь

риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.

http://www.slideshare.net/mkozloff/michael-kozloff-business-development-2011

http://www.slideshare.net/mkozloff/roi-7039990

http://devbusiness.ru/mkozloff/about/