Что такое TEI?

Бизнес
Методик количественной оценки вклада ИТ (или ИБ) в бизнес существует немало. Помимо традиционных (ROI, TCO, NPV и т.д.) практически каждая консалтинговая и аналитическая компания предлагает свой подход. Одним из них является методика TEI (Total Economic Impact) от Forrester. В отличие от TCO, которая оперирует только затратами, и ROI, которая оперирует затратами и получаемыми преимуществами (как правило, в виде денег), TEI включает еще два элемента — гибкость и риски.

С помощью TEI компании могут оценивать бизнес-вклад проекта или решения по ИТ (ИБ) в количественной форме:

  • преимущества вычисляются как позитивный (хотя он может быть и негативным) результат (рост прибыли или эффективности) за заданный период анализа.
  • затраты вычисляются также за заданный период анализа (а не только капитальные затраты) и включают этап не только внедрения, но поддержки, а также планирования.
  •  гибкость определяет непрямые или долгосрочные выгоды, получаемые от внедрения проекта или принятия решения (например, тренинг специалистов позволяет в случае изменения бизнес-потребностей быстро к ним адаптироваться).
  • риски (неопределенность) компенсируют первоначальные оценки получаемых преимуществ, что позволяет более точно оценивать итоговые результаты.

Каждый из этих 4-х показателей разбивается на составные и вполне измеримые части, суммирование которых и дает итоговую цифру. Например, Forrester выделяет 5 категорий, получаемых от ИТ (ИБ) преимуществ:

  • доходы
  • продуктивность пользователей
  • эффективность капитала
  • защита активов
  • соответствие.

К чему я это все веду? Просто данная методика может быть применена при вычислении бизнес-отдачи от информационной безопасности. Использовать TEI можно двояко. Первый — самостоятельно вычислять все нужные показатели и суммировать их. Задача более чем непростая. Второй вариант — заказать соответствующие рассчеты у Forrester. Третий вариант является частным случаем второго — ждать, когда Forrester сам опубликует такие исследования. На сегодняшний день Forrester оценивал вклад в бизнес таких технологий как Wi-Fi, PBX и т.д.

К безопасности они пока не подобрались, но… по заказу Cisco компания Forrester недавно провела исследование и разработала калькулятор расчета бизнес-вклада от технологий, входящих в архитектуру Borderless Network (Сети без границ). К этим технологиям относятся маршрутизация и коммутация, мобильность (удаленный доступ и Wi-Fi), оптимизация WAN-каналов и безопасность.Результаты этого исследования публичны и доступны у нас на сайте.

Что интересного в этом исследовании? Во-первых,оно лишний раз подтверждает, что чтобы оценивать бизнес-вклад необходимо заложить в модель определенные бизнес-показатели. В частности, зарплату ИТ/ИБ-персонала, персонала поддержки и бизнес-пользователей. Также необходимо знать сумму капитальных и операционных затрат на ИТ/ИБ (с разбиением на софт, железо и сервисы) за заданный период времени. После всех расчетов (Forrester разработал для нас еще и специальный Excel-калькулятор для самостоятельного использования) на выходе мы получаем и диаграммы затрат на ИТ/ИБ, и денежный поток в течение заданного периода времени, и получаемые преимущества и т.д.

Второй вывод, который я сделал, анализируя результаты по разным заданным показателям, безопасность может приносить денежную выгоду и сама по себе. Но происходит это нечасто. Как правило, основная выгода от ИБ заключается в экономии, защите активов и соответствии. И третий вывод — чтобы «продать» безопасность наверх, ее лучше продавать вместе с чем-то; с защищенным удаленным доступом, с модернизацией сетевой инфраструктуры, с построением Интернет-представительства и т.д. Выгоды от информационной безопасности самой по себе не так привлекательны (особенно в краткосрочной перспективе), как от комплексных ИТ-проектов, в которых ИБ — одна из составных частей.

Покажу конкретный пример выдаваемых результатов. На первой иллюстрации мы видим получаемые преимущества для компании с 5000 сотрудниками и 50 офисами. Ежегодные преимущества составляют около 3 миллионов долларов, которые получаются, в основном, за счет удаленного защищенного доступа. Он снижает сложность инфраструктуры на 60% и повышает продуктивность сотрудников на 2% (в рассматриваемом примере). На ИБ у нас ложится «всего»15% совокупных преимуществ. Но и это немало.

На второй иллюстрации мы видим финансовый анализ, который доказывает, что ждать отдачи от ИТ/ИБ в первый год нелогично.

И, наконец, на третьей иллюстрации показываются финансовые показатели, понятные любому финансисту, который будет принимать решение о выделении инвестиций на ИТ/ИБ-проект.

В целом ничего нового — данные тезисы известны многим. Просто методика TEI лишний раз доказала их правоту «с цифрами в руках». Не голословные утверждения, а понятная методика и понятные результаты, которые не стыдно и финансовому директору показать.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Unknown

    Количественная оценка рисков в области ИБ – тема достаточно дискуссионная. Да, «как танец с бубнами» перед «топами», для выбивания бюджета, вещь крайне необходимая, если еще и методика «от-кутюр» — о большем мечтать грешно.

    Ну а что касается реальной жизни, то это в лучшем случае – самообман. Вот недавний пример из реальной жизни http://vgninyuk.blogspot.com/2011/04/ra.html

    Ответить
  2. Алексей Лукацкий

    Любая тема дискуссионная 😉

    Скажу крамолу, но если методика позволяет решить задачу безопасника (например, выбивание бюджета), то значит она работает (для данного безопасника).

    А вообще количественно оценить ИБ можно. Только исходные данные нужны, которых обычно у безопасников не бывает.

    Ответить
  3. magicandy

    Представьте себе безопасника на ликеро-водочном заводе или табачной фабрике, который "выбил" бюджет под информационную безопасность, при этом бизнес стал более прибыльным, и значит, количество людей отправившихся на кладбище, увеличилось…:)
    Существуют ли какие-либо иные оценочные характеристики, которые не приводят к вышеуказанным парадоксам, или бизнес и жизнь — понятия несовместимые?

    Ответить
  4. magicandy

    …думаю, что рассматривать купе без контекста паровоза — это пир во время чумы…

    Ответить
  5. Алексей Лукацкий

    Он мог стать не более прибыльным, а менее затратным. Следовательно на число жизней не повлияло 😉

    Ответить
  6. magicandy

    Те же самые яйца, только вид сбоку :)))

    Ответить
  7. Алексей Лукацкий

    Ну философский вопрос о том, можно ли идти работать на ликеро-водочный завод (т.к. работа на его благо — это работа во вред людям) оставляю за кадром 😉

    Ответить
  8. Unknown

    > Скажу крамолу, но если методика позволяет решить задачу безопасника (например, выбивание бюджета), то значит она работает (для данного безопасника).

    В том-то и дело, что для данного безопасника. Любая методика субъективна — ведь результат расчета зависит прежде всего от того, кто и как считает. На сегодняшний день объективных методик не существует. Да и не только в ИБ — вон, выборы возьмите… 😉

    Ответить
  9. Алексей Лукацкий

    Объективного вообще ничего нет

    Ответить
  10. Joarswamp

    Очень интересно.

    Ответить
  11. securityinform

    А есть какие-то примеры применения этой методики для ИБ?

    Ответить
  12. Алексей Лукацкий

    Есть. В тексте дана ссылка

    Ответить