С помощью TEI компании могут оценивать бизнес-вклад проекта или решения по ИТ (ИБ) в количественной форме:
- преимущества вычисляются как позитивный (хотя он может быть и негативным) результат (рост прибыли или эффективности) за заданный период анализа.
- затраты вычисляются также за заданный период анализа (а не только капитальные затраты) и включают этап не только внедрения, но поддержки, а также планирования.
- гибкость определяет непрямые или долгосрочные выгоды, получаемые от внедрения проекта или принятия решения (например, тренинг специалистов позволяет в случае изменения бизнес-потребностей быстро к ним адаптироваться).
- риски (неопределенность) компенсируют первоначальные оценки получаемых преимуществ, что позволяет более точно оценивать итоговые результаты.
Каждый из этих 4-х показателей разбивается на составные и вполне измеримые части, суммирование которых и дает итоговую цифру. Например, Forrester выделяет 5 категорий, получаемых от ИТ (ИБ) преимуществ:
- доходы
- продуктивность пользователей
- эффективность капитала
- защита активов
- соответствие.
К чему я это все веду? Просто данная методика может быть применена при вычислении бизнес-отдачи от информационной безопасности. Использовать TEI можно двояко. Первый — самостоятельно вычислять все нужные показатели и суммировать их. Задача более чем непростая. Второй вариант — заказать соответствующие рассчеты у Forrester. Третий вариант является частным случаем второго — ждать, когда Forrester сам опубликует такие исследования. На сегодняшний день Forrester оценивал вклад в бизнес таких технологий как Wi-Fi, PBX и т.д.
К безопасности они пока не подобрались, но… по заказу Cisco компания Forrester недавно провела исследование и разработала калькулятор расчета бизнес-вклада от технологий, входящих в архитектуру Borderless Network (Сети без границ). К этим технологиям относятся маршрутизация и коммутация, мобильность (удаленный доступ и Wi-Fi), оптимизация WAN-каналов и безопасность.Результаты этого исследования публичны и доступны у нас на сайте.
Что интересного в этом исследовании? Во-первых,оно лишний раз подтверждает, что чтобы оценивать бизнес-вклад необходимо заложить в модель определенные бизнес-показатели. В частности, зарплату ИТ/ИБ-персонала, персонала поддержки и бизнес-пользователей. Также необходимо знать сумму капитальных и операционных затрат на ИТ/ИБ (с разбиением на софт, железо и сервисы) за заданный период времени. После всех расчетов (Forrester разработал для нас еще и специальный Excel-калькулятор для самостоятельного использования) на выходе мы получаем и диаграммы затрат на ИТ/ИБ, и денежный поток в течение заданного периода времени, и получаемые преимущества и т.д.
Второй вывод, который я сделал, анализируя результаты по разным заданным показателям, безопасность может приносить денежную выгоду и сама по себе. Но происходит это нечасто. Как правило, основная выгода от ИБ заключается в экономии, защите активов и соответствии. И третий вывод — чтобы «продать» безопасность наверх, ее лучше продавать вместе с чем-то; с защищенным удаленным доступом, с модернизацией сетевой инфраструктуры, с построением Интернет-представительства и т.д. Выгоды от информационной безопасности самой по себе не так привлекательны (особенно в краткосрочной перспективе), как от комплексных ИТ-проектов, в которых ИБ — одна из составных частей.
Покажу конкретный пример выдаваемых результатов. На первой иллюстрации мы видим получаемые преимущества для компании с 5000 сотрудниками и 50 офисами. Ежегодные преимущества составляют около 3 миллионов долларов, которые получаются, в основном, за счет удаленного защищенного доступа. Он снижает сложность инфраструктуры на 60% и повышает продуктивность сотрудников на 2% (в рассматриваемом примере). На ИБ у нас ложится «всего»15% совокупных преимуществ. Но и это немало.
На второй иллюстрации мы видим финансовый анализ, который доказывает, что ждать отдачи от ИТ/ИБ в первый год нелогично.
И, наконец, на третьей иллюстрации показываются финансовые показатели, понятные любому финансисту, который будет принимать решение о выделении инвестиций на ИТ/ИБ-проект.
В целом ничего нового — данные тезисы известны многим. Просто методика TEI лишний раз доказала их правоту «с цифрами в руках». Не голословные утверждения, а понятная методика и понятные результаты, которые не стыдно и финансовому директору показать.
Количественная оценка рисков в области ИБ – тема достаточно дискуссионная. Да, «как танец с бубнами» перед «топами», для выбивания бюджета, вещь крайне необходимая, если еще и методика «от-кутюр» — о большем мечтать грешно.
Ну а что касается реальной жизни, то это в лучшем случае – самообман. Вот недавний пример из реальной жизни http://vgninyuk.blogspot.com/2011/04/ra.html
Любая тема дискуссионная 😉
Скажу крамолу, но если методика позволяет решить задачу безопасника (например, выбивание бюджета), то значит она работает (для данного безопасника).
А вообще количественно оценить ИБ можно. Только исходные данные нужны, которых обычно у безопасников не бывает.
Представьте себе безопасника на ликеро-водочном заводе или табачной фабрике, который "выбил" бюджет под информационную безопасность, при этом бизнес стал более прибыльным, и значит, количество людей отправившихся на кладбище, увеличилось…:)
Существуют ли какие-либо иные оценочные характеристики, которые не приводят к вышеуказанным парадоксам, или бизнес и жизнь — понятия несовместимые?
…думаю, что рассматривать купе без контекста паровоза — это пир во время чумы…
Он мог стать не более прибыльным, а менее затратным. Следовательно на число жизней не повлияло 😉
Те же самые яйца, только вид сбоку :)))
Ну философский вопрос о том, можно ли идти работать на ликеро-водочный завод (т.к. работа на его благо — это работа во вред людям) оставляю за кадром 😉
> Скажу крамолу, но если методика позволяет решить задачу безопасника (например, выбивание бюджета), то значит она работает (для данного безопасника).
В том-то и дело, что для данного безопасника. Любая методика субъективна — ведь результат расчета зависит прежде всего от того, кто и как считает. На сегодняшний день объективных методик не существует. Да и не только в ИБ — вон, выборы возьмите… 😉
Объективного вообще ничего нет
Очень интересно.
А есть какие-то примеры применения этой методики для ИБ?
Есть. В тексте дана ссылка