Можно ли считать отдачу от ИБ?

Вопрос с Security ROI возникает постоянно. Как по делу, так и в разного рода спекуляциях. И четкого ответа так до сих пор и нет. Я его тоже не дам 😉 Но можно поразмышлять — может что и родится в процессе. Начну с того, что оценка возврата инвестиций в ИБ не обязательно должна проводиться в форме конкретной и измеряемой отдачи, прибыли. Ведь инвестирование часто происходит для того, чтобы защитить имеющуюся рыночную долю, снизить юридические риски, повысить эффективность (производительность) или поднять лояльность потребителя. Тут о прибыли говорить не приходится. По крайней мере напрямую. Хотя повышение производительности должно сказаться на повышении прибыльности. Например, та же географическая экспансия за счет внедрения технологий удаленного защищенного доступа. А лояльность потребителей (например, за счет внедрения системы отражения DDoS) сказывается как на числе сделок, так и на текучести клиентов, что тоже может быть выражено в конкретных денежных знаках. Правда, чтобы ИБшнику посчитать лояльность, надо активно работать с отделом по работе с клиентами и объяснить, зачем ему статистика текучести клиентов за полгода-год до внедрения системы и после. Но это уже отдельная песня — как выйти на бизнес-уровень.

Итак, как оценивать отдачу? Можно выделить два подхода — оценка с точки зрения результата и оценка с точки зрения процесса. В первом случае обычно оценивается разница «до» и «после» внедрения технологий/процессов ИБ. Разумеется с учетом и других факторов. Например, рост числа сделок или их ускорение после (кстати, «после» не значит «вследствии») внедрения VPN может быть вызван увеличением числа продавцов, прохождением ими специализированных курсов по продажам, внедрении программы мотивации и кучей других причин. Этот подход также используется обычно в одномоментных проектах (соответствие ФЗ-152 по требованиям ФСТЭК/ФСБ, внедрение защиты от DDoS, VPN между офисами и т.д.). В таких проектах достаточно просто показать достижение цели и расслабиться.

При определении вклада ИБ с точки зрения процесса оценивается применение технологий на промежуточных этапах достижения поставленных целей. Задача этого подхода оценивать немного иные показатели — точка во времени, когда проект по ИБ «ушел» с правильного пути, ошибки, приведшие к превышению затрат или недостижению заданных показателей, причины появления случайных или непредвиденных затрат. Данный подход также применяется и в «длинных» проектах с поэтапным инвестированием, когда отклонение чревато отставанием компании от конкурентов, когда необходимо поддерживать ранее сделанные инвестиции или когда надо выявить причины ухода с правильного пути или недостижение промежуточных реперных точек (такой причиной может быть непроведенный вовремя или неудачно проведенный тренинг повышения осведомленности по вопросам ИБ) и т.д.

Вообще идеально объединение этих двух подходов, что позволит не только показать достижение целей, но и оптимальность этого достижения или причины недостижения. На практике же многие идут именно по второму пути — с одной стороны он проще в реализации и в объяснении руководству, которое привыкло считать, что ИБ (да и ИТ тоже) измерить нельзя. С другой стороны в этом подходе не требуется обеспечивать достижение каких-то результатов — а это снижение ответственности, что всегда приятно 😉

Но в ряде случаев второй подход может быть и сложнее. Например, оценка того или иного продукта с финансовой точки зрения может быть осуществлена в некоторых сценариях достаточно просто. В таком случае оценка на основе процесса, подразумевающая не только финансовую результативность, будет избыточной. Опять же, не всегда финансовая результативность может быть легко посчитана и продемонстрирована. Тогда мы оцениваем проект с иных точек зрения. По этому принципу строится система сбалансированных показателей, где финансовое измерение только одно из 4-х.

Оцените статью
Бизнес без опасности
Есть что добавить? Добавьте!

Нажимая кнопку "Отправить", я даю свое согласие на обработку персональных данных (если вдруг они указаны в комментарии) в соответствие с политикой конфиденциальности. Также я соглашаюсь с тем, что в своем комментарии не раскрываю никаких сведений, составляющих государственную тайну, а также никакой иной информации, охраняемой законом (для этого используйте иные способы :-) ), если это не разрешено ее владельцем. Ваш комментарий может появиться не сразу, а после модерации (так бывает не всегда, но бывает).

  1. Anton Shipulin

    В одной книге по финансовому анализу прочитал интересный способ денежной оценки репутации публичной компании: стоимость репутации = рыночная капитализация компании — балансовая стоимость компании. Получается способ перевода не денежной выгоды в денежную. Наверно можно использовать при оценке экономической эффективности ИБ инвестиций.

    Ответить
  2. Алексей Лукацкий

    Есть такой метод. Но он оценивает что-то глобальное. А в нашем случае ИБ — это только один винтик в общем деле.

    Ответить
  3. Анонимный

    Часто ИБ воспринимается как процесс противодействия угрозам и оценкой рисков. А есть ли у ИБ теневая вторая жизнь ? Без привязки к рискам?

    Ответить
  4. Анонимный

    Иными словами существуют ли иные цели кроме противодействия угрозам?

    Ответить
  5. Анонимный

    Люди например моются не только ради здоровия… Но и для красоты и аромотерапии…и …

    Ответить
  6. Алексей Лукацкий

    Есть такие цели

    Ответить
  7. Unknown

    Евгению: есть. И часто вторая жизнь бывает первой. Не той, что представляет А.Лукацкий.

    Ответить
  8. Mikhail

    Не очень понятно в чём проблема оценки 🙂 ROI у безопасности, как мне кажется вообще нет.

    Тем не менее, есть бизнес-ресурс, цена потери этого ресурса X и цена защиты этого ресурса до приемлимого уровня Y. Если X > Y — надо безопасить 🙂 Если наоброт — не надо.

    Остальное — умение играть статистикой и вероятностями — и это самое сложное. Ну и список таких бизнес-ресурсов составить дело не из лёгких.

    Впрочем мне интересно немного другое — есть огромная корпорация Sony, у неё в штате небось было огромное кол-во безопасников и тратила она огромные бабки на все эти риски-писки. Но это не помешало кучке скрипт-кидисов-задротов нагнуть её трижды, похищая ПД её кастомеров. Вот тут-то и вопрос встаёт — нужна ли вообще бизнесу ИБ, если по большому счёту все эти многомиллионные инвестиции может свести к нулю админ-недоучка (или просто лентяй).

    После таких историй как с Sony обосновать что-то бизнесу довольно трудно, ведь всё равно, любое дело (не обязательно ИБ) держится не на кипах бумаг и инструкций, защищающих тых их писателей, а на людях, которые умеют делать дело.

    Ответить
  9. Анонимный

    После некоторых обсуждений вывод такой:

    Считать отдачу от ИБ нужно через основной бизнес! Можно считать отдельно бизнеса только в виде потенциала. Чтобы оценить реальную отдачу нужно накладывать потенциал ИБ на конкретный бизнес!

    При этом, нужно четко понимать, что при некотором потенциале технологий ИБ отдача может быть не только положительной но и нулевой и даже отрицательной! В зависимости от того, как этот потенциал используется!

    Ответить
  10. Алексей Лукацкий

    В FB была в ночь на субботу интересная дискуссия по этому вопросу с выпускниками MBA 😉

    Ответить
  11. Анонимный

    Дык а выводы по результатам дискуссии ?

    Ответить
  12. Алексей Лукацкий

    MBA заявили, что все фигня. Притянуть можно все угодно, хоть ROI, хоть WACC. И даже кто-нибудь это "съест", но финансистам это лучше не показывать — засмеют. Другая рекомендация — ждать, когда иностранные эксперты придумают что-то внятное по ROI в ИБ. Мое предложение в сторону MBA придумать самим осталось безответным 😉

    Ответить
  13. Анонимный

    Э… на банкире — помнишь…
    В конторе по разработке ПО…

    Задача — обосновать новую поделку !
    — Исполнитель обосновывает
    — результат не принимается
    — Исполнитель обосновывает по одной методике
    — результат не принимается
    — Исполнитель обосновывает по другой методике
    — результат не принимается
    — Исполнитель — "прошу указать методику обоснования"
    — т.и.ш.и.н.а…

    Лучшая методика обоснования:
    — баня,пиво,девочки
    — большая доля
    — …

    Ответить
  14. Анонимный

    Вот интересно а как оценивать потенциал технологии ИБ ?!. Ну некую цифиру получать накладывая на которую параметры бизнеса и т.п. можно бы было оценивать не только отдачу но и эффективность реальной технологии в реальной конторе. И к тому же выявлять неэффективное использование и само собой неэффективную работу службы ИБ ?…

    Ответить
  15. Алексей Лукацкий

    Баня, девочки… с CxO не работает. Если ты можешь пригласить человека, принимающего решения, в баню, то уровень ваших отношений такой, что ему обоснование не нужно 😉

    Ответить
  16. Анонимный

    Дык беда в том, что любые методики отбрасываются! По какой не посчитай! На вопрос — я посчитаю по любой Вами указанной и результат будет такой какой получится хоть положительный хоть отрицательный… Но укажите по какой…

    Ответа на такой вопрос не дают !
    Отсюда появляется некое искусство впаривания замешенное на неких кусках методик, танцах с бубном, выковыриванием из *** и подачи в удобный момент под красивую музыку 😉

    Ответить
  17. Алексей Лукацкий

    Ну если принимающая сторона не понимает, что хочет, то безусловно все сводится к впариванию

    Ответить