5 методов определения рентабельности бюджета на ИТ-безопасность
Какова окупаемость инвестиций (ROI) для корпоративного бюджета на ИТ-безопасность? Это вопрос, который беспокоит директоров по информационной безопасности, директоров по информационным технологиям, технических директоров и других лиц, отвечающих за бюджетную ответственность за кибербезопасность, когда они представляют свое предложение о закупках своим финансовым директорам и генеральным директорам.
Компании принимают решения о расходах на основе ожидаемой рентабельности инвестиций. Если компания потратит 1 миллион долларов на разработку нового продукта, руководство рассчитывает получить миллионы долларов прибыли. Если бизнес приобретает новую ИТ-систему за 10 миллионов долларов, ожидается, что повышение эффективности обойдется не менее чем в десятки миллионов долларов.
Но если вы собираетесь потратить 5 миллионов долларов на ИТ-безопасность, как определить рентабельность инвестиций? Как рассчитать, какое решение принесет вам наибольшую прибыль на каждый потраченный доллар? ROI сама по себе довольно простая концепция. Основная проблема заключается в том, что инвестиции в ИТ-безопасность не приводят напрямую к увеличению доходов и не приносят очевидной финансовой отдачи. Поэтому необходим другой тип расчета.
Существуют количественные и качественные методы расчета рентабельности инвестиций в ИТ-безопасность. Вот пять из них.
1. Окупаемость инвестиций института SANS в безопасность (ROSI)
Эта техника представлена формулой:
ROSI = ((Ожидаемый убыток в годовом исчислении) (Коэффициент смягчения последствий) (Стоимость решения по обеспечению безопасности)) стоимость решения по обеспечению безопасности
Вот посмотрите на его составные части.
Ожидаемые убытки в годовом исчислении (ALE)
Это относится к финансовым потерям, которые организация может понести в результате одного инцидента безопасности, умноженному на предполагаемое количество угроз, которые могут возникнуть в течение указанного года. Вы можете получить среднюю стоимость инцидента безопасности в данной отрасли, просмотрев отчеты о кибербезопасности от авторитетных организаций. Например, исследование «Лаборатории Касперского» показало, что финансовые потери малого и среднего бизнеса от одного инцидента в среднем составляют 38 000 долларов США.
Коэффициент смягчения
ALE в значительной степени является точным значением, тогда как коэффициент смягчения является скорее оценочным. Лучший способ приблизиться к коэффициенту смягчения — оценить сниженные риски в соответствии с внутренним общим механизмом оценки рисков, определенным самой организацией, а затем определить, насколько этот риск будет снижен с помощью решения по ИТ-безопасности. Например, если предприятие покупает решение, предназначенное для снижения риска программ-вымогателей на 80 процентов, то коэффициент снижения этого риска составляет 80 процентов.
Стоимость решения по информационной безопасности
Стоимость решения для ИТ-безопасности включает в себя все расходы, связанные с его приобретением, внедрением и обслуживанием. Это важно, потому что независимо от того, насколько хорошим является решение, непомерно высокая стоимость может свести на нет ценность инвестиций, если они не соизмеримы со сниженным риском.
2. Изменение ожидаемых убытков BCG Platinion
Еще одним подходом к расчету рентабельности инвестиций в ИТ-безопасность является методология, разработанная BCG Platinion, дочерней компанией Boston Consulting Group. Он использует изменение ожидаемых убытков для расчета дохода от инвестиций. Ожидаемые потери рассчитываются путем умножения вероятности компрометации на влияние компрометации. ROI решения по обеспечению безопасности ИТ будет равен ожидаемым потерям до решения за вычетом ожидаемых потерь после решения, разделенным на стоимость решения.
Вероятность компрометации
Вероятность компрометации является фактором угроз и уязвимостей. Ее расчет начинается с определения шагов кибератаки. К ним относятся: разведка, первоначальный компромисс, установление плацдарма/расширение привилегий, перемещение в горизонтальном направлении/поддержание присутствия, сбор данных и завершение миссии. Назначьте вероятность того, что каждый из этих шагов будет успешно завершен во время атаки, принимая во внимание средства контроля и системы, созданные для снижения риска. Вероятность компрометации — это индивидуальные вероятности каждого из шести шагов.
Влияние компромисса
Существует пять типов воздействия, которые могут повлиять на виртуальные и физические активы после кибератаки. Это разглашение, прямое воровство, модификация, разрушение и уничтожение. Вы можете присвоить значение этим разным воздействиям на каждый актив и определить, какое влияние возникает, когда одна форма атаки ухудшает состояние данного актива любым из этих способов. Таким образом, влияние компромисса — это потери актива после компромисса.
3. Сравнение с аналогами в отрасли
Организация не существует в вакууме. И хотя комбинация конкретных угроз, нацеленных на него, может быть уникальной, отдельные угрозы вряд ли будут отличаться от тех, которые атакуют его аналоги. Таким образом, сравнение стратегии безопасности и бюджета на безопасность с аналогами в отрасли может быть ценным методом измерения рентабельности инвестиций в бюджет на ИТ-безопасность.
Отраслевые коллеги не обязательно могут разглашать эту информацию конкурирующей организации. К счастью, вы можете найти полезные отраслевые исследования и анализ рынка. Такие исследования и анализ могут также выявить конкретные угрозы для вашей вертикали, определить базовые показатели и детализировать передовой опыт.
4. Статус соответствия
Если на организацию распространяется действие нового регламента или стандарта в области ИТ-безопасности или если она хочет улучшить соблюдение существующих законов, статус соответствия является важным показателем для оценки окупаемости инвестиций в безопасность. Статус соответствия можно оценить на основе регулярных внутренних аудитов, сторонних аудитов и аудитов регулирующих органов.
Если инвестиции не улучшают статус соответствия требованиям, как это задокументировано в ходе аудитов, то они, скорее всего, не обеспечат окупаемость бюджета на ИТ-безопасность, как это должно быть.
5. Повышение готовности к реагированию на инциденты
Организации могут проверить качество или улучшение реагирования на инциденты, запустив симуляцию безопасности после развертывания решения ИТ-безопасности. Они могут отслеживать такие показатели, как количество времени, необходимое для обнаружения инцидента и реагирования на него. Сравнивая результаты текущего моделирования с результатами, полученными до приобретения решения, предприятия могут количественно оценить рентабельность инвестиций.
Окупаемость бюджета ИТ-безопасности на языке CFO/CEO
Организации, независимо от их размера, имеют ограниченные финансовые ресурсы. ROI является рациональным средством для определения того, где эти ограниченные ресурсы должны быть распределены для получения оптимальной отдачи. При правильном выполнении вычисление или оценка рентабельности инвестиций предоставит практические и действенные данные о том, насколько хорошо работают инвестиции в ИТ-безопасность. Это позволяет организации объективно определить новые инвестиции в безопасность и области, которые требуют больших бюджетных ассигнований.
Если вы собираетесь поговорить с финансовым директором и генеральным директором о деньгах, говорите на языке, который они понимают и понимают, если вы хотите получить то, что вам нужно. Презентация об опасностях клавиатурных шпионов мало что даст, если вы не сможете соотнести ее с прибылью бизнеса. Демонстрация окупаемости вашего бюджета на ИТ-безопасность поможет вам в этом.