Повернення інвестицій в інформаційну безпеку

ЗАХИСТ ДАНИХ

Будь-який керівник розуміє необхідність захисту своїх активів від різних загроз, зокрема інформаційних. Але поки грім не вдарить, мужик не перехреститься. Для більшості керівників будь-яка система захисту - це марна трата грошей. І тільки коли загроза атак з боку зловмисників перетворюється з міфу в реальність, з'являється можливість довести керівництву, що система захисту - це не витрати, а інвестиції, які окупляться сторицею.

Можна провести аналогію між створенням ІС, покликаної допомогти у вирішенні бізнес-завдань компанії, і покупкою автомобіля. Одним з критеріїв вибору автомобіля є безпека водія і його пасажирів. Краще трохи розщедритися на ремені і подушки безпеки, протиугінний пристрій і т. Д., Ніж потім картати себе (зрозуміло, якщо буде така можливість) за скупість. Адже ремонт власного і, можливо, чужого автомобіля, витрати на лікування можуть істотно перевищити витрати на безпеку. Однак особиста безпека - це те, що зрозуміло кожному. Як пояснити керівникові компанії, що потрібно захищати і інформацію, яка циркулює в комп'ютерах? І не просто пояснити, але ще і довести з цифрами в руках.

Яка мета будь-якої компанії? Зрозуміло, не придбання та встановлення найсучаснішої і дорогої системи захисту. Для комерційних (і багатьох інших) підприємств головна мета - отримання прибутку, на досягнення якої і спрямовуються всі сили. Інформаційні технології (а інфраструктура інформаційної безпеки - одна з їх складових) також спрямовані на збільшення прибутків компанії. А що таке прибуток? Попросту кажучи - різниця між доходами і витратами. Тому будь-яка компанія прагне збільшити доходи і зменшити витрати. В ідеалі, звичайно, бажано ці два завдання поєднати, але так виходить не завжди. Як правило, при збільшенні доходів зростають і витрати. Тому компанія буде нести витрати на впровадження будь-яких нововведень, в тому числі і систем захисту, тільки тоді, коли вони не будуть перевищувати доходи від їх використання.

Досягти зростання доходів і зниження витрат можна кількома шляхами, наприклад, за рахунок:

- збільшення фінансових надходжень від поточних клієнтів;

- мінімізації витрат на пошук і залучення нових клієнтів;

- зниження витрат на підтримку наявних клієнтів;

- підвищення продуктивності праці і т. Д.

Те, що система захисту забезпечує рішення частини або всіх з перерахованих вище завдань, розуміють багато. Але головна проблема в тому, щоб розмір інвестицій в систему захисту не перевищував одержувану від її впровадження вигоду. Для обґрунтування необхідності придбання системи захисту потрібно пояснити керівництву, що дозволить вирішити та чи інша система захисту, а також підрахувати всі плюси і мінуси від її впровадження. Перше питання я вже не раз розглядав на сторінках PC Week / RE, тому більш детально обговоримо друге питання.

Недостатня підтримка з боку керівництва - одна з основних причин відмови від придбання засобів захисту. Тому від того, наскільки кваліфікованим буде обгрунтування інвестування в інфраструктуру інформаційної безпеки, залежить успіх проекту. Необхідно підрахувати доходи і витрати від впровадження системи захисту та подати отримане техніко-економічне обґрунтування керівництву. Першу задачу вирішує механізм підрахунку повернення інвестицій (ROI), а другу - розрахунок сукупної вартості володіння (TCO), що розглядаються далі.

Що таке ROI?

Зараз хорошим тоном вважається вимірювати успіх проекту в термінах повернення інвестицій (return on investment). Це відношення зароблених грошей до тих, які вкладаються в той чи інший напрямок, виражене у відсотках. Однак за уявною простотою криється складна процедура розрахунку ROI, яка не завжди піддається формалізації і універсалізації. У цій формулі враховується більша кількість параметрів, включаючи пов'язані не тільки безпосередньо з інфраструктурою виявлення атак, але і з загальними фінансовими показниками компанії. Тому так важливо знати вартість корпоративних ресурсів і прибутковість тих чи інших напрямків бізнесу. В іншому випадку розрахувати ROI буде дуже важко і навіть взагалі неможливо. Та й знаючи всі ці параметри, розрахувати ROI не завжди легко, так як нерідко та чи інша технологія чи система приносить опосередковані переваги, які можна підрахувати з калькулятором в руках. Наприклад, перевага переходу з безкоштовної системи виявлення атак Snort, що не має графічного інтерфейсу і важко керованою в територіально-розподіленої мережі, на RealSecure або Cisco IDS очевидно, але важко перекладати в цифри. Як підрахувати вартість зручності роботи адміністратора безпеки? Однак компанії, які знають ціну своїх ресурсів, все-таки можуть підрахувати повернення інвестицій за вищенаведеним відношенню, яке спрощено записується в такий спосіб:

ROI = (Income + Risk + AddLosses) / Investments

Тут Income - зміна доходів в результаті впровадження системи захисту. Так як ця система безпосередньо не використовується для збільшення доходів компанії, то, ймовірно, цей параметр буде дорівнює нулю. Risk - це параметр, який обчислюється в грошовому вираженні і враховує не тільки запобігли потенційні втрати в результаті дії загрози, але і ймовірність її здійснення. AddLosses - це втрати, пов'язані з відсутністю системи захисту, такі, як зниження продуктивності адміністратора безпеки, втрати часу на пошук інформації про уразливість і атаках і т. П. Investment - інвестиції в систему захисту. У загальному випадку це сукупна вартість володіння, описувана далі.

Ризик обчислюється за такою формулою:

Risk = Threat x Vulnerability x Losses

Тут Threat - це ймовірність здійснення атак. Даний параметр розраховується на основі накопичених різними організаціями і компаніями статистичних даних про атаки в різних галузях. Наприклад, ймовірність постраждати від вірусів, троянів і Інтернет-хробаків становить 0,94 для будь-якої компанії, а самі часто яких атакували компанії знаходяться в секторі високих технологій, фінансових сервісів і енергетики. В середньому щотижня фіксується 32 атаки на компанію (щоквартальне зростання цього значення - 64%). Vulnerability - це показник наявності в мережі вразливостей, описуваних попереднім параметром. Умовно можна виділити чотири значення цього показника - 0 (уразливості немає); 0,3 (низький ступінь уразливості); 0,6 (середня ступінь) і 1 (висока ступінь).

Самий останній параметр в даній формулі (Losses) - це втрати, до яких може привести та чи інша атака. Розрахувати його допоможе online-калькулятор, розроблений НІП "Інформзахист" і розміщений за адресою: www.infosec.ru/actions/estimation_of_damage.html. Обсяг продажів атакованого вузла - це не єдина цифра, яка фігурує в цьому підрахунку. Наприклад, ми можемо додати недоотриманий прибуток через простої і збоїв даного вузла або неустойку, викликану невиконанням зобов'язань по причині відмови атакованого ресурсу. Такі ризики, як кримінальне переслідування внаслідок витоку конфіденційної інформації, зниження продуктивності роботи співробітників, незадоволеність клієнтів (а в гіршому випадку і їх переходу до конкурентів), зниження репутації, дуже важко підрахувати, але і вони можуть враховуватися в даній формулі. Їх розрахунок збільшує суму потенційних втрат в разі відсутності інфраструктури забезпечення інформаційної безпеки.

Параметр AddLosses важко вирахувати, але про нього також не варто забувати при обчисленні повернення інвестицій. По-перше, впровадження системи захисту (або перехід на нову версію) знімає з адміністраторів безпеки необхідність виконання безлічі ручних операцій (починаючи від аналізу журналів реєстрації і мережевого трафіку і закінчуючи оновленням бази сигнатур і віддаленим скануванням вузлів за розкладом). В результаті час адміністраторів витрачається більш продуктивно, що в підсумку можна підрахувати за формулою:

де П - продуктивність роботи k адміністраторів; t і t - час на виконання дій по захисту інформації в ручному (до впровадження відповідної системи) і автоматичному режимах відповідно; Z - зарплата адміністраторів безпеки.

По-друге, автоматизація дій по захисту інформації тягне за собою зменшення числа фахівців, що беруть участь в цьому процесі, а також можливість заміни висококваліфікованих експертів менш досвідченими операторами:

де Е - ефективність k адміністраторів; N і N - число адміністраторів до і після впровадження системи захисту.

Крім того, саме цей параметр показує різницю між безкоштовної і комерційної системою захисту. Наприклад, згідно з проведеними опитуваннями, 58% фахівців із захисту витрачають від півгодини до двох годин на пошук інформації, пов'язаної з їх діяльністю (про атаки, вразливості і т. Д.). У 29% на це йде від двох до чотирьох годин, у 13% - більше чотирьох. Таким чином, зниження втрат часу за рахунок поставки в комплекті з системою забезпечення безпеки опису сигнатур атак або вразливостей зменшить час на пошук цієї інформації і дозволить адміністратору безпеки зосередитися на своїх безпосередніх обов'язках, що при щомісячної зарплати в 600-800 дол. Заощадить компанії чималі кошти . Безкоштовні системи виявлення атак і сканери безпеки не володіють такою базою даних. 20-25% часу адміністраторів безкоштовних систем виявлення атак і сканерів безпеки витрачається на обробку помилкових спрацьовувань; для комерційних систем виявлення атак цей параметр істотно нижче - всього 10%. У наявності економія, яка стає відчутною вже після року експлуатації системи захисту.

Особливість формули розрахунку ризиків в тому, що вона враховує не тільки ймовірність атаки, але і факт наявності уразливості, використовуваної зловмисниками. Іншими словами, якою б страшною не здавалася загроза вашим ресурсів, якщо вони їй не схильні до (параметр дорівнює нулю), то і шкоди мережі не буде. А отже, і витрачатися на засоби захисту від неіснуючих загроз немає необхідності. За аналогією - якщо шкоди від атаки для вашої мережі немає, то і захищатися від даної атаки недоцільно.

Відразу хочемо попередити, що дана формула не враховує ряд імовірнісних параметрів, що підвищують або знижують ризик нанесення збитку компанії, в тому числі:

- плинність кадрів, яка призводить до браку кваліфікованого персоналу і збільшення витрат на навчання нових співробітників;

- доступ в Інтернет, що веде до зростання числа можливих атак;

- використання крім систем виявлення атак інших захисних засобів, що дозволяють знизити число можливих атак корпоративної мережі.

- наявність виділеного персоналу, що відповідає за виявлення і реагування на атаки.

Однак навіть наведених вище формул досить для обгрунтування доцільності впровадження системи захисту.

Як розрахувати TCO?

Загальна, або сукупна, вартість володіння визначає планові та позапланові витрати, пов'язані з використанням будь-якої системи протягом усього терміну її служби. Цілком очевидно, що крім безпосередніх або прямих витрат на систему захисту в процесі її експлуатації виникають і приховані витрати. І часто вони істотно перевищують вартість самої системи захисту. Наприклад, за даними Gartner Group, прямі витрати становлять тільки 15-21% від загальної суми витрат на використання ІС.

Сукупна вартість володіння ділиться на прямі і непрямі витрати. Прямі витрати включають в себе:

- капітальні витрати на програмне забезпечення системи захисту. Іншими словами, це вартість ліцензії;

- якщо система захисту функціонує на окремому вузлі (наприклад, міжмережевий екран або система контролю вмісту), то необхідно також врахувати капітальні витрати і на її апаратне забезпечення, т. Е. Закласти в бюджет вартість одного або декількох комп'ютерів, на яких будуть розгорнуті компоненти системи захисту. Так як вона є критично важливим елементом корпоративної мережі, то для неї треба вибирати добре зарекомендувало себе обладнання. А з огляду на вартість техніки від таких брендів, як HP або IBM, ми отримуємо практично подвійне зростання вартості програмно-апаратного забезпечення для системи захисту;

- дуже часто система захисту використовує додаткове програмне і апаратне забезпечення, вартість якого також необхідно враховувати. До такого забезпечення можна віднести бази даних, браузери, системи настройки обладнання, системи резервування, мережеві кабелі, трійники, системи безперебійного живлення і т. Д. З огляду на розмір витрат на супутнє забезпечення і попередні статті витрат, у всьому світі зараз робиться наголос на так звані security appliance, які виконані у вигляді спеціалізованих пристроїв;

- не варто забувати і про можливі витрати на прокладку додаткової кабельної системи, зміна топології мережі, перенастроювання устаткування і програмного забезпечення. Все це вимагає часу і певного числа робочих рук, що в кінцевому підсумку також може бути виражено в грошовому еквіваленті;

- до прямих витрат відноситься і вартість підтримки і навчання (якщо вона не включена у вартість системи захисту). Сюди ж можна віднести витрати на відрядження ІТ-фахівців на поїздки до віддалених офісів і настройку віддалених компонентів системи забезпечення інформаційної безпеки. До речі, дзвінки в службу технічної підтримки або спілкування з нею по e-mail теж можуть скласти кругленьку суму. За даними Gartner Group, ця стаття витрат може займати від 17 до 27% сукупної вартості володіння;

- витрати на управління системою захисту (адміністрування), які включають зарплату адміністраторів безпеки та іншого персоналу, пов'язаного з системою виявлення атак, і модернізацію її програмно-апаратного забезпечення. До цієї статті витрат належить плата за послуги аутсорсингових компаній і реагування на інциденти безпеки. На дану статтю витрат припадає 9-13% TCO;

- великим компаніям з розподіленої корпоративної мережею не варто забувати про витрати на впровадження (включаючи етап попереднього обстеження і складання карти мережі). Дана стаття витрат може займати близько 20% від сукупної вартості володіння системою захисту.

До непрямих витрат (для засобів захисту вони не настільки актуальні і мають набагато більше значення для систем, з якими працюють кінцеві користувачі, - "операційний день банку", операційна система і т. Д.) Можна віднести непродуктивну роботу, пов'язану з діями методом проб і помилок, коли користувачі, не розібравшись в системі, починають її експлуатацію, що призводить до можливих збоїв, втрати часу, простоїв.

Тому очевидний на перший погляд вибір на користь безкоштовної системи захисту при глибокому розгляді вже не настільки привабливий, оскільки витрати на впровадження і підтримку безкоштовної системи захисту можуть набагато перевищити аналогічну статтю витрат для покупки дорогої системи захисту.

Візьмемо як приклад систему виявлення атак, хоча на її місці могла б бути і будь-яка інша система захисту - міжмережевий екран, засіб побудови VPN, система аутентифікації і т. Д. Що необхідно враховувати при обчисленні сукупної вартості володіння для системи виявлення атак:

- вартість комп'ютера для консолі управління і сервера управління;

- вартість комп'ютера для сенсора системи виявлення атак (якщо він поставляється не як окремий пристрій або НЕ інтегрується в мережеве обладнання);

- мережеве обладнання, необхідне для контролю за мережевим трафіком (розгалужувач, концентратор, балансувальник навантаження);

- вартість додаткового програмного і апаратного забезпечення;

- розширення дискового простору на контрольованих вузлах з метою зберігання великих обсягів даних від системних сенсорів системи виявлення атак;

- зниження продуктивності контрольованих вузлів і мереж і, як наслідок, зменшення числа, часу або швидкості виконання операції і зниження прибутків, одержуваних в результаті роботи контрольованих вузлів;

- зарплату операторів системи виявлення атак, в тому числі і при тризмінній роботі;

- зарплату персоналу, що відповідає за адміністрування системи виявлення атак, розслідування та реагування на виявлені інциденти;

- витрати на створення і реалізацію плану реагування на інциденти;

- витрати на відновлення системи після атаки;

- вартість збоїв і простоїв компонентів системи виявлення атак.

При складанні щорічного бюджету не варто забувати про знос активів, який з точки зору інформаційних технологій, зокрема інформаційної безпеки, полягає в устаревании комп'ютерів, мережевого обладнання та програмного забезпечення. Інформаційні технології рухаються вперед семимильними кроками, і те, що зовсім недавно знаходилося на передовому краї, сьогодні вже нікуди не годиться. Так само і з системами виявлення атак, апаратне забезпечення для яких не справляється із збільшеним об'ємом оброблюваних даних вже через півроку-рік після початку експлуатації. Бажаючи збільшити обсяг ОЗУ на сенсорі, ви йдете до бухгалтеру з проханням виділення коштів (не завжди великих) на покупку модуля пам'яті. Але вас зустрічають фразою: "Згідно з нормативами термін зносу модуля пам'яті становить три роки. З початку експлуатації вашого сенсора пройшло тільки шість місяців. Приходьте через 2,5 року ". І довести бухгалтеру, що в реальному житті ці нормативи не діють, практично неможливо. І навіть якщо ви його переконаєте, він вам все одно нічим допомогти не зможе - адже в бюджет не закладено грошей на оновлення сенсора. Зате якщо ви потурбувалися про це заздалегідь, то вам не доведеться кожного разу доводити необхідність очевидних витрат на збільшення пам'яті або оновлення версії ОС (якщо, звичайно, це не входить у вартість технічної підтримки).

Крім правильного бюджетування, аналіз і обчислення TCO часто дозволяє зрозуміти, що своїми силами ви не впораєтеся з ефективною експлуатацією та підтримкою системи захисту та варто подумати про передачу системи в інші руки. Іншими словами, розрахунок TCO дозволяє обґрунтувати необхідність аутсорсингу придбаної системи забезпечення інформаційної безпеки. І хоча для Росії такий вид послуг поки що не стоїть, про нього варто пам'ятати.

Висновок

Якщо кваліфіковано скласти бюджет на розгортання і впровадження даної інфраструктури і захистити його перед керівництвом, то з'являються шанси побудувати дійсно надійну і ефективну систему захисту. Слід пам'ятати, що керівник компанії не завжди розбирається в тонкощах інформаційних технологій. Його згода на придбання системи виявлення атак після злому корпоративної мережі ще не означає, що він не охолоне після того, як зайде мова про виділення коштів. Почувши про існування безкоштовних засобів захисту, він може задати закономірне питання: "А навіщо нам витрачати гроші, якщо ми можемо використовувати безкоштовні рішення?". Тому важливо правильно складати бюджет на інфраструктуру захисту і обґрунтовувати кожну статтю витрат в ньому. Поки ви говорите тільки на ІТ-мові, керівництво буде ставитися до вас з упередженням. Багато керівників і раніше вважають, що ІТ-департаменти виконують другорядну роль в діяльності організації і тільки витрачають зароблені компанією гроші. Спробуйте перейти на зрозумілу фінансовому директору або членам ради директорів мову фінансових термінів, і ви відчуєте, як зміниться ставлення. Отримавши грамотний бюджет і обгрунтування інвестицій в інфраструктуру інформаційної безпеки, керівництво може виділити гроші, навіть не вникаючи в технічні деталі. Зрозуміло, це за умови чіткого викладу всіх вигод для компанії від такого впровадження, методів контролю за витрачанням коштів, що виділяються і методів оцінки ефективності інвестування.

З Олексієм Лукацький, автором книг "Виявлення атак" і "Атака з Internet", можна зв'язатися за адресою: [email protected].

Версія для друку

Тільки зареєстровані користувачі можуть залишати коментарі.