Upload
michael-kozloff
View
2.251
Download
8
Embed Size (px)
DESCRIPTION
Выступление на круглом столе на ИнфоБез 2011
Citation preview
http://devbusiness.ru/mkozloff
Экономический эффект от внедрения средств информационной
безопасности, примеры расчета ROI
Return on Investment (ROI) Отдача от инвестиций
3
Выгода – Затраты
Затраты
ROI = * 100%
Безопасность – это бизнес-процесс,
требующий инвестиций
ROI достигается за счет снижения
рисков до приемлемого уровня в рамках конкретной
модели угроз
Угрозы, риски и вероятности их
проявления постоянно
изменяются
http://www.slideshare.net/mkozloff/roi-7039990
1.
2.
Централизованная
установка
vCenter/vGate
20 ESX хостов (2CPU) 300 ВМ 3 администратора
Годовая з/п
администратора с
учетом накладных
расходов = $48к
Настройки ИБ
соответствуют
требованиям PCI DSS,
CIS, VMware Hardening
Ставка
дисконтирования 15%
Горизонт расчета 3
года
Ручная настройка виртуальной
инфраструктуры VMware для соответствия лучшим практикам CIS, VSHG и требованиям PCI DSS
Применение шаблонов vGate снижает время
настройки в 4 раза
Показатель Значение Приведенная
стоимость PV (3 года)
Стоимость ручной настройки ИБ $133 683 $117 004
Эффект от vGate: снижение затрат 75% $100 262 $87 753
Затраты на vGate $40 800 $37 503
NPV (эффект - затраты) $50 249
ROI (NPV / затраты) 134%
Выгода в месяц (эффект / 36 месяцев) $2 785
Период окупаемости, мес. 15
Данный расчет сделан с vGate ROI Calculator для вымышленной компании
Модель угроз для
конкретной ситуации
Модель соответствую-
щих рисков
Вероятность проявления и
стоимость рисков
Стоимость рисков и средств их
уменьшения (ИБ - отрицательный
денежный поток)
Оценки возможности
снижения вероятности и
стоимости рисков при помощи средств ИБ
(положительный денежный поток)
The Value Of Corporate Secrets. How Compliance And Collaboration Affect Enterprise Perceptions Of Risk. March 2010, Forrester
True Cost of Compliance Report, Ponemon Institute LLC, January 2011
Вариант 1: «Ничего не делаем« (принимаем 100% риска) PV (3 года)
Штрафы PCI DSS -$1 141 613
Потеря важной информации -$2 716 695
-$3 858 308
Вариант 2: «Ручная настройка ИБ» (-95% рисков) Ручные затраты на compliance и настройку ИБ -$117 004
Потеря важной информации -$135 835
-$252 839
Вариант 3: «Автоматизация настроек ИБ с vGate» (-98% рисков) Затраты на vGate -$37 503
vGate снижает ручные затраты на 75% $87 753
Оставшиеся ручные затраты -$29 251
Потеря важной информации -$54 334
-$33 335 Данный расчет сделан с vGate ROI Calculator для вымышленной компании
Показатель Значение PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Затраты на vGate $40 800 $37 503
NPV $226 010 $182 000
ROI 485% Выгода в месяц $6 278
Период окупаемости, мес. 7
Данный расчет сделан с vGate ROI Calculator для вымышленной компании
Value PV (3)
Выгода от снижения рисков ручной настройки $266 810 $219 503
Снижение затрат на ручную настройку 75% $100 262 $87 753
Общая выгода от vGate для ВС VMware $367 072 $307 256
Затраты на vGate $40 800 $37 503
NPV $326 272 $269 753
ROI 719%
Выгода в месяц $9 063
Период окупаемости, месяцев 5
Данный расчет сделан с vGate ROI Calculator для вымышленной компании
Снижение риска потери информации
Сегментирование ПДн
• К1 = 18000 руб. на ПК
• К3 = 6000 руб. на ПК
Лицензии
Внедрение
Обучение администратора
Администрирование
Вы
год
а З
атр
аты
Централизованная установка, 1
администратор TrustAccess
5 серверов 150 ПК
Годовая з/п администратора с учетом накладных расходов = $48к
Снижение риска потери данных
после внедрения TrustAccess = 10%
Снижение риска штрафа по PCI
DSS = 8%
Сегментируем ИСПДн с К1 до К3
Ставка дисконтирования
15%
Горизонт расчета 3 года
• Данный расчет сделан с TrustAccess ROI Calculator для вымышленной компании. Защита 5-ти серверов и 150 ПК
• Модель угроз Forrester ("The Value Of Corporate Secrets - How Compliance And Collaboration Affect Enterprise Perceptions Of Risk", March
2010, by A Forrester Consulting Thought Leadership Paper (Commissioned By Microsoft And RSA, The Security Division Of EMC)
• Снижение риска потери данных из-за НСД на 10%, штрафов PCI DSS на 8% и снижения затрат на защиту ПДн за счет сегментации
ИСПДн при помощи TrustAccess
Риск Значение ПС (3 года)
Инвестиции 1 589 174р. 1 430 488р.
Выгода (снижение рисков потери данных на 10%) 13 146 650р. 10 304 243р.
Фактор риска для выгоды 30% - 3 943 995р. - 3 091 273р.
NPV 7 613 481р. 5 782 483р.
ROI 404%
Выгода в месяц 211 486р.
Период окупаемости, мес. 8
Источники ROI в ИБ: рост эффективности
процессов и снижения рисков (ошибок, потери
данных, штрафов…)
Для России нет публичной модели
угроз – делайте свою
Детали бизнес-процессов и рисков = точность расчета
(c)2011, Михаил Козлов. Информация в настоящей презентации предоставляется на условиях «КАК ЕСТЬ», без предоставления каких-либо гарантий и прав. Используя
данную информацию, Вы соглашаетесь с тем, что (i) автор(ы) не несут ответственности за использование Вами данной информации и (ii) Вы принимаете на себя весь
риск, связанный с использованием данной информации». Упомянутые торговые марки и названия принадлежат их законным владельцам.
http://www.slideshare.net/mkozloff/michael-kozloff-business-development-2011
http://www.slideshare.net/mkozloff/roi-7039990
http://devbusiness.ru/mkozloff/about/