Не стоит ожидать появления универсального метода финансовой оценки информационной безопасности, тем более что многие руководители (и не только служб ИБ) считают, что оценить ИБ в финансовых показателях невозможно. Отчасти это заблуждение, и основная задача, стоящая перед специалистом по ИБ, — менять отношение руководителя к этому вопросу.

Разные люди вкладывают в понятие «эффективность ИБ» разный смысл, да и трактовка ИБ тоже бывает разная. У сторонников «бумажной» безопасности всегда найдется возможность сослаться на требования нормативных документов, но такой подход не изменит ситуацию, поскольку для финансового директора информационная безопасность — одно, а для генерального — другое, у риск-менеджера свое представление о задачах ИБ, у ИТ-руководителя — свое и пр. Прежде чем браться за оценку ИБ, необходимо решить, что же мы измеряем в деньгах. То же самое касается эффективности: понятие это достаточно эфемерное, и для кого-то «эффективная ИБ» — это когда нет проблем с регуляторами, а для кого-то — когда снижается число инцидентов с вирусами или уменьшается поток спама.

Финансовая оценка ИБ начинается с вопроса о том, выгодно ли внедрение системы защиты (при этом надо еще понять, что такое «выгодно»), а также требует ответа на вопрос «Сколько стоит информационный актив?», чтобы понять, нужно ли пытаться минимизировать информационные риски. Вполне может быть, что предлагаемые средства защиты окажутся дороже, чем сама защищаемая информация.

 

Удаленный доступ и продуктивность

Задача, которая сегодня стоит перед многими компаниями, — защита удаленного доступа. Предоставляя сотрудникам возможность работать из дома, компания экономит на арендуемых площадях. Во сколько при этом обходится информационная безопасность, мало кого интересует. Наша задача — показать, что использование выбранного решения будет экономически выгодно.

В начале июня Росстат опубликовал статистику, из которой следует, что в Москве мужчины работают в среднем на 2,5 часа в день меньше, чем в среднем по России. Причина? Пробки, будь они неладны! Сотрудники не желают тратить свое личное время на стояние в пробках и тратят на это рабочие часы. Работа в режиме удаленного защищенного доступа к информационным системам позволяет сократить расходы (конечно, если организация их несет) на питание сотрудников, оплату проездных, канцтоваров, коммунальные платежи и пр., а также достичь улучшения психологического климата в коллективе за счет работы дома. По статистике, все это в сумме дает рост продуктивности на 10–40%.

Говорят, что внедрение решений антиспама экономически выгодно. Да, это так, особенно когда речь идет о бесплатных решениях, которые можно найти в Интернете, или когда количество сотрудников компании превышает тысячу. Допустим, в ней работает 7 тыс. сотрудников (почтовых ящиков), объем электронной корреспонденции составляет 70 тыс. в сутки (10 сообщений на сотрудника), объем спама — 60% (42 тыс. сообщений). На обработку одного спам-сообщения сотрудник тратит в среднем 10 сек., следовательно, суммарные дневные затраты на спам можно оценить в 14,583 человеко-дня. При средней зарплате сотрудника в 1,5 тыс. долл. потери компании составляют около 994 долл. в день, или 21,8 тыс. долл. в месяц, или около 250 тыс. долл. в год. Выгоден ли антиспам в данной ситуации? Для крупных организаций, безусловно, да, однако для небольших эта выгода не так очевидна.

 

Убыточная безопасность

Казалось бы, оптимизация финансовых показателей вообще не имеет отношения к ИБ. Тем не менее любой финансовый директор скажет вам спасибо, если вместо семилетней амортизации вы ему предложите трехлетнюю, а вместо того чтобы ставить средства защиты на баланс своей организации, подыщете лизинговую схему. В этом случае вместо капитальных затрат в отчетах будут фигурировать операционные, причем разбросанные по месяцам. Если ваша компания — открытое акционерное общество, то ее годовой отчет в этом случае будет выглядеть гораздо привлекательнее — любой акционер скажет, что компания умеет работать.

Вот что в нынешних законодательных условиях совершенно не имеет смысла делать, так это оценивать эффективность защиты персональных данных. Во всем мире этими вопросами занимаются не потому, что безумно беспокоятся о клиентах, а потому, что в случае утечки их данных придется выплачивать большие штрафы и тратить немало денег на то, чтобы уведомить пострадавших клиентов. Стоимость уведомления (создание списка пострадавших, печать, почтовые услуги) составляет примерно 20 долл. на одного клиента. Затраты на обработку обращений пострадавших (например, звонки в Help Desk) — это еще по 20 долл. на одного клиента. У компании Sony в результате хакерской атаки на игровую сеть Playstation Network было похищено 77 млн пользовательских записей и скомпрометировано предположительно 10 млн кредитных карт. Понятно, что даже прямые затраты, связанные с этим инцидентом, будут огромными.

В России обосновать эффективность инициатив при штрафных санкциях в 10 тыс. руб. просто невозможно, поэтому проект по персональным данным в России убыточен изначально. На данном этапе развития законодательства и культуры бизнеса в России проекты по управлению инцидентами ИБ убыточны, и служба реагирования на инциденты ИБ является центром затрат (если только она не продает свои услуги).

 

Примеры сложных проектов

Оценку проекта по внедрению единой системы управления идентификацией, аутентификацией и авторизацией можно смело отнести к сложным. Но если разделить его на части, то оценка заметно упростится.

Берем исходные данные: число пользователей — 120 тыс., ежегодная ротация кадров — 15%, среднее число идентификаторов и паролей у одного пользователя — 5, рабочий день длится 8 часов, в году 260 рабочих дней. При ежегодном числе новых пользователей 18 тыс. (с учетом ротации кадров) необходимо поддерживать 90 тыс. новых пользовательских записей. Создание одной такой записи в среднем занимает 120 сек. (анализ заявки, создание и настройка учетной записи). Всего на администрирование новых пользователей уходит 3 тыс. часов. В среднем ежедневно происходит 20 входов в корпоративную сеть и приложения. Среднее время регистрации — 15 сек. Ежедневно на регистрацию тратится 10 тыс. ресурсо-часов, ежегодно — 2,6 млн ресурсо-часов. В среднем 1% всех попыток регистрации заканчивается неудачно. Повторная регистрация разрешается через 60 сек. Общее время на повторную регистрацию в год составляет 130 тыс. часов.

Как правило, после трех неудачных попыток входа в систему учетная запись блокируется. Поэтому после второй неудачной попытки рекомендуется позвонить в службу поддержки — это 2,4 тыс. звонков ежедневно. Стандартный SLA предусматривает 4 часа на обработку инцидента. При нашем объеме звонков это 9,6 тыс. часов в день, или почти 2,5 млн ресурсо-часов в год!

Итого: время, затраченное на администрирование новых пользовательских записей, регистрацию пользователей в системах и повторный вход в них составляет 2,7 млн часов в год — более 1% всего рабочего времени компании. Если добавить еще и затраты ресурсов на поддержку неудачных попыток входа, то получится, что 5,2 млн ресурсо-часов, или больше 2% всего рабочего времени компании в год, тратится только на управление идентификацией!

 

Меркантильные итоги

Экономика — это палка о двух концах. Производители любят приводить примеры такого рода: «После установки нашей системы защиты сотрудники станут меньше времени проводить в социальных сетях, а по статистике, это примерно 1–1,5 часа в день, значит, они будут работать больше!». А вот и не факт, что сотрудник в это время будет работать, а не займется чем-то еще... К тому же лояльность многих сотрудников, если им закроют доступ в Интернет, снизится, и они, например, будут работать, что называется, от и до, и ни минутой больше.

Кроме того, надо помнить, что ИБ — комплексная задача. По мнению Владимира Феоктистова, заместителя начальника управления ИТ компании «Зарубежнефть», эффективность ИБ можно оценить, анализируя предотвращенные инциденты. Но о предотвращенном инциденте можно говорить в том случае, если средство защиты информации отразило это в своих журналах. В противном случае предотвращения не будет, следовательно, не будет и эффективности.

По мнению Алексея Лукацкого, бизнес-консультанта по безопасности компании Cisco, ведя диалог с бизнесом, надо помнить, что люди инертны и склонны верить тому, что узнали давно (в вузе, на первой работе и т. д.), ленивы и не будут упорно трудиться ради изменений. Их устраивает средний результат. Для них это зона комфорта. Лучшие практики никому не нужны (как и мировые рекорды). Чтобы человек пересмотрел точку зрения, его надо долго переубеждать. Демонстрация «денег» требует времени на измерение отношения ко многим вещам. В общем, придется запастись терпением...