Агентство Активного Аудита

т: +38(044) 228-15-88

e-mail: info@auditagency.com.ua

Впровадження ISO 27001: презентація представникам бізнесу переваг та економічного обґрунтування інвестицій у інформаційну безпеку

Валентин Сисоєв
Security and Operational Risk Officer at ING Bank Ukraine

Напевно, кожен фахівець з інформаційної безпеки стикається із проблемою нерозуміння бізнесом мети впровадження системи інформаційної безпеки у організації. Бізнес часто розглядає безпеку – як вимушені витрати, а якщо і витрачає гроші на інформаційну безпеку, то або після серйозних інцидентів із реальними втратами, або коли їх хтось змушує (зовнішні аудитори, вимоги материнської компанії, вимоги клієнта, чи державні регулятори, наприклад НБУ).
Навіть у таких випадках, основним пріоритетом бізнесу при управлінні інформаційною безпекою є умова:  "робити більше з меншими витратами".

Фахівці з інформаційної безпеки мають вміти донести до бізнесу важливість інформаційної безпеки, вигоди, які отримає організація від інвестицій в безпеку. На жаль, у більшості випадків головним аргументом фахівців з інформаційної безпеки при впровадженні тих чи інших заходів безпеки для керівництва є “вимоги стандарту”, що є абсолютно неправильним і незрозумілим. Головне, що цікавить бізнес – це яку користь (бажано у цифрах) отримає організація, витрачаючи величезні кошти на безпеку.

Мета цієї доповіді, показати один із методів економічного обґрунтування інвестицій в інформаційну безпеку. Показати як правильно треба презентувати бізнесу необхідність впровадження системи управління інформаційної безпеки, що може сильно полегшити завдання впровадження ISO 27001.

Return on Security Investment

Return On Security Investment (ROSI) – використовується для розрахунку фінансової віддачі від інвестицій в інформаційну безпеку, на основі фінансових вигод та вартості інвестицій.

ROSI розраховується на основі: не-фінансових вигод, фінансових вигод та витрат, пов'язаних із інформаційною безпекою

Найкраще використовувати ROSI в організації при впровадженні нових заходів безпеки або нових бізнес проектів.

Non-financial benefits

Не-фінансові вигоди від інвестицій у інформаційну безпеку:

захист та зміцнення репутації організації
підвищення морального духу співробітників, досвіду і знань
отримання прихильної уваги засобів масової інформації в якості "лідера галузі”
відповідність місцевим законам і стандартам
підвищення задоволення клієнтів

Такі вигоди можуть побічно призвести до збільшення фінансового прибутку, наприклад, підвищення рівня безпеки на веб-сайті може призвести до зростання задоволення клієнтів, кількості відвідувачів сайту і збільшення продажів у довгостроковій перспективі. Тим не менш, таким вигодам дуже важко дати кількісну оцінку і, отже, як правило, підпадають під статтю "не-фінансової вигоди.
Фахівці інформаційної безпеки, не можуть самостійно розрахувати не-фінансові вигоди; це треба робити спільно із іншими службами. Маркетинг, відділ продаж, юристи та аудит можуть грати важливу, якщо не головну роль.


Financial benefits

Фінансові вигоди від інвестицій у інформаційну безпеку:

  •  скорочення витрат, пов'язаних з інцидентами
  •  зниження фінансових зобов'язань, за порушення правил регуляторів
  •  зниження вартості володіння інформаційним активом
  •  операційні заощадження
  •  збільшення доходу/прибутку .

Більшість з цих переваг сфокусовані на економії або мінімізації витрат на забезпечення безпеки, такі як витрати на заходи безпеки та витрати на інциденти (якщо вони мають місце). За рахунок зменшення витрат, або вартості володіння інформаційним активом, забезпечується пряма фінансова вигода для організації.

Cost of security

Витрати, пов'язані з інформаційною безпекою, можуть включати в себе: вартість фахівців, вартість заходів безпеки та їх обслуговування; накладні витрати; навчання та підготовка співробітників організації, а також витрати на інциденти.

За допомогою ряду заходів безпеки, організації можуть захистити конфіденційність, цілісність та доступність інформації та запобігти інцидентам, таким як вірусні атаки, спроби злому і шахрайства. Якщо інцидент відбувається, то заходи безпеки можуть зменшити вплив на бізнес і тривалість цього інциденту.

Return on Investment

Щоб зрозуміти, як правильно розрахувати ROSI, приведемо приклад розрахунку рентабельність інвестицій організації – Return on Investment

Рентабельність інвестицій часто використовується для порівняння альтернативних інвестиційних стратегій. Наприклад, компанія може використовувати рентабельність чинником при ухваленні рішення інвестувати в розробку нової технології або розширити можливості вже існуючих технологій.


Для розрахунку рентабельності інвестицій, треба  вартість покупки порівняти із очікуваним прибутком протягом певного часу. Найпростіший приклад: якщо новий завод буде коштувати $1 М і очікується, що він принесе  $5 млн прибутку протягом трьох років, рентабельність інвестицій на три роки становить 400 % (що дає чистого прибутку у 4 рази більше затрачених інвестицій).

Return on Security Investment

Аналогічно розраховується і ROSI.

Давайте подивимося, як це працює.
Наприклад, аналізуючи інциденти минулого року, фахівець інформаційної безпеки Банку порахував, що банк 4 рази піддався вірусній атаці, кожна з яких наносила збиток у сумі  $25000. Було вирішено впровадити антивірусний сканер, що має зменшити вірогідність вірусних атак до 1-ї на рік. Вартість сканеру - $ 25000.

Risk Exposure:  $25’000, 4 рази на рік = $100’000
Risk Mitigated: 75%
Solution Cost: $25’000

Таким чином, ROSI дорівнює 200 %. Це означає, що витрачаючи 25000 доларів на інформаційну безпеку, бізнес отримає 50000 прибутку! Що може бути більш переконливим для бізнесу?

Risk Exposure

Трохи більше зупинимося на понятті Risk Exposure.

Risk Exposure = Annual Loss Expectancy

Risk Exposure – це те саме, що Annual Loss Expectancy, який розраховується за формулою:

Single Loss Expectancy – максимальна втрата для активу від кожного окремого інциденту інформаційної безпеки, помноженого на Annual Rate of Occurrence - скільки разів інцидент може відбутися на рік.
Annual Rate of Occurrence ми можемо отримати аналізуючи історію інцидентів. Якщо така історія не ведеться у компанії, або подібних інцидентів не виникало, можна звернутися до спеціальних довідників та щорічних звітів, які, наприклад, публікує Information Security Forum.
Single Loss Expectancy залежить від вартості активу, який можемо розрахувати за допомогою Business Impact Analysis.

Висновки

Отже, щоб будь який проекти чи ініціатива інформаційної безпеки, включаючи впровадження ISO 27001, була успішна, необхідне повне розуміння та підтримка бізнесу. Для цього треба надати керівництву вагомі, бажано фінансові аргументи, що покажуть фінансове обґрунтування та вигоди від впровадження тієї чи іншої ініціативи у інформаційній безпеці.

Найкраще для цього підходить ROSI (Return on Security Investment), яка скалатається із наступних етапів:

Перші три стадії процесу забезпечує узгоджений механізм для збору даних про вигоди й видатки. На четвертій стадії приймаємо ці дані і використовуємо їх у розрахунках ROSI, щоб забезпечити повернення фінансових інвестицій. І, нарешті, п'ята стадія передбачає інтеграцію результатів ROSI у бізнес процеси. Тобто, використання результатів ROSI для обґрунтування ваших ініціатив бізнесу.

Вигоди для бізнесу від  впровадження ISO 27001 на прикладі одного із банків

Надійність та безпека інформаційних систем

Забезпечення цілісності, доступності та конфіденційності критичних для бізнесу інформаційних ресурсів.

Забезпечення централізованого контролю рівня захисту інформації в рамках усього підприємства.

Підвищення надійності бізнес-процесів (безперервність ІТ-послуг)

Приклад: В результаті проведення оцінки інформаційних та операційних ризиків та вчасному впровадженню відповідних заходів безпеки, фактичні втрати від інцидентів у 2009 році склали менш ніж 2% від операційного економічного капіталу банку.

Зменшення втрат від операційних ризиків та інцидентів

Загрози безпеки та вразливості існуючих бізнес процесів будуть регулярно виявлятися.
Ризики будуть прораховуватися і рішення прийматися на основі бізнес-цілей компанії, в першу чергу фінансових цілей.

Управління інформаційними активами підприємства в критичних ситуаціях буде ефективним завдяки розробці, впровадженню й тестуванні планів по відновленню бізнесу.

Приклад: Потенційні втрати від операційних інцидентів у 2009 році склали більше  $1 млн. Але завдяки своєчасному виявленню та реагуванню на інциденти, втрати вдалося скоротити більш ніж на 98%.

Впровадження ISO 27001 дозволяє суттєво зменшити витрати на інформаційну безпеку завдяки:

  • раціональному підходу до вибору необхідних заходів безпеки, що базується на оцінці можливих збитків, класифікації критичних систем та пріоритезації завдань безпеки
  •  раціональному використанню наявних ресурсів (персоналу, технологій, інфраструктури, даних, програмного забезпечення)

Приклад: Оцінка збитків та класифікація інформаційних активів при побудові BCP дає змогу заощаджувати більше ніж $30’000 щороку.

 

"Впровадження ISO 27001: презентація представникам бізнесу переваг та економічного обґрунтування інвестицій у інформаційну безпеку"

 

Читайте також:

Аудит ISO 27001

Оцінка ризиків

Тест мереж і систем на стійкість до злому

Тест на стійкість до методів соціальної інженерії

Розробка та впровадження програми інформаційної безпеки

Розробка вимог до інформаційної системи

Аудит PCI DSS

Аудит аутсорсингу