Secure IT World 2015 Как обосновать инвестиции в ИБ и добиться управления бюджетом проекта Мялковский Игорь Константинович Член правления клуба CIO club ИТ директоров Санкт-Петербурга, GlobalCIO, АРСИБ – Ассоциации руководителей служб информационной безопасности РФ, CIO Excellence Председатель программного комитета конференции Secure IT World Личный блог: http://3nity.ru/ «Обеспечение безопасности информации» 40 популярных статей в журналах: ИТ-менеджер, Директор по безопасности, А-ТАК 3 патента, 3 учебника, 15 научных статей, 2 авторских курса Военной академии связи, участие и руководитель 3 НИР, участие в 1 ОКР медаль ГК НТ РФ за лучшую научную работу года среди ВУЗов РФ Все статьи автора: http://allcio.ru/authors/59888.html Решение руководителя (ЛПР) Обосновать своевременно Посчитать Систематическую поддержку проекта Объяснить Проще считать – легче объяснить: 1. По подобию у знакомых - не считать! 2. ТСО - совокупная стоимость владения 3. SLA Service Desk 4. ROI, ROV, AIE, IE, TVO, TEI, REJ, EVA, EVS, CI,….. 5. Нечеткие множества 6. и т.д www.IT-Value.ru Эффективность инвестиций в ИТ. Альманах лучших работ М.: СоДИТ МФТИ Лукацкий А. Как измерить безопасность рублем «ИТ-менеджер», №7 – 2013, http://itsecurity.ru/catalog/kp61/ Мялковский И.К. «Парадоксы информзащиты «№11-2013» Журнал FUZZY SETS AND SYSTEMS Изд.: Elsevier Science Publishing Company, Inc. ISSN: 0165-0114 Право распоряжаться бюджетом проекта Увеличить прибыль (участвовать) Повысить статус службы ИБ Не освоить бюджет! 2 Внешние условия: Политика, законодательство Внутренние: 1. Зрелость компании (потребность роста прибыли) 2. Управление рисками по рекомендациям стандартов, регуляторов (модельный подход) 3 4 Мы – патриоты своей компании («низкая материя») Покупатели: получить эффективное (сертифицированное) техническое решение задач информзащиты Продавцы: получить хотя бы остатки прибыли от уже существующих на рынке трендов Мы – патриоты своей страны («высокая материя») Участвовать в развитии своей экономики Получить независимость от западных санкций Выходить на мировой рынок конкурентными продуктами Увеличить число рабочих мест 5 По виду ПО ТСЗИ АПК По составу комплектующих Зарубежные \ собранные в России Российские Совместные По времени производства Развитое собственное производство в России до санкций Производство в России после введения санкций «Коробочные» Обновляемые + сертификация 6 Вложения не выгодны в условиях конкуренции Прекращение продаж Новаторы, энтузиасты Прибыль Последователи Борьба за долю рынка, а не за Хотят маржу купить Ориент лидера, ация на без доп учета сервисы нужд модерн потреби изацию телей Этап главной улицы: придать продукту доп отличия, оптимизи ровать расходы Но лоббирование на российском рынке за счет сертификации и санкций Импортозамещение Время продукта на рынке 7 Прекращение продаж Прибыль 1. Прибыль: Из-за временного отсутствия конкуренции, лоббирования продукта на внутреннем рынке, добавление свойств внутреннего рынка 2. Последующее изменение (ухудшение) начальной технологии 3. Снижение качества 4. Требуется евангелистский подход Импортозамещени е Время продукта на рынке 8 Прекращение продаж Прибыль Сделаем накладку ЖЦ компании - импортозаместителя Технологическое отставание России на 2015г в ИТ и ИБ 8..10 лет Импортозамещение Время продукта на рынке В предположении, что компания продает-импортозамещает флагманский продукт 9 1. 2. Пользу (ключевую прибыль) от «импортозамещения» в ИБ для компании производителя и экономики России дает только собственный продукт «Технологии России должны получить право развиваться по законам рынка, а не по указанию политиков» и в таком случае импортозамещение не потребуется Жорес Алферов, единственный нобелевский российский лауреат, проживающий в России 3. 4. Сертификация не способствует развитию конкурентных ТСЗИ хотя и создает «межрыночный межсетевой экран» - ММЭ Вложения в импортозамещение не должны стать подставой - бизнесу нужны гарантии того, что до восстановления своих позиций сразу после санкций импорт ТСЗИ массово не хлынет на рынок 10 11 Бери деньги и только попробуй не потратить их все!!! Указ Петра I от 09.12.1709г: Разблюдовка счета на покупку комплекса средств защиты 12 Руководителям бизнеса Но они не разговаривают на языке ИТ\ИБ! «Ай-тишники говорят на козьем, а остальные на человеческом» Г. Чиваркин Они разговаривают на языке бизнеса: прибылью, рублями, оборотом инвестиций, «когда отобьем систему» 13 ИТ будет поглощена службой эксплуатации зданий, если не будет заниматься прибылью компании Терри Уайт Чего хочет бизнес от IT. Стратегия эффективного сотрудничества руководителей бизнеса и IT-директоров Терри Уайт «Гуру ИТ – один из наиболее оригинальных мыслителей в мире в области ИТ» http://habrahabr.ru/blog/interviews/36642.html. 14 Что дает бизнесу участие \ присутствие ИБ? + Обеспечивает непрерывность бизнеса + Поддерживает репутацию - создает ограничения - требует вложений 1. Обеспечивает ли служба ИБ развитие фирмы? 2. Как долго бизнес будет терпеть затраты на ИБ? 3. Может ли служба ИБ участвовать в прибыли? 15 Бизнес воспринимает любое подразделение ИТ или ИБ как персонал, управляющий активами! Хороший сервис службы ИБ = результат правильной взаимозависимости (корпоративной культуры). Бизнес, нанимая сотрудников ИТ\ ИБ, не обязан знать, как им организовать свою деятельность 16 Сервис, предоставляемый службой ИБ (службами ИТ+ИБ) С единой точкой контакта всех пользователей: внутренних и внешних Хочется также (на втором уровне поддержки\этапе) иметь единую в масштабе страны квалифицированную поддержку по вопросам ИБ: программа СЕРТ РФ 17 Пример каталога услуг службы Service Desk ИБ 1. 2. 3. 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. 16. 17. 18. 19. Обеспечение сертификации средств обработки и защиты информации Аттестация АИС и помещений Повышение осведомленности работников (инструктажи, консультации) Управление рисками ИБ (моделирование угроз) Аудит достигнутого уровня защищенности информации по ИСО 27007-2013\19011 Обработка инцидентов Защита АИС от вредоносного кода. Представление интересов заказчика при взаимодействии с внешними сторонами. Криптозащита (шифрование) Обеспечение деятельности (поддержка) удостоверяющего центра. Предотвращение утечек конфиденциальной информации. Служебные расследования инцидентов Защита от Web-угроз. Спецобследование защищаемых помещений. Исследование уязвимостей. Согласование документов, действий, взаимоотношений с третьими лицами. Управление проектами ИБ (внедрения \ модернизации СЗПДн) Разработка ОРД, нормативно-методических документов «Пробить по базе» (партнера, клиента, конкурента, кандидата на трудоустройство) Добавление новых видов услуг по решению ген директора! Рекомендация ITIL 18 1. Указать рыночную или «внутреннюю» стоимость каждой услуги, привлекаемых сил и средств (ТСЗИ) 2. Установить режим предоставления услуги (365\24 или 8\7или 5), 3. Распределить уровни предоставления услуги подразделением ИБ\ИТ\интегратором, вендором, передать часть услуги на аутсорсинг 4. Оформить соглашение: - указать чрезвычайные условия услуг - условия расторжения соглашения 5. Приобрести, внедрить АИС каталога услуг, организовать ИТС АИС Service Desk Источник: ITIL\ ITSM\ ИСО 20000 \ CoBIT 19 Пока инцидент не произошел, никто не пытается считать, во что он обошелся компании! ЦЕНА УСЛУГИ службы ИБ: Цена урегулирования инцидента стоимость расследования 1. стоимость восстановления 2. стоимость восстановления репутации 3. юридические издержки: затраты на нарушение соответствия + досудебное урегулирование Цена последствий: 1. стоимость уведомлений (список пострадавших, печать, рассылка писем с уведомлениями) 2. стоимость реагирования пострадавших: звонки в Help Desk 3. стоимость защитных мер заказчиков: регулярные уведомления, системы DLP, антивирусные, покупка ТСЗИ Дети всегда спрашивают, откуда все берется, а взрослых обычно волнует, куда все девается 20 • • • • сократить расходы на защиту информации на 10..20% избавиться от ажиотажа расследования инцидентов понять куда «уходят» деньги - легко ОБОСНОВАТЬ \ планировать инвестиции в ИБ понять, что многое из того, что делали раньше, не нужно – стратегия ИБ При добавлении каждого нового вида услуги в каталог SLA (Service Level Agreement) 1. Мы тратим деньги на ИБ. Что получаем взамен? 2. Сколько денег мы тратим на ИБ и на деятельность службы ИБ? 3. На сколько служба ИБ эффективна? 4. Выровнять потребности подразделений на ИБ сервис 21 22 Противодействие – благо: закаляет, нужно компании для снижения риска инвестиций, способствует улучшению мира Обосновать => выстроить перспективные отношения с руководителями 23 Возражение % отказов Нет денег! 29 Нет поддержки первого руководителя 14 Не хватает квалификации и скрытое сопротивление персонала 10 Некомпетентность персонала, отвечающего за ИБ 9 Не соответствие политике ИБ 8 Не хватает полномочий 8 Неоправданная техническая сложность 6 Непонятные обязанности 4 Нет «хороших» средств для этого 3 Другое 9 Итого 100 Источник: ICSA и SAIC — провели опрос 745 респондентов, 1999г 24 1. Парадокс продуктивности Роберта Солоу (нобелевский лауреат) 1987: «инвестиции в компьютеризацию производства.. не приводят к увеличению прибыли или улучшению производительности труда, приводят к еще большим инвестициям в компьютеризацию производства». 2. Парадокс Бринйольфсона (проф, д.э.н) 1996: «Не существует метода, чтобы напрямую посчитать выгоды от внедрения ИТ»; «Не существует метода дать точную оценку влияния ИТ на рост благосостояния потребителей» Erik Brynjolfsson, Lorin Hitt. Paradox Lost…/Management Science. Vol 42, №4, 1996 Эффективность инвестиций в ИТ. Альманах лучших работ. М.: СоДИТ, 2013 Мялковский И.К. Парадоксы информзащиты в журнале «ИТ менеджер», вып. 11, 2013 25 Компьютерный капитал (капитал ИБ)\ достигнутый уровень защищенности информации (УЗИ) Классическое понимание Новое неклассичес кое дополнение Мат ресурсы: приложения, инфраструктура: коммуникационное и инф оборудование, ТСЗИ Финансы (ИТ\ИБ бюджет) и внешние контракты Персонал (способности, навыки, знания, опыт) Менеджмент, организация (ОРД, допуск и т.п.), бизнес-процессы - технология защиты инф 26 Компьютерный капитал = достигнутый уровень автоматизации Капитал ИБ = достигнутый уровень информзащиты на базе АСЗИ (СМИБ) Парадоксы Солоу и Бринйольфсона В терминах компьютерного капитала и уровня защищенности при системном подходе к созданию АСЗИ (СМИБ\ISO 270012013) снимаются \ опровергаются! Отдача от инвестиций в компьютерный капитал \УЗИ (АСЗИ) выше инвестиций в другие активы \ Бринйольфсон, Производственная функция и компьютерный капитал снимают парадоксы 27 Прибыль от Service Desk Капитальные расходы Расходы на резервиров ание Расходы на обеспечение надежности Стоимость отказов и восстановле ния Прибыль от аутсорсинга \ аренды \ collocation Амортизац ия и совершенст Общие Бизнесвование расходы процессы Обучение Эксплуатационные расходы Ошибки персона ла Навыки Расходы на электроэне ргию 28 Рост фирмы: прибыли, качества бизнеса Рост Рост объема числа каждой заказов сделки Рост стоимос ти сделки Сокращ ение издерже к Сокращение времени обслуживани я DLP Соц сети, WWW, MDM Монит оринг Рост влияния в компании своего (своей службы) Рост числа Рост сотруднико квалифика в службы ции АСЗИ Типовые решения ИБ, мониторинг Участие ИТ, ИБ в прибыли: аутсорсинг, аренда, проекты АСЗИ Политика ИБ, стратегия ИТ, положения, регламенты, инструкции Service Desk аутсорсинг Не во всех компаниях сокращение издержек \ сотрудников = выгода 29 Опровержение Солоу \Бринэльфсена 1. Чем выше расходы на ИТ, тем выше рентабельность капитала (справедливо только в терминах компьютерного капитала \ УЗИ) 2. Инвестиции в компьютерный капитал (УЗИ – имеется подтверждение для банков) эффективнее, чем в другие виды активов 3. Эффект от инвестиций в компьютерный капитал (УЗИ – не подтверждено!) превышает затраты на него 4. Вложения в ИТ персонал дают больший эффект, чем вложения в персонал, не связанный с ИТ (для ИБ не подтверждено) Результаты исследований эффективности компьютерного капитала 367 кр компаний с общ выручкой $1.8 трл 30 Типичные ошибки обоснования инвестиций 1. 2. 3. 4. 5. 6. 8. 9. 10. 11. 12. 13. 14. 15. 16. Сложные и дорогие методики, не в терминах компьютерного капитала Не увязаны с целями бизнеса, нет понимания бизнес-целей специалистами ИБ Не учитывают свое положение\репутацию Не используют методы влияния на ЛПР, не планируют свои действия Не сопоставляют возможности ЛПР с финансовой ситуацией фирмы отлучены от бизнес-совещаний Разная терминология по Чичвакину Не верно выбрано время обоснования Не учитывают комплементарные эффекты (эффекты от воздействий внедряемых ТСЗИ \ АСЗИ на соседние системы и на организацию) Внедряемая система уже есть – забыли после смены команды! Нет поддержки проекта внедрения АСЗИ первым лицом компании Нет систематического контакта с поставщиком решения Нет понимания скрытых затрат (VDI требует стандартизации АРМ) Не учитывали затрат будущих периодов: ИТС, обновления конфигураций Не в курсе, сколько денег можно взять из бизнеса, не нанеся ему вреда: что бизнес может позволить себе Не учитывали особенности защиты инф унаследованных систем DLP как тамагочи, если ею не пользоваться, она умирает 31 Руководитель не сомневается, что достигнут базовый \ заданный \ требуемый уровень автоматизации \ защищенности 1. Достигнутый УЗ (УА) - оптимальный? Руководитель поддерживающий базовый \ заданный \ требуемый уровень автоматизации \ защищенности 2. Требуемый (максимальный) УЗ (УА) увеличение затрат, хотя уже все достигнуто (проблема решена окончательно и на долго) Руководитель: в обоих случаях 1 и 2 достигнуто экономическое или какоелибо другое равновесие или если предыдущие меры не эффективны, то где гарантия, что последующие станут эффективными? 32 Эл почта - очевидна КИС (1С:УПП) – не очевидна СЭД – нет Видеонаблюдение - очевидно СКУД - очевидно Средства пожарной охраны – да CRM – нет ERP – нет DLP – нет АСЗИ – нет 33 Обоснование инвестиций в аспекте уровней зрелости компании по Gartner 0 ИБ, как службой или сервисом, не занимаются Руководство не осознает важности ИБ Финансирование \ бюджет ИБ отсутствует Информзащита штатными \ типовыми \ доступными \ имеющимися средствами ОС и приложений (антивирусы, ForeFront TMG, настройки шифрования Exchange, WinServer, SQL… ) Информзащиту организует системный администратор (свой, аутсорсинг) 1 2 3 Все считают это чисто технической проблемой Нет единой концепции (политики, программы, ОРД) развития КИС\АСЗИ Финансирование в пределах бюджета ИТ Информзащита обеспечивается средствами 0-го уровня + средства резервного копирования (обычно без проверки восстановления), антивирусами, МСЭ, традиционными ТСЗИ (доверенная загрузка, защита средств виртуализации) Защита съемных носителей, моб устройств не предусмотрена cистема\комплекс орг-техн и правовых мер понимание важности ИБ для бизнес- процессов есть стратегия ИБ\ИТ Финансирование - отд бюджет ИБ средствами 1-го уровня + ТСЗИ усиленной аутентификации, анализа почтовых сообщений и webконтента, IDS (системы обнаружения вторжений), ср-ва анализа защищенности, SSO (средства однократной аутентификации), PKI (инфраструктура открытых ключей) орг меры: внутренний и внешний аудит, анализ рисков, Политика ИБ: положения, процедуры, регламенты и руководства, инструкции ИБ - часть корпоративной культуры, назначен (старший офицер по ОБИ); Финансирование отдельный бюджет; ИБ средствами второго уровня + СУИБ, CSIRT (группа реагирования на инциденты нарушения ИБ), SLA - соглашение об уровне сервиса для ИБ или в рамках ИТ. 34 Условие Право управлять бюджетом 1. Создана служба Service Desk, есть каталог услуг ИТ\ИБ Есть или почти есть 2. Организация выше II уровня зрелости по Gartner По плану защиты 3. Исходя из требований законодательства (например 152ФЗ) По плану защиты 4. По осознанной необходимости, например при управлении рисками По плану проекта 5. Исходя из опыта \статистики инцидентов и понимания проблемы (наглядности целей) и степени участия службы ИБ в прибыли 35 36 Обоснование инвестиций ИБ\ИТ нужно, если бизнес готов разговаривать на эту тему и говорить именно с вами. • • Руководители бизнеса: оценить выгоды от ИТ\ИБ в рублях невозможно. Но можно оценить стоимость информации, ущерб от инцидентов, эффективность проекта А значит оценка «финансовой отдачи» от продуктов/проектов ИБ – просто интересная задача, не востребована бизнесом 37 38 Когда отобьем? Задержка между инвестициями в ИТ и выгодой от них согласно Солоу и Бринольфсену: - в ИТ 4-5 лет - В ИБ нет исследований, предположительно 5..8 (в зависимости от отрасли: банк, коммерческое предприятие, гос. учредение Задержка связана с длительностью изменений, адаптацией организации (сотрудников и других средств что-то требуется докупить) и более полным использованием возможностей внедренных изменений влиянием комплементарных (унаследованных) систем Долгосрочные эффекты от инвестиций в ИТ в 2,5-3 раза превышают краткосрочные В ИБ в лучшем случае – похожие значения 39 40 Спасибо Все статьи: http://allcio.ru/authors/59888.html Все народные мудрости - от глупости 41