Многие предприятия предпочитают использовать общий подход к оценке окупаемости инвестиций в деятельность по обеспечению безопасности корпоративной сети. Независимая исследовательская фирма Computer Economics за несколько лет собрала данные, которые помогут провести хорошо структурированный общий анализ окупаемости.
Анализ возможных экономических последствий
Предприятиям приходится сталкиваться с тремя типами экономического ущерба от хакерских атак и несанкционированных вторжений. Немедленный экономический ущерб включает стоимость восстановления или замены систем, нарушение хода бизнес-деятельности и движения денежной наличности. Краткосрочный экономический ущерб включает срыв договорных отношений и потерю клиентов из-за неспособности поставить товары или услуги, а также отрицательное воздействие на репутацию предприятия. К долгосрочному экономическому ущербу относятся снижение рыночных цен на продукцию предприятия и падение курса его акций.
Типы экономического ущерба от злоумышленных нападений
Тип экономического ущерба предприятия
Последствия
Немедленный экономический ущерб для одного предприятия
Повреждение систем, требующее вмешательства человека для их восстановления или замены Нарушение бизнес-деятельности Задержки выполнения сделок и движения денежной наличности
Кратковременный экономический ущерб для одного предприятия
Нарушение договорных отношений с другими организациями в цепочках поставок Снижение розничных продаж Отрицательное воздействие на репутацию предприятия Препятствие для развития нового бизнеса
Долговременный экономический ущерб для одного предприятия
Снижение рыночных цен Падение доверия инвесторов Падение акций на бирже Подрыв репутации
Сотрудники фирмы Computer Economics исследовали экономический ущерб от злоумышленных нападений на сети организаций в течение нескольких лет. В таблице представлен предполагаемый средний экономический ущерб от злоумышленных нападений в том случае, если не была обеспечена соответствующая защита сетей. Чем сильнее предприятие зависит от технологий электронного бизнеса, тем большим будет ущерб от злоумышленных нападений. Количество узлов в таблице соответствует количеству любых устройств, подключенных к сети.
Предполагаемый средний экономический ущерб от злоумышленных нападений
Количество узлов
Экономический ущерб для компании с низким уровнем использования технологий электронного бизнеса
Экономический ущерб для компании со средним уровнем использования технологий электронного бизнеса
Экономический ущерб для компании с высоким уровнем использования технологий электронного бизнеса
25
$12,025
$31,085
$66,138
50
$25,200
$61,589
$131,040
100
$46,674
$109,684
$233,370
250
$108,375
$239,401
$509,363
500
$203,600
$430,614
$916,200
1,000
$402,225
$812,897
$1,729,568
2,000
$787,350
$1,554,229
$3,306,870
3,000
$1,244,970
$2,399,057
$5,104,377
5,000
$2,243,875
$4,113,023
$8,751,113
10,000
$4,065,416
$6,878,684
$14,635,498
20,000
$7,231,488
$11,555,918
$24,587,059
50,000
$16,789,500
$25,251,408
$53,726,400
Прогнозы сделаны на основании данных, собранных в течение пяти лет, и включают затраты на восстановление инфицированных систем, затраты на восстановление систем после хакерских атак и несанкционированных вторжений, упущенную прибыль и снижение производительности работников. Экономический ущерб от нападений изменяется в зависимости от имеющегося уровня защиты систем. Чем сильнее защита, тем меньше ежегодный экономический ущерб.
Совокупную величину экономического ущерба можно разделить на несколько категорий. Львиная доля экономического ущерба от злоумышленных нападений приходится на упущенную прибыль. В малых компаниях упущенная прибыль составляет приблизительно 50 процентов от общего размера экономического ущерба, а в больших компаниях — приблизительно 80 процентов.
Стоимость восстановления и ремонта компьютеров и сетей составляет приблизительно 20 процентов от экономического ущерба в небольших компаниях и 8 процентов — в крупных компаниях. Потеря производительности составляет приблизительно 30 процентов в небольших компаниях и 12 процентов — в крупных компаниях.
Определение интенсивности использования технологий электронного бизнеса
Ваша компания может считаться компанией с высоким уровнем включенности в электронный бизнес, если большая часть прибыли получена с использованием web-технологий.
Даже если вы не попадаете в эту категорию, то необходимо учесть, в каком направлении развивается ваш бизнес. Сегодня вы можете не использовать web-технологии для получения прибыли, но двигаетесь в этом направлений, и в будущем будете больше зависеть от таких источников дохода. В этом случае вы будете нуждаться в большей защите сейчас, с учетом будущего развития компании. На оценку включенности в электронный бизнес влияют следующие факторы:
Распределение специалистов в области информационных технологий - если количество разработчиков приложений для электронного бизнеса в отделах информационных технологий превышает среднюю величину, то такие сектора и предприятия оцениваются выше по уровню интенсивности электронного бизнеса . Если количество разработчиков приложений для электронного бизнеса в отделах информационных технологий меньше средней величины, то такие сектора и предприятия оцениваются ниже.
Количество установленного программного обеспечения для электронной коммерции - сектора и предприятия, которые имеют программное обеспечение для электронной торговли, оцениваются выше по уровню интенсивности электронного бизнеса, а не имеющие такого программного обеспечения оцениваются ниже
Планы на приобретение программного обеспечения для электронной коммерции — сектора и предприятия, которые имеют планы на покупку программного обеспечения для электронной коммерции, оцениваются выше по уровню интенсивности электронного бизнеса, а не имеющие таких планов оцениваются ниже.
Web-сайт - сектора и предприятия, имеющие свои сайты, оцениваются выше по уровню интенсивности электронного бизнеса, а не имеющие сайтов оцениваются ниже.
Подключение к Интернету - сектора и предприятия, имеющие выход в Интернет, оцениваются выше по уровню интенсивности электронного бизнеса, а не имеющие — оцениваются ниже.
Телекоммуникации - сектора и предприятия, которые поддерживают возможности IT-телекоммуникаций, оцениваются выше по уровню интенсивности электронного бизнеса. Сектора и предприятия, которые не используют IT-телекоммуникации, оцениваются ниже.
Web-основанные транзакции типа business-to-business — сектора и предприятия, которые осуществляют web-ориентированные транзакции business-to-business (B2B), оцениваются выше по уровню интенсивности электронного бизнеса, а не осуществляющие таких операций оцениваются ниже.
Основанные на web транзакции типа business-to-consumer — сектора и предприятия, которые осуществляют web-ориентированные транзакции business-to-consumer (B2С), оцениваются выше по уровню интенсивности электронного бизнеса, а не осуществляющие таких операций оцениваются ниже.
Электронный обмен данными посредством Web-сайта — сектора и предприятия, поддерживающие электронный обмен данными (electronic data interchange — EDI) посредством Web, оцениваются выше по уровню интенсивности электронного бизнеса, а те предприятия, которые не поддерживают EDI через Web, оцениваются ниже.
Электронный обмен данными с поставщиками через прямые коммутируемые соединения — сектора и предприятия, поддерживающие электронный обмен данными с поставщиками через прямые коммутируемые соединения, оцениваются выше по уровню интенсивности электронного бизнеса, а те предприятия, которые не поддерживают EDI с поставщиками через прямые коммутируемые соединения, оцениваются ниже.
Электронный обмен данными с потребителями через прямые коммутируемые соединения — Сектора и предприятия, поддерживающие электронный обмен данными с потребителями через прямые коммутируемые соединения оцениваются выше по уровню интенсивности электронного бизнеса, а те предприятия, которые не поддерживают EDI с потребителями через прямые коммутируемые соединения, оцениваются ниже.
Из чего складывается стоимость системы защиты ?
Компания Computer Economics располагает данными о том, какая часть IT-бюджетов предприятий выделялась на организацию систем защиты сети начиная с 1990 года. Последние исследования показывают, что большинство предприятий тратит на защиту меньше 2% своего IT-бюджета. В ситуациях, когда чрезвычайно важны работоспособность системы, целостность данных и конфиденциальность информации, предприятия тратят на защиту пять процентов от своего IT-бюджета.
Стоимость развертывания системы защиты можно разделить на множество бюджетных категорий, и эта стоимость значительно отличается для разных предприятий. В таблице ниже представлено среднее за 2002 год распределение бюджета центральных информационных систем (IS) и уровень расходования средств на защитные программные продукты или мероприятия, которые обычно приходятся на каждую из основных категорий. В условиях низкого уровня опасности расходы на защитные мероприятия ниже. А если угроза велика, как, например, в финансовых организациях, то расходы на защиту выше. Стоимость защитных мероприятий может зависеть от многих обстоятельств, в том числе от величины и характера бизнеса, от постановлений правительства, от уровня интенсивности электронного бизнеса и от того, как организовано управление сетью — внешнее или внутреннее управление.
Распределение бюджета центральных информационных систем в 2002 году
Программное обеспечение: операционная системы и утилиты
5.5
Средние
Прикладное программное обеспечение
6.8
Средние
Услуги внешних фирм
5.7
Средние
Оплата труда сотрудников
36.0
Высокие
Накладные расходы
3.1
Низкие
Расходные материалы
2.3
Низкие
Обучение
3.0
Средние
Источник: Computer Economics
Усилия по развертыванию и обслуживанию системы информационной безопасности распределены между различными категориями сотрудников, и это распределение также варьируется для разных организаций. В таблице представлено среднее распределение служебных обязанностей сотрудников информационных систем в 2002 году и размер нагрузки, необходимой для установки и обслуживания программных продуктов и проведения защитных мероприятий.
Среднее распределение служебных обязанностей сотрудников информационных систем в 2002 году
Служебные обязанности
Процент сотрудников IS
Нагрузка
Операторы ввода данных
1.4
Низкая
Системные операторы
9.5
Низкая
Системные администраторы
9.7
Высокая
Специалисты по технической поддержке компьютеров
6.3
Высокая
Консультанты
9.5
Средняя
Специалисты по системному проектированию
4.8
Средняя
Системные программисты
4.3
Средняя
Администраторы баз данных
3.4
Низкая
Прикладные программисты
24.9
Низкая
Специалисты по документации
1.5
Низкая
Контроль надежности
2.5
Низкая
Специалисты по е-коммерции
6.5
Средняя
Менеджеры /администраторы информационных систем
9.3
Средняя
Делопроизводство
3.2
Низкая
Другие
3.5
Низкая
Подсчет среднего коэффициента окупаемости инвестиций в систему информационной безопасности
При исследовании коэффициента окупаемости инвестиций (ROI), вложенных в систему информационной безопасности, необходимо рассмотреть несколько переменных. В процессе определения уровня расходов учитываются существующие расходы, а также те, которые могут потребоваться после пересмотра уровня опасности.
Прежде всего необходимо учесть сумму, потраченную на защиту. Зачастую бывает трудно определить, с какого момента средства, потраченные на приобретение программных продуктов, и рабочее время могут определенно считаться расходами на обеспечение информационной безопасности. На предприятиях, где используются хорошие системы защиты, может иметься большее количество необходимых данных.
Во-вторых, необходимо определить существующий уровень опасности, или, по крайней мере, то, что известно об этом уровне. Важно учитывать то, что существует определенный тип нарушений защиты, о которых не всегда сообщается.
В-третьих, существуют законы, постановления и требования безопасности, которые требуют от предприятий отдельных типов принятия дополнительных шагов для защиты информационных систем от атак. Так, у многих предприятий может возникнуть необходимость в дополнительных расходах, выходящих за предел безубыточности, соответствующий известному уровню угрозы, для того чтобы соблюсти законы, постановления или условия контракта. В таких случаях вопрос, касающийся обобщенного коэффициента окупаемости инвестиций в защиту, становится риторическим — если предприятие не выполняет определенных требований, оно не сможет проводить бизнес-операции.
Безубыточное расходование средств на обеспечение информационной безопасности
В качестве основы для оценки уровня расходования средств на любое компьютерное оборудование и программное обеспечение можно принять точку безубыточности возврата потраченных средств. Тем не менее, как было замечено ранее, предприятие может столкнуться с дополнительными требованиями, которые меняют значение точки безубыточности. Для вычисления базисной годовой точки безубыточности необходимо разделить экономический ущерб от установленного уровня опасности на количество узлов (см. таблицу ниже). Годовые расходы на один узел снижаются при увеличении количества узлов, по причине экономии при приобретении лицензий на программное обеспечение и при развертывании защитных систем. При определении точки безубыточности учитываются расходы на обеспечение компьютерной и сетевой безопасности.
Базисная годовая точка безубыточности
Количество узлов
Компания с низким уровнем включенности в систему электронного бизнеса
Компания со средним уровнем включенности в систему электронного бизнеса
Компания с высоким уровнем включенности в систему электронного бизнеса
25
$481
$1,243
$2,646
50
$504
$1,232
$2,621
100
$467
$1,097
$2,334
250
$434
$958
$2,037
500
$407
$861
$1,832
1,000
$402
$813
$1,730
2,000
$394
$777
$1,653
3,000
$415
$800
$1,701
5,000
$449
$823
$1,750
10,000
$407
$688
$1,464
20,000
$362
$578
$1,229
50,000
$336
$505
$1,075
Размер финансовых затрат на защитную деятельность и коэффициент их окупаемости
Для различных предприятий стоимость защитных программных продуктов отличается. Для компьютерных систем установка стандартных средств информационной безопасности, включая антивирусные программы и брандмауэры, на небольшое количество рабочих компьютеров, файл-серверов и серверов приложений обойдется в $100-300 на одну машину, со скидками при увеличении количества узлов, приводящими к сокращению стоимости приблизительно на 50 процентов.
Защита сетей требует установки широкого набора программных продуктов, включающих технологии идентификации пользователя, управления защитой внешних границ сети, обеспечения безопасного взаимодействия, мониторинга безопасности и управления политикой безопасности. Стоимость программных продуктов для обеспечения сетевой безопасности составляет от $25 на каждый узел в небольших компаниях до приблизительно $85 на каждый узел — для больших предприятий. Стоимость программных продуктов зависит от страны и фирмы-продавца.
Для компаний с высоким уровнем включенности в систему электронного бизнеса потенциальный экономический ущерб от злоумышленных нападений значительно выше. Это увеличивает потребность в программных продуктах для обеспечения защиты и в соответствующих специалистах. В таблицах ниже представлены затраты на каждый узел и коэффициент окупаемости программных продуктов для организаций с низким, средним и высоким уровнем включенности в систему электронного бизнеса.
Годовые расходы на систему информационной защиты и коэффициент их окупаемости для предприятия с низким уровнем включенности в электронный бизнес
Количество узлов
Планируемая стоимость продуктов для обеспечения компьютерной безопасности
Планируемые стоимость продуктов для обеспечения сетевой безопасности
Расходы на персонал
Общая планируемая сумма расходов по обеспечению безопасности
Экономический ущерб от злонамеренных атак
Коэффициент окупаемости инвестиций в защиту
25
$2,500
$1,250
$4,800
$8,550
$12,025
$3,475
50
$5,200
$2,300
$9,400
$16,900
$25,200
$8,300
100
$9,900
$4,950
$18,600
$33,450
$46,674
$13,224
250
$23,300
$14,200
$46,600
$84,100
$108,375
$24,275
500
$45,900
$29,000
$93,300
$168,200
$203,600
$35,400
1,000
$81,200
$68,700
$186,500
$336,400
$402,225
$65,825
2,000
$148,500
$151,300
$372,000
$671,800
$787,350
$115,550
3,000
$207,800
$242,200
$560,000
$1,010,000
$1,244,970
$234,970
5,000
$324,800
$425,100
$935,000
$1,684,900
$2,243,875
$558,975
10,000
$617,200
$880,000
$1,850,000
$3,347,200
$4,065,416
$718,216
20,000
$172,000
$1,825,000
$3,725,000
$5,722,000
$7,231,488
$1,509,488
50,000
$2,784,000
$4,250,000
$9,300,000
$13,334,000
$16,789,500
$3,455,500
Годовые расходы на систему информационной защиты и коэффициент их окупаемости для предприятия со средним уровнем включенности в электронный бизнес
Количество узлов
Планируемая стоимость продуктов для обеспечения компьютерной безопасности
Планируемые стоимость продуктов для обеспечения сетевой безопасности
Расходы на персонал
Общая планируемая сумма расходов по обеспечению безопасности
Экономический ущерб от злонамеренных атак
Коэффициент окупаемости затрат
25
$2,500
$987
$2,256
$4,418
$31,085
$26,667
50
$5,200
$1,974
$4,418
$8,836
$61,589
$52,753
100
$9,900
$4,160
$8,742
$17,555
$109,684
$92,129
250
$23,300
$11,045
$21,902
$43,898
$239,401
$195,503
500
$45,900
$22,490
$48,236
$92,299
$430,614
$338,315
1,000
$81,200
$75,200
$97,297
$210,661
$812,897
$602,236
2,000
$148,500
$106,455
$195,826
$372,076
$1,554,229
$1,182,153
3,000
$207,800
$166,709
$297,416
$561,791
$2,399,057
$1,837,266
5,000
$324,800
$287,969
$500,973
$941,598
$4,113,023
$3,171,425
10,000
$617,200
$591,166
$999,925
$1,881,175
$6,878,684
$4,997,509
20,000
$172,000
$1,685,890
$2,013,363
$3,780,093
$11,555,918
$7,775,825
50,000
$2,784,000
$3,097,300
$5,070,360
$9,476,140
$25,251,408
$15,775,268
Годовые расходы на систему информационной защиты и коэффициент их окупаемости для предприятия с высоким уровнем включенности в электронный бизнес
Количество узлов
Планируемая стоимость продуктов для обеспечения компьютерной безопасности
Планируемые стоимость продуктов для обеспечения сетевой безопасности
Расходы на персонал
Общая планируемая сумма расходов по обеспечению безопасности
Экономический ущерб от злонамеренных атак
Коэффициент окупаемости затрат
25
$2,500
$2,100
$4,800
$9,400
$66,138
$56,738
50
$5,200
$4,200
$9,400
$18,800
$131,040
$112,240
100
$9,900
$8,850
$18,600
$37,350
$233,370
$196,020
250
$23,300
$23,500
$46,600
$93,400
$509,363
$415,963
500
$45,900
$47,850
$102,630
$196,380
$916,200
$719,820
1,000
$81,200
$160,000
$207,015
$448,215
$1,729,568
$1,281,353
2,000
$148,500
$226,500
$416,650
$791,650
$3,306,870
$2,515,220
3,000
$207,800
$354,700
$632,800
$1,195,300
$5,104,377
$3,909,077
5,000
$324,800
$612,700
$1,065,900
$2,003,400
$8,751,113
$6,747,713
10,000
$617,200
$1,257,800
$2,127,500
$4,002,500
$14,635,498
$10,632,998
20,000
$172,000
$3,587,000
$4,283,750
$8,042,750
$24,587,059
$16,544,309
50,000
$2,784,000
$6,590,000
$10,788,000
$20,162,000
$53,726,400
$33,564,400
Данная методика вычисления коэффициента окупаемости вложенных средств поможет вам принять важные решения, касающиеся обеспечения сетевой защиты. Обладая безопасной системой обмена информацией, вы можете увеличивать ваш доход от использования электронного бизнеса и извлекать выгоду из увеличения производительности ваших работников.
