Проект видавничого дому «МЕДІА-ПРО»
ROI DLP. Можно ли подсчитать? | director.com.ua

ROI DLP. Можно ли подсчитать?

Автор статьи: 

Петр СКОВОРОДНИК,
аналитик компании SearchInform

Пожалуй, самый интересный для бизнеса — это показатель окупаемости проектов. Не являются исключением и проекты по внедрению DLP-систем. Однако можно ли относиться к безопасности как к обычным бизнес-инвестициям и описывать эффект исключительно с помощью показателя ROI?

Формула учета

Для начала напомним, что скрывается за иностранной аббревиатурой ROI. Согласно данным Википедии, Return on Investment (ROI) — финансовый коэффициент, иллюстрирующий уровень доходности или убыточности бизнеса с учетом суммы сделанных в этот бизнес инвестиций. Показатель ROI определяется отношением суммы прибыли или убытков к сумме инвестиций. Значением прибыли может быть: процентный доход, прибыль/убытки по бухгалтерскому учету, прибыль/убытки по управленческому учету, чистая прибыль/убыток. Значением суммы инвестиций — активы, капитал, сумма основного долга бизнеса, другие, выраженные в деньгах, инвестиции.

Попробуем применить данное определение к проекту внедрения DLP-системы в компании. С инвестициями все относительно просто: сюда стоит отнести все расходы, связанные с внедрением DLP. Их можно посчитать с помощью следующей формулы:

Инвестиции в DLP = Единовременные затраты + Постоянные затраты,
где Единовременные затраты = Экспертиза системы ИБ + Разработка политик безопасности + Стоимость лицензий + Стоимость внедрения,
Постоянные затраты = Техническая поддержка + Зарплата ИБ-персоналу.

Учет постоянных затрат в момент внедрения DLP-системы — достаточно сложный вопрос, поэтому можно предложить рассчитывать ROI в рамках предположения того, что DLP-система будет не просто внедрена, но и успешно проработает в компании хотя бы в течение полугода. Конечно, данные будут объективнее, если брать более длительные промежутки времени, однако для оценки хватит и этого.

В «доходной» части проекта по внедрению DLP-системы наблюдаются явные трудности, поскольку сама по себе DLP-система зарабатывать деньги компании не помогает. Единственное ее предназначение — уменьшать размеры полученных предприятием в результате утечек конфиденциальных данных и других инцидентов в сфере информационной безопасности убытков. Очевидно, что именно сумму предполагаемых убытков и стоит брать в качестве «прибыли» от DLP-системы. Однако понимание этого факта проблему совсем не решает, поскольку посчитать убыток от ИБ-инцидента, в том числе от утечки информации, довольно затруднительно.

Сколько стоит «утечка»?

Чтобы понять, почему решение озвученного вопроса проблемно, рассмотрим, каким именно образом информационные потери вредят бизнесу. Основные пути нанесения ущерба бизнесу посредством утечек данных таковы:
•прямой ущерб: недополученная прибыль в результате утраты конкурентных преимуществ;
•судебные издержки на урегулирование споров с пострадавшими от утечек;
•штрафы со стороны регуляторов;
•ущерб для репутации компании, допустившей утечку информации.

Относительно легко на момент наступления ИБ-инцидента можно просчитать разве что прямой ущерб от него, который к тому же является только «надводной частью» утечки: по оценкам аналитиков, он составляет обычно порядка 5–20 % всего убытка, причиняемого бизнесу информационными потерями. В странах СНГ самый большой вклад в ущерб вносит последнее слагаемое — репутационные потери. Именно они в будущем могут помешать компании получить выгодные заказы, выиграть крупные тендеры, воспользоваться другими возможностями для своего роста и укрепления положения на рынке. Самое печальное, что этот вред невозможно подсчитать не только на момент самой утечки, но и позже, поскольку нельзя точно сказать, связано то или иное негативное для бизнеса последствие именно с утечкой информации или нет.

Казалось бы, удачный момент, чтобы уверенно сказать, что «подсчитать ROI для проектов внедрения DLP-системы невозможно», и закрыть раз и навсегда эту тему. Однако выше уже говорилось о том, что ROI в случае внедрения DLP-системы — величина не точная, а, скорее, оценочная, поэтому для подсчета этого показателя для данного вида проектов можно воспользоваться различными оценками ущерба от утечек данных.

Для приблизительной оценки можно оперировать средней стоимостью одной утечки информации в мире, которую рассчитывает международная исследовательская организация Ponemon Institute. Эта величина растет год за годом, в 2012-м составив около $5,5 млн. С другой стороны, приведенная цифра схожа с небезызвестной «средней температурой по больнице». Нельзя с этим не согласиться, потому что вряд ли небольшая компания с оборотом в $100 тыс. способна «сгенерировать» таких масштабов утечку.

Некоторые исследователи считают, что в качестве средней стоимости информационной потери для компании можно взять величину ее среднего оборота в месяц за последние 12 месяцев. Впрочем, вряд ли подобная оценка также будет более точной, нежели цифры от Ponemon Institute. Однако это уже хотя бы что-то.

Тем не менее стоимость одной утечки информации мало что говорит без знания количества подобных инцидентов. Узнать же о них зачастую без DLP-системы достаточно сложно, во всяком случае, в тот момент, когда последствия утечки еще можно хоть как-то минимизировать.

Практика и оптимизация

Для более точной оценки возможно прибегнуть к одной из общепринятых методик оценок рисков, например: CRAMM, RiskWatch, ГРИФ. Данные методики позволят не только понять, какова может быть величина убытков от ИБ-инцидентов для вашей компании, но и выбрать оптимальную модель защиты от информационных угроз, которая позволит построить максимально эффективную систему защиты от оных за сравнительно небольшую сумму.

Впрочем, для проведения аудита компании и оценки рисков по этим методикам придется обратиться за помощью к консалтерам, услуги которых необходимо будет оплачивать. Однако по сравнению со стоимостью утечки информации и ценой внедрения DLP-системы необходимые денежные затраты не будут существенными.

Показатель ROI, рассчитанный с помощью оценки рисков, полученной посредством означенных методик, может сильно отличаться для разных компаний. И относиться к нему можно по-разному, но, как показывает практика, если применять его с обычных для бизнеса позиций, то можно «не заметить за деревьями леса», т. е. оказаться в ситуации, когда защита вроде и не была нужна, однако информация «утекла», а компания в итоге понесла довольно серьезные убытки.

Связано это с тем, что в отличие от регулярного функционирования бизнеса, где продажи товаров или услуг приносят регулярные поступления денег, информационные потери происходят сравнительно несистематично, поэтому статистические закономерности, которые начинают хорошо работать, когда идет расчет различных показателей, включая и ROI, здесь не приемлемы.

В результате напрашивается следующий вывод: однозначного ответа на вопрос, вынесенный в заголовок статьи, нет. С одной стороны, провести оценку ROI в случае внедрения DLP-системы чисто теоретически возможно. Но это будет совсем не тот показатель, которым обычно оперируют в бизнесе при оценке тех или иных инвестиций, поэтому и интерпретировать его нужно только как весьма приблизительную оценку, которая может быть не вполне реальной в случае недостаточного количества данных.

Как показывает практика, ROI DLP лучше рассчитывать как минимум через год после начала полноценной эксплуатации внедренной DLP-системы, когда накоплена определенная статистика по инцидентам, которые были предотвращены с помощью DLP. Априорные же расчеты могут отличаться большой погрешностью.

 

 

 

© 2017 ООО «МЕДИА-ПРО». Все права защищены. Украина, 02660, г. Киев, ул. М.Расковой 11, корпус А, 6 этаж