Окупаемость финансовых вложений в сетевую безопасность

Окупаемость финансовых вложений в сетевую безопасность 
Содержание:

  • Анализ возможных экономических последствий
  • Определение интенсивности использования технологий электронного бизнеса
  • Из чего складывается стоимость системы защиты ?
  • Подсчет среднего коэффициента окупаемости инвестиций в систему информационной безопасности
  • Безубыточное расходование средств на обеспечение информационной безопасности
  • Размер финансовых затрат на защитную деятельность и коэффициент их окупаемости

    Многие предприятия предпочитают использовать общий подход к оценке окупаемости инвестиций в деятельность по обеспечению безопасности корпоративной сети. Независимая исследовательская фирма Computer Economics за несколько лет собрала данные, которые помогут провести хорошо структурированный общий анализ окупаемости.

    Анализ возможных экономических последствий

    Предприятиям приходится сталкиваться с тремя типами экономического ущерба от хакерских атак и несанкционированных вторжений. Немедленный экономический ущерб включает стоимость восстановления или замены систем, нарушение хода бизнес-деятельности и движения денежной наличности. Краткосрочный экономический ущерб включает срыв договорных отношений и потерю клиентов из-за неспособности поставить товары или услуги, а также отрицательное воздействие на репутацию предприятия. К долгосрочному экономическому ущербу относятся снижение рыночных цен на продукцию предприятия и падение курса его акций.

    Типы экономического ущерба от злоумышленных нападений

    Тип экономического ущерба предприятия Последствия
    Немедленный экономический ущерб для одного предприятия Повреждение систем, требующее вмешательства человека для их восстановления или замены
    Нарушение бизнес-деятельности
    Задержки выполнения сделок и движения денежной наличности
    Кратковременный экономический ущерб для одного предприятия Нарушение договорных отношений с другими организациями в цепочках поставок
    Снижение розничных продаж
    Отрицательное воздействие на репутацию предприятия
    Препятствие для развития нового бизнеса
    Долговременный экономический ущерб для одного предприятия Снижение рыночных цен
    Падение доверия инвесторов
    Падение акций на бирже
    Подрыв репутации

    Сотрудники фирмы Computer Economics исследовали экономический ущерб от злоумышленных нападений на сети организаций в течение нескольких лет. В таблице представлен предполагаемый средний экономический ущерб от злоумышленных нападений в том случае, если не была обеспечена соответствующая защита сетей. Чем сильнее предприятие зависит от технологий электронного бизнеса, тем большим будет ущерб от злоумышленных нападений. Количество узлов в таблице соответствует количеству любых устройств, подключенных к сети.

    Предполагаемый средний экономический ущерб от злоумышленных нападений

    Количество узлов Экономический ущерб для компании с низким уровнем использования технологий электронного бизнеса Экономический ущерб для компании со средним уровнем использования технологий электронного бизнеса Экономический ущерб для компании с высоким уровнем использования технологий электронного бизнеса
    25 $12,025 $31,085 $66,138
    50 $25,200 $61,589 $131,040
    100 $46,674 $109,684 $233,370
    250 $108,375 $239,401 $509,363
    500 $203,600 $430,614 $916,200
    1,000 $402,225 $812,897 $1,729,568
    2,000 $787,350 $1,554,229 $3,306,870
    3,000 $1,244,970 $2,399,057 $5,104,377
    5,000 $2,243,875 $4,113,023 $8,751,113
    10,000 $4,065,416 $6,878,684 $14,635,498
    20,000 $7,231,488 $11,555,918 $24,587,059
    50,000 $16,789,500 $25,251,408 $53,726,400

    Прогнозы сделаны на основании данных, собранных в течение пяти лет, и включают затраты на восстановление инфицированных систем, затраты на восстановление систем после хакерских атак и несанкционированных вторжений, упущенную прибыль и снижение производительности работников. Экономический ущерб от нападений изменяется в зависимости от имеющегося уровня защиты систем. Чем сильнее защита, тем меньше ежегодный экономический ущерб.

    Совокупную величину экономического ущерба можно разделить на несколько категорий. Львиная доля экономического ущерба от злоумышленных нападений приходится на упущенную прибыль. В малых компаниях упущенная прибыль составляет приблизительно 50 процентов от общего размера экономического ущерба, а в больших компаниях — приблизительно 80 процентов.

    Стоимость восстановления и ремонта компьютеров и сетей составляет приблизительно 20 процентов от экономического ущерба в небольших компаниях и 8 процентов — в крупных компаниях. Потеря производительности составляет приблизительно 30 процентов в небольших компаниях и 12 процентов — в крупных компаниях.

    Определение интенсивности использования технологий электронного бизнеса

     
    Ваша компания может считаться компанией с высоким уровнем включенности в электронный бизнес, если большая часть прибыли получена с использованием web-технологий.

    Даже если вы не попадаете в эту категорию, то необходимо учесть, в каком направлении развивается ваш бизнес. Сегодня вы можете не использовать web-технологии для получения прибыли, но двигаетесь в этом направлений, и в будущем будете больше зависеть от таких источников дохода. В этом случае вы будете нуждаться в большей защите сейчас, с учетом будущего развития компании. На оценку включенности в электронный бизнес влияют следующие факторы:

    • Распределение специалистов в области информационных технологий - если количество разработчиков приложений для электронного бизнеса в отделах информационных технологий превышает среднюю величину, то такие сектора и предприятия оцениваются выше по уровню интенсивности электронного бизнеса . Если количество разработчиков приложений для электронного бизнеса в отделах информационных технологий меньше средней величины, то такие сектора и предприятия оцениваются ниже.

    • Количество установленного программного обеспечения для электронной коммерции - сектора и предприятия, которые имеют программное обеспечение для электронной торговли, оцениваются выше по уровню интенсивности электронного бизнеса, а не имеющие такого программного обеспечения оцениваются ниже

    • Планы на приобретение программного обеспечения для электронной коммерции — сектора и предприятия, которые имеют планы на покупку программного обеспечения для электронной коммерции, оцениваются выше по уровню интенсивности электронного бизнеса, а не имеющие таких планов оцениваются ниже.

    • Web-сайт - сектора и предприятия, имеющие свои сайты, оцениваются выше по уровню интенсивности электронного бизнеса, а не имеющие сайтов оцениваются ниже.

    • Подключение к Интернету - сектора и предприятия, имеющие выход в Интернет, оцениваются выше по уровню интенсивности электронного бизнеса, а не имеющие — оцениваются ниже.

    • Телекоммуникации - сектора и предприятия, которые поддерживают возможности IT-телекоммуникаций, оцениваются выше по уровню интенсивности электронного бизнеса. Сектора и предприятия, которые не используют IT-телекоммуникации, оцениваются ниже.

    • Web-основанные транзакции типа business-to-business — сектора и предприятия, которые осуществляют web-ориентированные транзакции business-to-business (B2B), оцениваются выше по уровню интенсивности электронного бизнеса, а не осуществляющие таких операций оцениваются ниже.

    • Основанные на web транзакции типа business-to-consumer — сектора и предприятия, которые осуществляют web-ориентированные транзакции business-to-consumer (B2С), оцениваются выше по уровню интенсивности электронного бизнеса, а не осуществляющие таких операций оцениваются ниже.

    • Электронный обмен данными посредством Web-сайта — сектора и предприятия, поддерживающие электронный обмен данными (electronic data interchange — EDI) посредством Web, оцениваются выше по уровню интенсивности электронного бизнеса, а те предприятия, которые не поддерживают EDI через Web, оцениваются ниже.

    • Электронный обмен данными с поставщиками через прямые коммутируемые соединения — сектора и предприятия, поддерживающие электронный обмен данными с поставщиками через прямые коммутируемые соединения, оцениваются выше по уровню интенсивности электронного бизнеса, а те предприятия, которые не поддерживают EDI с поставщиками через прямые коммутируемые соединения, оцениваются ниже.

    • Электронный обмен данными с потребителями через прямые коммутируемые соединения — Сектора и предприятия, поддерживающие электронный обмен данными с потребителями через прямые коммутируемые соединения оцениваются выше по уровню интенсивности электронного бизнеса, а те предприятия, которые не поддерживают EDI с потребителями через прямые коммутируемые соединения, оцениваются ниже.

    Из чего складывается стоимость системы защиты ?

    Компания Computer Economics располагает данными о том, какая часть IT-бюджетов предприятий выделялась на организацию систем защиты сети начиная с 1990 года. Последние исследования показывают, что большинство предприятий тратит на защиту меньше 2% своего IT-бюджета. В ситуациях, когда чрезвычайно важны работоспособность системы, целостность данных и конфиденциальность информации, предприятия тратят на защиту пять процентов от своего IT-бюджета.

    Стоимость развертывания системы защиты можно разделить на множество бюджетных категорий, и эта стоимость значительно отличается для разных предприятий. В таблице ниже представлено среднее за 2002 год распределение бюджета центральных информационных систем (IS) и уровень расходования средств на защитные программные продукты или мероприятия, которые обычно приходятся на каждую из основных категорий. В условиях низкого уровня опасности расходы на защитные мероприятия ниже. А если угроза велика, как, например, в финансовых организациях, то расходы на защиту выше. Стоимость защитных мероприятий может зависеть от многих обстоятельств, в том числе от величины и характера бизнеса, от постановлений правительства, от уровня интенсивности электронного бизнеса и от того, как организовано управление сетью — внешнее или внутреннее управление.

    Распределение бюджета центральных информационных систем в 2002 году

    Секторы Средний процент бюджета на информационные системы Расходы на защитную деятельность или продукты
    Мейнфреймы 4.7 Средние
    Системы среднего класса 7.4 Средние
    Серверы /суперсерверы LAN 8.7 Высокие
    Инфраструктура сети передачи данных 8.0 Высокие
    Рабочие станции, настольные персональные компьютеры, портативные компьютеры 8.7 Высокие
    Программное обеспечение: операционная системы и утилиты 5.5 Средние
    Прикладное программное обеспечение 6.8 Средние
    Услуги внешних фирм 5.7 Средние
    Оплата труда сотрудников 36.0 Высокие
    Накладные расходы 3.1 Низкие
    Расходные материалы 2.3 Низкие
    Обучение 3.0 Средние

    Источник: Computer Economics

    Усилия по развертыванию и обслуживанию системы информационной безопасности распределены между различными категориями сотрудников, и это распределение также варьируется для разных организаций. В таблице представлено среднее распределение служебных обязанностей сотрудников информационных систем в 2002 году и размер нагрузки, необходимой для установки и обслуживания программных продуктов и проведения защитных мероприятий.

    Среднее распределение служебных обязанностей сотрудников информационных систем в 2002 году

    Служебные обязанности Процент сотрудников IS Нагрузка
    Операторы ввода данных 1.4 Низкая
    Системные операторы 9.5 Низкая
    Системные администраторы 9.7 Высокая
    Специалисты по технической поддержке компьютеров 6.3 Высокая
    Консультанты 9.5 Средняя
    Специалисты по системному проектированию 4.8 Средняя
    Системные программисты 4.3 Средняя
    Администраторы баз данных 3.4 Низкая
    Прикладные программисты 24.9 Низкая
    Специалисты по документации 1.5 Низкая
    Контроль надежности 2.5 Низкая
    Специалисты по е-коммерции 6.5 Средняя
    Менеджеры /администраторы информационных систем 9.3 Средняя
    Делопроизводство 3.2 Низкая
    Другие 3.5 Низкая

    Подсчет среднего коэффициента окупаемости инвестиций в систему информационной безопасности

    При исследовании коэффициента окупаемости инвестиций (ROI), вложенных в систему информационной безопасности, необходимо рассмотреть несколько переменных. В процессе определения уровня расходов учитываются существующие расходы, а также те, которые могут потребоваться после пересмотра уровня опасности.

    Прежде всего необходимо учесть сумму, потраченную на защиту. Зачастую бывает трудно определить, с какого момента средства, потраченные на приобретение программных продуктов, и рабочее время могут определенно считаться расходами на обеспечение информационной безопасности. На предприятиях, где используются хорошие системы защиты, может иметься большее количество необходимых данных.

    Во-вторых, необходимо определить существующий уровень опасности, или, по крайней мере, то, что известно об этом уровне. Важно учитывать то, что существует определенный тип нарушений защиты, о которых не всегда сообщается.

    В-третьих, существуют законы, постановления и требования безопасности, которые требуют от предприятий отдельных типов принятия дополнительных шагов для защиты информационных систем от атак. Так, у многих предприятий может возникнуть необходимость в дополнительных расходах, выходящих за предел безубыточности, соответствующий известному уровню угрозы, для того чтобы соблюсти законы, постановления или условия контракта. В таких случаях вопрос, касающийся обобщенного коэффициента окупаемости инвестиций в защиту, становится риторическим — если предприятие не выполняет определенных требований, оно не сможет проводить бизнес-операции.

    Безубыточное расходование средств на обеспечение информационной безопасности

    В качестве основы для оценки уровня расходования средств на любое компьютерное оборудование и программное обеспечение можно принять точку безубыточности возврата потраченных средств. Тем не менее, как было замечено ранее, предприятие может столкнуться с дополнительными требованиями, которые меняют значение точки безубыточности. Для вычисления базисной годовой точки безубыточности необходимо разделить экономический ущерб от установленного уровня опасности на количество узлов (см. таблицу ниже). Годовые расходы на один узел снижаются при увеличении количества узлов, по причине экономии при приобретении лицензий на программное обеспечение и при развертывании защитных систем. При определении точки безубыточности учитываются расходы на обеспечение компьютерной и сетевой безопасности.

    Базисная годовая точка безубыточности

    Количество узлов Компания с низким уровнем включенности в систему электронного бизнеса Компания со средним уровнем включенности в систему электронного бизнеса Компания с высоким уровнем включенности в систему электронного бизнеса
    25 $481 $1,243 $2,646
    50 $504 $1,232 $2,621
    100 $467 $1,097 $2,334
    250 $434 $958 $2,037
    500 $407 $861 $1,832
    1,000 $402 $813 $1,730
    2,000 $394 $777 $1,653
    3,000 $415 $800 $1,701
    5,000 $449 $823 $1,750
    10,000 $407 $688 $1,464
    20,000 $362 $578 $1,229
    50,000 $336 $505 $1,075

    Размер финансовых затрат на защитную деятельность и коэффициент их окупаемости

    Для различных предприятий стоимость защитных программных продуктов отличается. Для компьютерных систем установка стандартных средств информационной безопасности, включая антивирусные программы и брандмауэры, на небольшое количество рабочих компьютеров, файл-серверов и серверов приложений обойдется в $100-300 на одну машину, со скидками при увеличении количества узлов, приводящими к сокращению стоимости приблизительно на 50 процентов.

    Защита сетей требует установки широкого набора программных продуктов, включающих технологии идентификации пользователя, управления защитой внешних границ сети, обеспечения безопасного взаимодействия, мониторинга безопасности и управления политикой безопасности. Стоимость программных продуктов для обеспечения сетевой безопасности составляет от $25 на каждый узел в небольших компаниях до приблизительно $85 на каждый узел — для больших предприятий. Стоимость программных продуктов зависит от страны и фирмы-продавца.

    Для компаний с высоким уровнем включенности в систему электронного бизнеса потенциальный экономический ущерб от злоумышленных нападений значительно выше. Это увеличивает потребность в программных продуктах для обеспечения защиты и в соответствующих специалистах. В таблицах ниже представлены затраты на каждый узел и коэффициент окупаемости программных продуктов для организаций с низким, средним и высоким уровнем включенности в систему электронного бизнеса.

    Годовые расходы на систему информационной защиты и коэффициент их окупаемости для предприятия с низким уровнем включенности в электронный бизнес

    Количество узлов Планируемая стоимость продуктов для обеспечения компьютерной безопасности Планируемые стоимость продуктов для обеспечения сетевой безопасности Расходы на персонал Общая планируемая сумма расходов по обеспечению безопасности Экономический ущерб от злонамеренных атак Коэффициент окупаемости инвестиций в защиту
    25 $2,500 $1,250 $4,800 $8,550 $12,025 $3,475
    50 $5,200 $2,300 $9,400 $16,900 $25,200 $8,300
    100 $9,900 $4,950 $18,600 $33,450 $46,674 $13,224
    250 $23,300 $14,200 $46,600 $84,100 $108,375 $24,275
    500 $45,900 $29,000 $93,300 $168,200 $203,600 $35,400
    1,000 $81,200 $68,700 $186,500 $336,400 $402,225 $65,825
    2,000 $148,500 $151,300 $372,000 $671,800 $787,350 $115,550
    3,000 $207,800 $242,200 $560,000 $1,010,000 $1,244,970 $234,970
    5,000 $324,800 $425,100 $935,000 $1,684,900 $2,243,875 $558,975
    10,000 $617,200 $880,000 $1,850,000 $3,347,200 $4,065,416 $718,216
    20,000 $172,000 $1,825,000 $3,725,000 $5,722,000 $7,231,488 $1,509,488
    50,000 $2,784,000 $4,250,000 $9,300,000 $13,334,000 $16,789,500 $3,455,500

    Годовые расходы на систему информационной защиты и коэффициент их окупаемости для предприятия со средним уровнем включенности в электронный бизнес

    Количество узлов Планируемая стоимость продуктов для обеспечения компьютерной безопасности Планируемые стоимость продуктов для обеспечения сетевой безопасности Расходы на персонал Общая планируемая сумма расходов по обеспечению безопасности Экономический ущерб от злонамеренных атак Коэффициент окупаемости затрат
    25 $2,500 $987 $2,256 $4,418 $31,085 $26,667
    50 $5,200 $1,974 $4,418 $8,836 $61,589 $52,753
    100 $9,900 $4,160 $8,742 $17,555 $109,684 $92,129
    250 $23,300 $11,045 $21,902 $43,898 $239,401 $195,503
    500 $45,900 $22,490 $48,236 $92,299 $430,614 $338,315
    1,000 $81,200 $75,200 $97,297 $210,661 $812,897 $602,236
    2,000 $148,500 $106,455 $195,826 $372,076 $1,554,229 $1,182,153
    3,000 $207,800 $166,709 $297,416 $561,791 $2,399,057 $1,837,266
    5,000 $324,800 $287,969 $500,973 $941,598 $4,113,023 $3,171,425
    10,000 $617,200 $591,166 $999,925 $1,881,175 $6,878,684 $4,997,509
    20,000 $172,000 $1,685,890 $2,013,363 $3,780,093 $11,555,918 $7,775,825
    50,000 $2,784,000 $3,097,300 $5,070,360 $9,476,140 $25,251,408 $15,775,268

    Годовые расходы на систему информационной защиты и коэффициент их окупаемости для предприятия с высоким уровнем включенности в электронный бизнес

    Количество узлов Планируемая стоимость продуктов для обеспечения компьютерной безопасности Планируемые стоимость продуктов для обеспечения сетевой безопасности Расходы на персонал Общая планируемая сумма расходов по обеспечению безопасности Экономический ущерб от злонамеренных атак Коэффициент окупаемости затрат
    25 $2,500 $2,100 $4,800 $9,400 $66,138 $56,738
    50 $5,200 $4,200 $9,400 $18,800 $131,040 $112,240
    100 $9,900 $8,850 $18,600 $37,350 $233,370 $196,020
    250 $23,300 $23,500 $46,600 $93,400 $509,363 $415,963
    500 $45,900 $47,850 $102,630 $196,380 $916,200 $719,820
    1,000 $81,200 $160,000 $207,015 $448,215 $1,729,568 $1,281,353
    2,000 $148,500 $226,500 $416,650 $791,650 $3,306,870 $2,515,220
    3,000 $207,800 $354,700 $632,800 $1,195,300 $5,104,377 $3,909,077
    5,000 $324,800 $612,700 $1,065,900 $2,003,400 $8,751,113 $6,747,713
    10,000 $617,200 $1,257,800 $2,127,500 $4,002,500 $14,635,498 $10,632,998
    20,000 $172,000 $3,587,000 $4,283,750 $8,042,750 $24,587,059 $16,544,309
    50,000 $2,784,000 $6,590,000 $10,788,000 $20,162,000 $53,726,400 $33,564,400

    Данная методика вычисления коэффициента окупаемости вложенных средств поможет вам принять важные решения, касающиеся обеспечения сетевой защиты. Обладая безопасной системой обмена информацией, вы можете увеличивать ваш доход от использования электронного бизнеса и извлекать выгоду из увеличения производительности ваших работников.

    Михаил Кадер / Cisco Systems


    Вернуться на главную страницу обзора

  • Версия для печати

    Опубликовано в 2003 г.

    Техноблог | Форумы | ТВ | Архив
    Toolbar | КПК-версия | Подписка на новости  | RSS