Показатель возврата на инвестиции (Return On Investment, ROI) для бизнеса имеет первостепенное значение. Отдача на инвестиции должна быть положительной и оставаться на достаточно высоком уровне, чтобы предприятие сохраняло жизнеспособность.

В сфере ИТ-безопасности это тоже немаловажно. Корпоративным пользователям нужны модели ROI, чтобы они могли показать, что некие конкретные вложения в безопасность себя оправдывают. И в ответ производители предоставляют модели, демонстрирующие, как конкретная система безопасности обеспечивает наилучшую отдачу.

Теоретически это неплохая идея, но на практике чаще всего она превращается в фикцию.

Прежде чем углубляться в детали, я хотел бы отметить один важный момент. ROI в контексте безопасности — величина неопределенная. Безопасность не относится к тем инвестициям, которые дают определенную отдачу, подобно инвестициям в новую фабрику. Это затраты, которые в лучшем случае оправдают себя за счет экономии. Безопасность ставит своей целью предотвратить ущерб, а не принести прибыль. И в этом контексте говорить об отдаче на инвестиции не имеет смысла. Инвестиции в защиту не могут давать отдачи в «традиционном» смысле, но предотвращение убытков, безусловно, влияет на финансовые показатели предприятия.

Впрочем, предприятие должно реализовать только те меры безопасности, которые позитивно скажутся на итоговых финансовых показателях. Нужно тратить больше средств на решение тех проблем безопасности, которые представляют самую серьезную угрозу. С другой стороны, не следует игнорировать проблемы, которые способны проделать дыру в бюджете, если существуют недорогие средства предотвращения этих проблем. При разумном подходе следует относиться к обеспечению безопасности так же, как и к другим решениям, связанным с ведением бизнеса: сопоставлять затраты и преимущества.

Классическая методология, которая носит название «предполагаемые годовые потери» (Annualized Loss Expectancy, ALE), довольна проста. Подсчитайте, во что вам обойдется тот или иной инцидент, связанный с нарушением защиты, с точки зрения времени и денег, а также с учетом урона для вашей репутации и конкурентных преимуществ. Умножьте это на вероятность того, что данный инцидент произойдет в течение года. В итоге вы получите сумму, которую необходимо потратить на то, чтобы снизить данный риск. Например, если ваш магазин с вероятностью 0,1 могут обокрасть, и в этом случае вы понесете убытков на сумму 10 тыс. долл., значит, вам следует тратить на безопасность 1 тыс. долл. в год. Если вы выделите на это большую сумму, то впустую потратите деньги. Впрочем, если меньшую, то деньги тоже будут израсходованы зря.

Естествено, эти 1000 долл. должны уменьшить шанс быть ограбленным до нуля для того, чтобы затраты себя оправдали. Если меры безопасности снижают вероятность ограбления на 40% (вас ограбят с вероятностью 0,6), тогда на обеспечение безопасности вам следует выделить не более 400 долл. Если же другая мера безопасности снижает риск на 80%, она должна обойтись в 800 долл. А если обе меры безопасности уменьшают вероятность на 50%, причем одна стоит 300 долл., а другая — 700 долл., то первая будет экономически оправдана, а вторая — нет.

Информация решает все

Определяющую роль в этих расчетах играет так называемый «страховой след». Если вы анализируете с точки зрения показателя ALE использование камеры наблюдения в магазине круглосуточного обслуживания, необходимо знать уровень преступности в районе, где расположен данный магазин. Также, возможно, полезно иметь определенное представление о том, какова вероятность, что наличие камеры заставит потенциальных воришек вместо вашего пойти грабить соседний магазин. Необходимо знать, во сколько обходится ограбление, учитывая затраты на рекламу, время и моральный ущерб, недополучение прибыли из-за того, что к вам перестанут ходить постоянные покупатели, моральное состояние сотрудников. С учетом всей этой информации вы можете представить, что для вас существеннее — стоимость камеры или потеря прибыли, если вы закроете магазин на ночь (при условии, конечно, что закрытый магазин не ограбят). После чего вы сможете принять окончательное решение, стоит ли ставить камеру.

Оценить безопасность ресурса в киберпространстве намного труднее, поскольку у вас не хватает достоверной информации. Вы не знаете уровень преступности в подобном пространстве, и у вас намного меньше данных о том, насколько индивидуальные меры безопасности (или специфическая конфигурация мер) снижают эти риски. Вы даже не знаете, во сколько вам обойдется инцидент.

Одна из проблем заключается в том, что угроза распространяется слишком быстро. Параметры происшествий, которые мы пытаемся предотвратить, меняются настолько быстро, что мы не в состоянии теми же темпами собирать информацию. К тому времени как мы получим какие-то данные, появляется новая модель угроз, для которой у нас не хватает информации. Это мешает создать корректную ALE-модель.

Но есть и другая проблема, и она заключается в том, что очень быстро любые расчеты теряют смысл, когда речь идет о событиях редких и чреватых крупными потерями. Предположим, ваши убытки в результате потери репутации, утраты клиентов и т.д. после того, как имя вашей компании появится в газете в связи с нарушением безопасности, составят 20 млн долл. Предположим также, что такое событие в течение одного года произойдет с вероятностью, равной одной десятитысячной. Согласно ALE, для того чтобы снизить этот, риск вы должны тратить не больше 2 тыс. долл.

Замечательно. Но, возможно, ваш генеральный директор считает, что такой инцидент будет стоить компании всего 10 млн долл. Вы не можете переубедить его, поскольку ваши данные — это не более чем оценки. Но вы уменьшаете бюджет, выделенный на обеспечение безопасности, вдвое. Производитель, пытающийся продать вам свой продукт, находит отчет о ситуации в Web, согласно которому вероятность того, что инцидент произойдет, на самом деле равна одной тысячной. С учетом новых данных получается, что продукт, стоящий в десять раз больше, становится неплохой инвестицией.

Ситуация становится еще хуже, когда вы пытаетесь оценить ее в экстраординарных обстоятельствах. Представьте, что вы отвечаете за безопасность на случай террористического акта фабрики по производству хлора. Во что обойдется вашей компании с точки зрения денег и репутации масштабный и смертоносный взрыв? В сто миллионов долларов? В один миллиард? В десять миллиардов? И какова вероятность: один к сотне тысяч, один к миллиону, один к десяти миллионам? В зависимости от того, как вы ответите на эти два вопроса (а любой ответ — это всего лишь предположение), вы можете оправдать затраты на снижение этого риска в пределах от 10 долл. до 100 тыс. долл. в год.

Или возьмем другой пример: безопасность в аэропорту. Предположим, комплекс новых мер безопасности в аэропорту увеличат время ожидания не меньше чем на 30 минут для каждого пассажира. В 2007 году в США авиаперевозками воспользовались 760 млн пассажиров. Это значит, что общее дополнительное время ожидания в аэропортах увеличится в итоге и станет равным... 43 тыс. лет. Если предположить, что средняя продолжительность жизни равна 70 годам, то увеличенное время ожидания «убьет» 620 человек в год (или 930, если вы вычисляете эти показатели исходя из того, что в день человек бодрствует в среднем 16 часов). Отсюда вопрос: если отказаться от усиления мер безопасности в аэропорту, больше или меньше людей погибнет от терроризма?

Да будет осмотрителен покупатель

Именно из-за такого рода вещей большинство моделей ROI, которые вы получаете от производителей систем ИТ-безопасности, не имеют смысла. Конечно, подобная модель демонстрирует, что предлагаемый производителем продукт или сервис экономически оправдан. Производители жонглируют цифрами таким образом, чтобы приобретение их решения было финансово обосновано.

Но это вовсе не означает, что методология ALE бесполезна. Это означает, что вы должны: 1) не доверять никакому анализу, предлагаемому заинтересованными людьми; 2) использовать любые результаты только как общее руководство. Поэтому, когда вы получаете от своего производителя модель ROI, возьмите его формулы и подставьте свои данные. И даже не пытайтесь сказать производителю о каких-либо поправках. Он просто отвергнет любые поправки, которые сделают их продукт или сервис менее выгодным. И используйте эти результаты как общее руководство, наряду с анализом соответствия требованиям законодательства и управления рисками — в тот момент, когда вы принимаете решение, какие продукты и сервисы для обеспечения безопасности приобретать.

Брюс Шнайер — директор по технологиям безопасности компании BT. Его новая книга «Шнайер на страже» (Schneier on Security) опубликована издательством John Wiley & Sons в сентябре 2008 года. Его блог можно найти по адресу www.schneier.com.


Bruce Schneier. Security ROI: Fact or Fiction? CSO. September 02, 2008