Всем привет!

Темой ноября в IT Galaxy объявлена оценка возврата инвестиций (ROI). В связи с этим предлагаю вашему вниманию перевод статьи Measuring the Return on IT Security Investments, опубликованной здесь. Статья достаточно объемная для одного блога, поэтому было принято решение разбить публикацию на три части. Сегодня выкладываю первую.


Введение.

Intel IT разработал модель оценки возврата инвестиций в информационную безопасность (ROSI – Return on Security Investment) для тех типов программ безопасности, которые позволяют уменьшить число возникновения инцидентов, ведущих к различного рода потерям. Эта модель позволила нам принять серию обоснованных решений относительно программ безопасности, в результате которых размер предотвращенных потерь составил порядка 18 миллионов долларов в год.

Данная модель предоставляет высокий уровень точности по сравнению с другими методами, поскольку в ней используются данные от реальных инцидентов, а не оценка потенциальных уязвимостей. Анализируя данные о тенденции кибер-атак в прошлом и экстраполируя на наше окружение, мы можем прогнозировать изменения в количестве ожидаемых инцидентов и подсчитать финансовую составляющую внедрения программы безопасности.

Метод может использоваться как с целью прогноза, так и после внедрения какого-либо решения для общей оценки ценности. Получив на входе верные данные, он сможет спрогнозировать возникновение инцидентов в будущем и их степень влияния как для поддержания статуса-кво, так и для внедрения программы безопасности, позволяя сделать сравнения и определить, какое действие будет наиболее полезным. Если применять эту модель после имплементации некой программы безопасности, можно подсчитать уменьшение числа возникновения инцидентов и оценить полезность принятых мер.

Эта модель масштабируема, управляема и может быть автоматизирована, принося значительную выгоду. Ключевые метрики, порождаемые расчетами, позволяют:

• определять оптимальные продукты для данного окружения, приближая его к оптимальному уровню безопасности;
• сравнивать полезность программ безопасности с другими проектами, позволяя эффективно управлять и распределять ресурсы и обосновывать затраты на информационную безопасность;
• прогнозировать полезность будущих программ безопасности и определять, соответствуют ли они ожиданиям;
• предоставлять данные, необходимые для разработки стратегического плана для поддержания безопасности вычислительной системы.

Хотя данный метод имеет ограничения, он стал неоценимым инструментом для менеджеров при принятии решений о нахождении наилучшего способа защиты глобальной инфраструктуры Intel.

Постановка задачи

Задачей программ информационной безопасности является предотвращение потерь путем минимизации вероятности возникновения нежелаемых событий или уменьшением нанесенного вреда, если эти события все же происходят. Следовательно, определение эффективности программы безопасности и измерение ROSI представляется довольно проблематичным занятием, т.к. это требует измерение того, что не произошло – потерь, которые удалось предотвратить.

В настоящее время в индустрии отмечается нехватка точных методов расчета ROSI. Большинство организаций полагаются на качественные методы оценки программ безопасности, что в лучшем случае приводит к нечетким инвестициям в компьютерную безопасность. Эти методы не предоставляют достаточно информации для сравнительного анализа вложений в IT безопасность и другими капитальными инвестициями и расстановки приоритетов. Также они не дают детальных финансовых данных для анализа ROI, а ведь именно этот показатель привыкли использовать лица, ответственные за принятие решений. Определение значимости вложений в безопасность является критичным для любой организации, позволяя инвестировать в правильную разработку, интеграцию и поддержание эффективной стратегии информационной безопасности.

В 2005 г. Intel IT сделал первый шаг в разработке метода оценки полезности программ безопасности для защиты своей глобальной инфраструктуры. Intel попытался создать метод, которой бы позволил:

• измерять полезность программы и ее способности предотвратить потери, позволяя обосновать затраты и улучшить распределение ресурсов;
• определять наилучшие продукты, которые учитывают особенности бизнес и технической структуры организации;
• сравнивать ценность предложенных программ безопасности с другими инициативами;
• принимать обоснованные решения по выбору наилучшей комбинации программ безопасности и технологий для достижения оптимального уровня безопасности для вычислительной среды.

Мы понимали, что для достижения этих целей наша методология должна работать в двух режимах: для прогностического моделирования перед внедрением новой программы безопасности и для оценки эффективности уже внедренных решений. Плюс ко всему, наша модель должна быть способна прогнозировать результат отказа от внедрения определенной программы безопасности. Применяя тот же прогностический процесс для невмешательства в существующую систему безопасности, так же, как и для внедрения нового решения, мы можем определить полезность программы, основываясь на разнице в количестве прогнозированных инцидентов. Таким образом, мы могли бы проверить точность нашей модели, сравнив реально полученные данные в будущем с нашими прогнозами, независимо от решения, которое мы приняли.

Как и все прогностические модели, прогноз нашей остается релевантным до тех пор, пока «электронная экосистема» остается относительно стабильной. Постоянно развивающиеся программы безопасности, угрозы и изменения в среде ограничивают точность любого прогностического метода, основанного на данных тренда в прошлом. Появляются новые технологии, полностью меняющие IT ландшафт. Угрозы распространяются быстрее, «умнеют» и растут. Корпоративная IT инфраструктура также постоянно изменяется, чтобы соответствовать требованиям рынка, законодательства, ожиданиям пользователей и т.д. и т.п. Эффективность программы безопасности меняется в соответствии с этими внутренними и внешними изменениями, ограничивая точность и применимость оценки полезности. Наложение разумных ограничений на прогнозы – неотъемлемая часть процесса, т.к. устанавливает соответствующие ожидания всех вовлеченных участников. Невидимые потери также являются частью изменяющейся среды, ухудшая точность оценки программ безопасности. Инциденты могут вести как к осязаемым, измеримым потерям, так и к размытым, которые не могут быть измерены ни с какой степенью точности. Любой инцидент может приводить к обоим типам потерь.

Учитывая все вышеописанные сложности, мы ожидаем, что наша ROSI методология предоставит достаточно информации для принятия решений.