Як розрахувати окупність DLP-системи

Статистика витоків інформації

33 млн доларів Україна на 4-му місці (після США, Великобританії та Канади) – 49 публічних інцидентів (

Архітектура DLP-системи

Обмеження DLP-систем

Коефіцієнт повернення інвестицій

[Коефіцієнт повернення інвестицій (ROI)] = ([Зменшення середньорічних втрат (ALE)] – [Вартість захисних заходів (TCO)]) / [Вартість захисних заходів (TCO)]

ROI показує у скільки разів величина потенційної шкоди перевищує витрати на її запобігання. Можливі значення ROI:

• ROI = 0, скільки вклали, стільки і заощадили (нічого не виграли та не втратили)
• ROI 10, очікуване скорочення втрат на порядок перевищує витрати

Хоча ми і говоримо про інвестиції в ІБ, не треба плутати це зі звичайними інвестиціями, які значно краще прораховуються і для яких ROI = 1 – це відмінний результат (100% річний прибуток). Інвестиції у безпеку є скоріше страхуванням, а страхова премія може становити менше 1% вартості застрахованого майна. Це відповідає значенням ROI > 100. Приблизно таким самим має бути ROI для DLP-системи. Якщо ROI Основна економічна мета ІБ – забезпечення оптимального рівня повернення інвестицій у безпеку, тобто. максимізація ROI, як це показано на графіку. Для цього треба не лише оцінювати ризики, а й реєструвати, аналізувати та вважати прямі та непрямі втрати внаслідок інцидентів.На схемі зафарбовані проблемні галузі з негативним поверненням інвестицій: галузь недофінансування та галузь надлишкового фінансування. У першому випадку гроші на безпеку не виділяються або виділяються за залишковим принципом. Для цього випадку характерні проблеми звірусами, відсутність планів безперервності бізнесу та легковажне ставлення персоналу до питань безпеки. У другому випадку здійснюється надмірне фінансування безпеки, але більшість коштів витрачається марно. Для цього випадку характерним є процвітання бюрократії, надмірна формалізація, придбання дорогого обладнання без вживання необхідних організаційних заходів. Проста формулаROI = ALE / TCO може дати відповіді на всі економічні питання ІБ. ROI > 10 - добре, ROI < 10 - погано, ROI < 0 – огидно. У цій формулі вартість володіння (TCO) досить легко і точно вважається, тоді як ризик (ALE) є функцією кількох нелінійних величин, що мають невизначений характер, таких як частота інцидентів, величина вразливості та цінність активу.

Вартість володіння

760000 руб. (вартість сервера для 1000 агентів) та

100000 руб. (Вартість системного ПЗ: Windows 2008R2, Microsoft SQL Server 2008R2 Standard). У результаті отримуємо

860 000 руб. для 1000 агентів. При покупці КІБ SearchInform перший рік техпідтримки входить у вартість ліцензії. Надалі щороку оплата становить 30% вартості ліцензій. Таким чином, для 1000 машин вартість техпідтримки становитиме

Формула ризику

Величина ризику = Ймовірність загрози х Величина Вразливості х Розмір збитків

У цій формулі:

• Імовірність загрози – середня кількість інцидентів ІБ на рік
• Величина вразливості – % успішних інцидентів від загальної кількості інцидентів
• Розмір збитків – сукупна вартість скомпрометованих інформаційних активів, що виражається відповідними втратами організації від успішних інцидентів

У нашому випадку будуть розглядатися лише ті загрози, пов'язані звитоком інформації, захист від яких забезпечується DLP-системою, а як інформаційні активи – інформація, критична з точки зору конфіденційності. До такої інформації можуть належати: персональні дані, фінансова інформація та різні види таємниць, що визначаються законодавством.

Методика управління ризиками BSI/ISO/GTS

Оцінка наслідків витоків інформації

Середньостатистична вартість витоків може варіюватися від 1,5 (згідно з Forrester Research) до 4,8 млн доларів (згідно з Ponemon Institute) або бути порівнянною із середньомісячним оборотом організації. Як приклад скористаємося розрахунками Forrester Research. А, щоб оцінити наслідки компрометації бази даних (наприклад, ИСПДн), треба оцінити прямих витрат організації у розрахунку одне запис бази даних. Розглядаються чотири статті витрат:

1. Організаційні витрати на виявлення, реагування, розслідування та оповіщення про інцидент
2. Втрата продуктивності працівників організації внаслідок інциденту
3. Компенсаційні виплати постраждалим клієнтам
4. Втрата конкурентоспроможності

Оцінки даних витрат зведено в таблицюПрямі витрати від витоку на один запис

Категорія витрат	Опис	Витрати на один запис, доларів
Розслідування, заходи у відповідь і оповіщення	Сплата штрафів, оповіщення клієнтів, збільшення навантаження на кол-центр, маркетинг та піар, пропозиція знижок на продукти	50
Зниження продуктивності працівників	Відволікання працівників від виконання робочих процедур, залучення контрагентів	30
Відшкодування збитків	Виплата компенсацій за прямі збитки клієнтам, порушеним інцидентом	30
Втрачені можливості	Втрата майбутніх можливостей для бізнесу	98
Загальні прямі витрати на один запис	218

Так, наприклад, якщо стався витік клієнтської бази, що налічує 100 000 записів, то, згідно з цими розрахунками, пряма шкода становитиме 21,8 млн доларів. Далі оцінюються наслідки репутаційного збитку для компанії з річним оборотом 1 млрд доларів. Він може виражатися у втраті 10% існуючої клієнтської бази та 20% нових клієнтів, що сумарно становить 120 млн. доларів, 12% виручки або більше 60% валового прибутку.Оціночний вплив витоку на виторг

Повторні клієнти	Нові клієнти	Усього
Сумарний щорічний виторг у доларах	800 млн	200 млн	1 млрд
Втрати бізнесу у відсотках від виторгу	10%	20%	12%
Втрати бізнесу у доларах	80 млн	40 млн	120 млн

Вплив репутаційного збитку з прибутку організації показано у наступній таблиці. Прямі витрати та репутаційні втрати підсумовуються. Отримуємо цифри з недоотриманого прибутку на 5-річному періоді.Оціночний вплив витоку на виручку на період 5 років (у доларах)

Річний виторг (передбачається 8% зростання)	1,000,000,000	1,080,000,000	1,166,400,000	1,259,712,000	1,360,488,960
Річний чистий прибуток (передбачається маржинальність 20%)	200,000,000	216,000,000	233,280,000	251,942,400	272,097,792
Річна вартість ліквідації наслідків витоку	12,220,000	8,450,000	5,770,000	4,680,000	4,680,000
Втрати бізнесу	120,000,000	129,600,000	139,968,000	151,165,440	163,258,675
Сумарні втрати від витоку	132,220,000	138,050,000	145,738,000	155,845,440	167,938,675
Результуючий річний чистий прибуток	67,780,000	77,950,000	87,542,000	96,096,960	104,159,117
Зменшення прибутковості через витік	66%	64%	62%	62%	62%

На наступній діаграмі для наочності зображено прогнозований прибуток організації до і після інциденту.Оціночний вплив на рентабельністьПорівняння рентабельності

• Річний чистий прибуток (передбачається 20% маржі)
• Річний чистий прибуток (з урахуванням втрат від витоку)

Тепер потенційні збитки від витоку можна порівняти зі вартістю DLP-системи. Як вартість DLP-системи береться вартість передплати Websense Data Protect (один із лідерів світового ринку DLP-систем) на 100 000 користувачів.Вартість DLP-системи у відсотках від загального розміру збитків (у доларах)

Сумарні втрати від витоку	132,220,000	138,050,000	145,738,000	155,845,440	167,938,675
Сумарна вартість DLP-системи	385,000	193,750	192,813	191,922	191,076
Вартість DLP-системи у відсотках від загального розміру збитків	0.29%	0.14%	0.13%	0.12%	0.11%

З таблиці видно, що у середньому це співвідношенняскладає 0,15%. Ця цифра відповідає розмірам страхової премії, якщо ми розглядаємо витрати на ІБ як страхування від відповідних ризиків.

Оцінка ймовірності витоків інформації

Оцінка середньорічних втрат від витоків інформації

Середньорічні втрати (ALE) = [Частота реалізації загрози] х [Величина вразливості] х [Розмір збитків]

Розрахуємо ALE до та після впровадження DLP-системи. Як середній розмір збитків візьмемо «середнє по лікарні» згідно з доступною нам статистикою інцидентів за 2015 рік – 33 млн доларів. Розмір вразливості показує ефективність DLP. Для ілюстрації припустимо, що сам факт використання DLP значно зменшує кількість інцидентів. А їх тих, що відбуваються, значно знижується кількість успішних. Тому після частота загрози та величина вразливості у нас відповідним чином зменшуються. З цих припущень порахуємо ефект від застосування DLP-системи (зменшення середньорічних втрат).

До застосування	Після впровадження
Частота реалізації загрози (інцидентів за 1 рік)	0,02	0,002
Величина вразливості (% успішних спроб зливу)	0.95	0,1
Розмір збитків (тис. руб.)	2 145 000	2 145 000
Середньорічні збитки (ALE)	40 755	429

У цій таблиці:

• Частота реалізації загрози = кількість інцидентів на рік / кількість організацій
• Розмір збитків (цінність всіх активів, що захищаються DLP-системою) = середньостатистична вартість аналогічного витоку

Оцінка повернення інвестицій для DLP-системи

[Коефіцієнт повернення інвестицій (ROI)] = ([Зменшення середньорічних втрат] –[Вартість захисних заходів]) / [Вартість захисних заходів]

Зменшення середньорічних втрат (ALE)	201 630
Вартість захисних заходів (TCO)	45 350
Повернення інвестицій (ALE – TCO)	156 280
Коефіцієнт повернення інвестицій (ROI)	3.5

В результаті даних розрахунків отримуємо ROI = 3.5. Це означає, що повернення інвестицій у DLP-систему в нашому прикладі в 3.5 рази перевищує її вартість.

ROI = 3.5 з ймовірністю 80%,

ROI = 2 з ймовірністю 4%,

ROI = 5 із ймовірністю 7% тощо.

Також необхідно враховувати похибку методів оцінки ризику, що використовуються, і відповідний ступінь невизначеності результатів оцінки. Діапазон ймовірних значень ROI не повинен бути надто широким. Наприклад, ROI = (-2; 50) - занадто велика невизначеність методу оцінки, а ROI = (-2; 5) - цілком прийнятна невизначеність.

---