Вы спросите, Дима, что ты втираешь нам какую-то дичь про Чингисхана и бани ? Давай ближе к делу. «Не все сразу», отвечу я. Вообще, удивительно, как люди относятся к финансовой оценке чего-либо, не говоря уже об оценке информационной безопасности. Будто это что-то сакральное.
Помниться в 2013 году, на круглом столе у Алексей Лукацкого, когда я представлял метод оценки эффективности проектов по информационной безопасности – все вокруг говорили, что оценивать ИБ в деньгах это очень сложно. Это просто не подъемная задача, и т.д. и т.п. Вообще вся та выставка, а был это Infosec, была просто помешана на экономических показателях. К сожалению, дальше ROI (возврат инвестиций) (который вообще к безопасности не применим) никто не ушел. На стенде у StoneSoft на слайде увидел NPV (чистая приведенная стоимость). До сих пор популярно мнение, что все пусть оценивают, что хотят, а нашу родную безопасность будем оценивать качественно и только так. Да и закончим с лирическим вступлением.
Как вы поняли по вступлениям (это которые про монголов и бани, а не про Лукацкого), ключевым понятием в оценке является – корректность постановки вопроса. Помните, как в институте говорили? Вопрос это половина ответа. Так и у нас.
Разберем пример. Пример будет на общую тематику. Как и в любом пособии, вначале надо понимать общую концепцию (оценка), а потом уже переходить к специализации (оценка безопасности).
Аккурат 30 ноября, обратился ко мне хороший человек. Этот человек был инвестором, и хотел он вложиться в один стар-ап. У него были деньги, но не мог определить стоящее ли дело или нет? Обсудив условия работы и цену (как всегда, надо быстро и просто), мы договорились об экспресс-анализе, и я стал общаться с разработчиком. Тема не шибко мне близкая – ресторанный бизнес, поэтому я мог сделать лишь негативный расчет.
В оценке чего угодно, есть три варианта:
- оптимистичный (или позитивный) – это, когда нам прет не по-детски и все складывается самым удачным образом. Это наш потолок. Все, чего хотелось желать. Такого, практически, никогда не бывает. Если вы развиваетесь по оптимистичному варианту, значит, вы упустили перспективные возможности развития.
- пессимистический (или негативный) – это, когда мы прикупаем два туза на мизере. Это наше дно. Катастрофа, мы просчитались, где могли, и балансируем на грани пропасти. Такое то же редко бывает.
- реалистичный — какая-то середина, между позитивом и негативом. 95% всех оценок, попадают сюда. Для простоты, будем считать реалистичный вариант, как арифметическое среднее между крайними вариантами (лишняя математика нам сейчас ни к чему).
Отдельно я выделяю понятие форс-мажора, это когдавсе не задалось настолько, что уже проще закрыться, чем мучиться. Некоторые смешивают это понятие с пессимистичным сценарием.
Поговорив с разработчиком и посидев 3 часа, выдал результат (обезличил, убрал расчеты и всякое конфиденциальное):
Как видите, все вопросы стандартные – посчитать инвестиции, TOS, точку безубыточности, пара шаманств и готово. «Что за дичь?», – спросите вы – «Где конкретика?» Дьявол, в деталях. Конкретно здесь было сложно учесть специфику ресторанного бизнеса (а говоря по-нашему риски – забегая вперед, все оценка информационной безопасности, это и есть специфика конкретного бизнеса):
- расположение и проходимость;
- средний чек;
- меню и логистику.
Но все это просто делается даже просто в гугле, а если уж есть доступ к спецданным, то вообще легко. Главное что? Правильно, грамотно ставить вопросы. Расскажу, только об одном, иначе это затянется.
Меню. Все накладные расходы (аренда, люди, коммуналка и т.п.) – это простые (линейные) параметры. Бери и умножай. А, вот, меню зависит от кучи параметров. Которые, мало-того, что надо купить, так еще и привезти. Меню вещь довольно сложная, там блюдо может состоять на 90% из овощей стоимостью 10 рублей, и 10% мяса стоимостью 900 рублей. Тут уже, без разработчика (или говоря обще – владельца ресурса или информации) не обойтись. Получив от него данные, задача из нелинейной – превратилась в линейную (бери и умножай).
И в заключении. Вы всегда сможете посчитать негативный вариант, и именно в этом ваша цель. Берите самые высокие расценки, самые плохие условия, годы вместо дней. Если вы будете понимать дно, то легче найдете потолок.
И тогда вы сможете уже переходить к сложным вопросам. Например, есть средство защиты от DDOS, годовая стоимость обслуживания 30 миллионов долларов. Надо ли оно нам? :)
Вот, такая работка была у меня в начале месяца. Всего вам доброго.
