14 Января, 2019

Как оценить рентабельность внедрения дорогостоящей системы и обосновать бюджет перед руководством

SolarSecurity
— Надо бы корову купить…
— Надо бы, да где денег взять?
«Трое из Простоквашино»




Чтобы ваш разговор c руководством о необходимости проекта внедрения не свелся к этому короткому диалогу из мультфильма, нужно подготовить аргументацию заранее. Мы много лет занимаемся внедрениями систем управления правами доступа (IdM), и за это время, общаясь с заказчиками, слышали о самых разных методах обоснования бюджетов. Сегодня мы собрали эти лайфхаки в одну статью. Под катом – пошаговое руководство и примеры формул для расчета срока окупаемости, повышения операционной эффективности и совокупных затрат на владение системой. Все это рассматривается на примере внедрения IdM, но общие принципы применимы практически для любой ИТ-системы.


Любое обоснование должно включать ожидаемую выгоду от внедрения, представленную в виде конкретных цифр. В случае IdM она может опираться на один или несколько критериев из следующего списка:
  1. улучшение показателей деятельности;
  2. снижение риска возникновения инцидентов информационной безопасности;
  3. соответствие требованиям регуляторов / отраслевых стандартов;
  4. поддержка текущей стратегии организации.

Если процесс обоснования бюджетов в компании не очень жестко формализован, для согласования может быть достаточно общих соображений. Но обычно руководство все же требует перевести всё в денежный эквивалент и обозначить время выхода на окупаемость.

Рассмотрим подробнее, на какие выгоды можно опереться для обоснования проекта внедрения IdM и когда/как их использовать.

Улучшение показателей деятельности

Внедрение IdM действительно может улучшить многие показатели деятельности. Например, сократить поток заявок на ручное предоставление доступа сотрудникам и ускорить их исполнение. Уменьшить время и трудоёмкость, требуемые для подготовки данных для аудиторов или службы информационной безопасности. Минимизировать число обращений в техподдержку по поводу статуса заявок на доступ.

Для оценки повышения операционной эффективности обычно используются такие показатели, как:
  1. Время простоя сотрудников при приёме на работу в ожидании предоставления доступа к информационным системам.
  2. Число операций по управлению учётными записями пользователей, связанных с приёмом на работу, увольнениями, переводами по должности, иными запросами сотрудников.
  3. Число обращений в службу поддержки, связанных со статусом заявок на доступ или сменой паролей в информационных системах.
  4. Время, необходимое для сбора данных о правах доступа сотрудников – например, в ходе аудиторской проверки или по запросу от службы безопасности. Порой простой сбор информации о том, куда имеет доступ сотрудник, может занимать несколько дней.
  5. Время, необходимое ИТ- и ИБ-персоналу для пересмотра руководителями прав доступа сотрудников. Эта мера предусмотрена рядом стандартов с целью снижения избыточности прав доступа, но в реальности почти не проводится ввиду очень высокой трудоёмкости. Скажем, в организации со штатом в 10 000 человек она занимает порядка 1 дня на сотрудника.

При обосновании через улучшение показателей деятельности важно, чтобы эти показатели были значимыми, чтобы они имели понятное влияние на бизнес-процессы. Например, при большой текучке кадров критичным будет сокращение срока выдачи полномочий и сокращение времени простоя нового сотрудника.

Проще всего в финансовые метрики переводится улучшение показателей деятельности после внедрения системы. Соответственно, нужно посчитать, сколько «стоит» работа по предоставлению доступа до внедрения IdM и сколько – после.

Расчет затрат на управление доступом до внедрения IdM

Мы рассмотрим принципы расчета на теоретическом примере, но, разумеется, при обосновании бюджета вы должны использовать показатели, описывающие реалии конкретной организации. Допустим, в компании работают 10 000 сотрудников. Для оценки затрат на управление доступом используем два показателя:
  1. потери от простоя сотрудников, которым своевременно не выдали права доступа;
  2. затраты на исполнение заявок на доступ.

Здесь также можно учесть «стоимость» аудита и пересмотра прав доступа сотрудников к информационным системам, но это более специфические потребности, которые есть не у каждой организации, так что для простоты оставим их пока за кадром.

Потери от простоя сотрудников

Для оценки потерь от простоя сотрудников используем показатель текучести кадров, отражающий средний процент сотрудников, которые покинут компанию в течение года, и которых нужно будет заменить новым персоналом. Это даст нам среднее число новых сотрудников в год, которым потребуется предоставить доступ к информационным ресурсам, чтобы они могли полноценно выполнять свою работу.

В зависимости от отрасли компании и рода деятельности конкретных специалистов уровень текучести может существенно варьироваться.


Статистика рекрутинговой компании Antal Russia

Допустим, наша компания работает в сфере логистики, и текучесть кадров составляет 25%. Следовательно, в год мы должны предоставить права доступа 2500 новым сотрудникам.

На следующем этапе нам потребуется рассчитать среднее время, в течение которого новым сотрудникам предоставляется доступ к ИС. В зависимости от размера организации и наличия региональной сети, этот показатель может варьироваться от 1 дня до 2 недель. По нашему опыту, средний показатель по рынку– 3 рабочих дня, поэтому будем использовать его.

Далее нам требуется оценить объём потерь компании от простоя одного сотрудника. Тут, как говорится, всё очень индивидуально. Объем потерь может сильно зависеть и от сферы деятельности компании, и от региона присутствия, и от размера предприятия, и даже от должности работника. Например, для сотрудника технической поддержки отсутствие доступа в информационные системы чревато стопроцентным простоем. А на эффективности работы менеджера АХО, который может обеспечивать жизнедеятельность предприятия во многом без использования ИС, отсутствие доступа, конечно, не скажется столь драматически. Дабы нас не обвинили в перегибах на местах, возьмем для наших расчетов средний показатель 50%.

Для подсчёта потерь от простоя сотрудников в процессе ожидания необходимых прав также потребуется определить среднюю «стоимость сотрудника» для организации без учета премий и накладных расходов. В нашем примере это 69570,64 руб. В месяце в среднем 20-21 рабочий день, то есть стоимость оплаты труда сотрудника составляет в среднем примерно 3 313 рублей в сутки.

Итак, считаем. Выше мы обозначили, что предоставление прав доступа занимает 3 рабочих дня, во время которых сотрудник работает с 50% эффективностью. То есть 3 747*3*0,5=4969,5 руб. теряет компания из-за простоя одного нового сотрудника. Таких у нас в год 2500, то есть всего получается 12 423 750 руб.

Затраты на исполнение заявок на доступ

Чтобы оценить затраты на исполнение заявок на доступ используем следующие показатели:
  1. Численность специалистов, которые исполняют заявки на доступ. В нашем примере это 50 человек.
  2. Процент рабочего времени, которое они отводят этой задаче – допустим, 25%.

Исходя из средней по стране зарплаты gross такого специалиста (79 718,39 руб.), получаем, что в год компания тратит на исполнение заявок 79 718,39*12*50*0,25=11 957 758,5 руб.

Альтернативно можно брать за основу вычислений среднее число заявок (часто эту информацию можно получить из системы Service Desk), среднее время исполнения заявки и оценивать фактические временные затраты на их исполнение. При этом расчеты стоит производить отдельно для каждого типа систем, поскольку они могут сильно различаться. Например, на предоставление доступа в Active Directory требуется 5-10 минут, но данный вид доступа необходим всем сотрудникам компании. Для предоставления доступа к SAP-ландшафту может потребоваться 20-30 минут, однако такой доступ нужен далеко не каждому.

В итоге мы получаем некоторую оценку указанных затрат. В нашем расчёте она составила чуть более 26 млн рублей (см. таблицу 1).



Расчет затрат на управление доступом после внедрения IdM

Далее для оценки окупаемости проекта потребуется сопоставить полученную сумму с оценкой аналогичных затрат после внедрения IdM, плюс стоимость непосредственно внедрения и сопровождение системы.

Стоимость внедрения IdM для конкретной компании вам с радостью посчитает вендор или интегратор. По нашим оценкам, внедрение IdM-системы на предприятии со штатом 10000 сотрудников в среднем по рынку обойдется компании в 25 млн руб. без учета годовой технической поддержки.

А теперь давайте прикинем, как изменятся наши затраты после внедрения IdM.

Сначала высчитаем процент прав доступа, которые сотрудникам будет предоставлять система IdM. Как правило, если в организации сформирован некоторый базовый набор полномочий, который назначается сотрудникам при приёме на работу, то IdM предоставляет их автоматически. Но допустим даже, что IdM предоставляет не весь базовый набор, а только 80%. Если в год компания теряла 12 423 750 руб. вследствие простоя сотрудников, ожидающих получения прав доступа, то теперь эта сумма сокращается на 80% и составляет 2 484 750 руб.

Теперь оценим, какой процент заявок IdM-система сможет исполнять автоматически, без участия человека. По опыту, можно автоматизировать все 100% заявок на доступ к системе, если она подключена к IdM через коннектор. Однако для этого требуется провести большую работу по созданию каталога функциональных полномочий каждой штатной роли, поэтому в реальности средний процент автоматически исполняемых заявок ниже – тоже примерно на уровне 80%. Сделаем поправку на то, что через коннекторы к IdM будут подключены не все информационные системы, и понизим этот показатель до 50%. Соответственно, затраты на предоставление доступа снизятся с 11 957 758,5 руб. до 5 978 879,25 руб.

Итак, после внедрения IdM те же процессы, связанные с управлением доступом, в год обойдутся компании дешевле на 15 917 879,25 руб. и составят 8 463 629,25 руб. Но при этом к ним добавятся затраты на техническую поддержку. Предположим, что компания выделит под эту задачу отдельного сотрудника. Стоимость работ специалиста берём из таблицы 1 (расчет затрат на управление доступом), т.е. 79 718,39 руб. Выходит, что в год на поддержку IdM уйдет примерно 956 620,68 руб. а всего затраты будут составлять 9 420 249,93 руб.

В итоге получаем, что при стоимости внедрения системы в 25 млн рублей, выделении одного специалиста на поддержку системы, автоматизированной на 80% выдаче прав при приёме на работу и исполнении 50% заявок на доступ в целом по компании срок окупаемости с момента ввода системы в эксплуатацию составит чуть более полутора лет (см. таблицу 2).



Иногда для подобного рода обоснований используются аналитические отчёты, выходящие, преимущественно, из-под пера зарубежных аналитиков. В них приводятся некоторые цифры относительно эффективности внедрения системы. Например, отчёты обещают, что экономия времени ИТ-персонала при использовании IdM составит 14%, число обращений в службу поддержки, связанных с доступом, снизится на 52%, а количество лишних учётных записей уменьшится на 10%. К сожалению, эти цифры не всегда отражают российские реалии.

Снижение риска возникновения инцидентов

Внедрение IdM позволяет снизить ряд рисков информационной безопасности или обеспечить своевременное обнаружение соответствующих инцидентов:
  1. риски несогласованного предоставления доступа к информационным системам,
  2. риски доступа уволенных сотрудников вследствие того, что их учётные записи не были заблокированы,
  3. риски несанкционированного доступа подрядчиков, чьи права не были отозваны вовремя,
  4. риски избыточных полномочий сотрудников.

Часто при обосновании внедрения системы через риски информационной безопасности для руководства решающее значение имеет, происходили ли подобные инциденты ранее. (И если нет, то зачем от этих рисков защищаться?) Что ж, как любит говорить один уважаемый руководитель службы информационной безопасности, таким людям можно посоветовать не ставить замок на дверь – раз их ранее не обворовывали!

Однако, как показывает практика, подобные инциденты время от времени случаются, и эффект от них может быть весьма ощутимым. В нашей практике был случай, когда отделение банка простаивало несколько дней из-за того, что сотрудник «поймал» вирус, зашифровавший от имени его учётной записи критичные данные, к которым у сотрудника вообще не должно было быть доступа. В данном случае ущерб относительно просто пересчитывается в рубли, но так происходит далеко не со всеми инцидентами информационной безопасности, связанными с нарушениями прав доступа.

Какие же риски ИБ позволяет снизить IdM-система? Можно привести следующие примеры:
  1. Активные учётные записи уволенных сотрудников.
  2. Несогласованные права доступа или доступ, которого не должно было быть.
  3. Избыточные права доступа (могут «множиться» за счёт переводов сотрудников внутри организации без отзыва лишних полномочий, за счёт предоставления прав сотруднику по принципу «как у другого сотрудника на аналогичной позиции»).
  4. Доступ, который был согласован и предоставлен на время, но не отозван вовремя.
  5. Учётные записи, созданные на время для технологических нужд, но не удаленные впоследствии.
  6. Использование деперсонифицированных (групповых) учётных записей.

В целом, в вопросе обоснования через ИБ принципиально важным является отношение бизнеса к информационной безопасности. Где-то к ней относятся как к формальной функции, где-то – как к бизнес-критичной. Если информационная безопасность не существенна для бизнеса, то обосновывать внедрение лучше через другие статьи.

Обеспечение требований регуляторов/стандартов

Этот блок обоснований актуален для организаций, которые попадают под требования внешних регуляторов — например, ЦБ РФ, или внутренних – например, головной организации, устанавливающей стандарты деятельности. К первым в том числе относятся организации, которые торгуются на бирже.

Внедрение IdM позволяет выполнить требования к управлению доступом в соответствии с такими стандартами, как СТО БР, PCI DSS, SoX, ISO 27001 и другими. Зачастую эти требования закрываются организационными мерами, но часто крупные организации, которые проходят внешние аудиторские проверки, получают рекомендацию по применению систем класса IdM для наведения порядка и снижения рисков управления доступом.

Если есть рекомендация внешних аудиторов, то обоснование внедрения IdM через стандарты проходит достаточно гладко.

Поддержка текущей стратегии организации

Этот подход к обоснованию решения отчасти является компиляцией предыдущих, но по сути акцентируется на другом, используя вышеупомянутые варианты в качестве набора аргументов. Идея этого подхода в том, чтобы поддержать с помощью внедрения системы текущие миссию, стратегию или реализуемые программы организации. Например, если компания взяла курс на повышение эффективности процессов, то IdM отлично ложится в реализацию этой программы, помогая снизить издержки на процессы управления доступом, связанные с простоями и ручным трудом. Если предприятие планирует выйти на IPO, то IdM может стать средством повышения капитализации компании. Такие случаи в нашей практике были не один раз.

Если проект вписывается в канву проводимых руководством изменений, то его полезность гораздо проще донести, используя соответствующий язык. Предыдущие подходы в данном случае могут использоваться как более предметная аргументация для подкрепления ожидаемого эффекта.

Резюме

Выше приведен ряд общих подходов к обоснованию проектов внедрения IdM, с которыми мы лично встречались на практике. Нашей целью было показать, с каких сторон можно подойти к этому вопросу, и дать ориентиры, в каких ситуациях лучше использовать тот или иной способ обоснования. Тем не менее, в каждой компании этот процесс является очень творческим: имеет свою специфику, процедуры, формат подачи и даже свой «язык», и всегда носит индивидуальный характер. Остаётся пожелать вам творческих успехов в этом нелёгком деле, и надеемся, наши советы помогут обосновать перед руководством оправданность внедрения любого решения, которое вы считаете необходимым.

Автор: Дмитрий Бондарь, руководитель отдела развития и продвижения Solar inRights