Можно ли считать отдачу от ИБ?

Вопрос с Security ROI возникает постоянно. Как по делу, так и в разного рода спекуляциях. И четкого ответа так до сих пор и нет. Я его тоже не дам ;-) Но можно поразмышлять - может что и родится в процессе. Начну с того, что оценка возврата инвестиций в ИБ не обязательно должна проводиться в форме конкретной и измеряемой отдачи, прибыли. Ведь инвестирование часто происходит для того, чтобы защитить имеющуюся рыночную долю, снизить юридические риски, повысить эффективность (производительность) или поднять лояльность потребителя. Тут о прибыли говорить не приходится. По крайней мере напрямую. Хотя повышение производительности должно сказаться на повышении прибыльности. Например, та же географическая экспансия за счет внедрения технологий удаленного защищенного доступа. А лояльность потребителей (например, за счет внедрения системы отражения DDoS) сказывается как на числе сделок, так и на текучести клиентов, что тоже может быть выражено в конкретных денежных знаках. Правда, чтобы ИБшнику посчитать лояльность, надо активно работать с отделом по работе с клиентами и объяснить, зачем ему статистика текучести клиентов за полгода-год до внедрения системы и после. Но это уже отдельная песня - как выйти на бизнес-уровень. Итак, как оценивать отдачу? Можно выделить два подхода - оценка с точки зрения результата и оценка с точки зрения процесса. В первом случае обычно оценивается разница "до" и "после" внедрения технологий/процессов ИБ. Разумеется с учетом и других факторов. Например, рост числа сделок или их ускорение после (кстати, "после" не значит "вследствии") внедрения VPN может быть вызван увеличением числа продавцов, прохождением ими специализированных курсов по продажам, внедрении программы мотивации и кучей других причин. Этот подход также используется обычно в одномоментных проектах (соответствие ФЗ-152 по требованиям ФСТЭК/ФСБ, внедрение защиты от DDoS, VPN между офисами и т.д.). В таких проектах достаточно просто показать достижение цели и расслабиться. При определении вклада ИБ с точки зрения процесса оценивается применение технологий на промежуточных этапах достижения поставленных целей. Задача этого подхода оценивать немного иные показатели - точка во времени, когда проект по ИБ "ушел" с правильного пути, ошибки, приведшие к превышению затрат или недостижению заданных показателей, причины появления случайных или непредвиденных затрат. Данный подход также применяется и в "длинных" проектах с поэтапным инвестированием, когда отклонение чревато отставанием компании от конкурентов, когда необходимо поддерживать ранее сделанные инвестиции или когда надо выявить причины ухода с правильного пути или недостижение промежуточных реперных точек (такой причиной может быть непроведенный вовремя или неудачно проведенный тренинг повышения осведомленности по вопросам ИБ) и т.д. Вообще идеально объединение этих двух подходов, что позволит не только показать достижение целей, но и оптимальность этого достижения или причины недостижения. На практике же многие идут именно по второму пути - с одной стороны он проще в реализации и в объяснении руководству, которое привыкло считать, что ИБ (да и ИТ тоже) измерить нельзя. С другой стороны в этом подходе не требуется обеспечивать достижение каких-то результатов - а это снижение ответственности, что всегда приятно ;-) Но в ряде случаев второй подход может быть и сложнее. Например, оценка того или иного продукта с финансовой точки зрения может быть осуществлена в некоторых сценариях достаточно просто . В таком случае оценка на основе процесса, подразумевающая не только финансовую результативность, будет избыточной. Опять же, не всегда финансовая результативность может быть легко посчитана и продемонстрирована. Тогда мы оцениваем проект с иных точек зрения. По этому принципу строится система сбалансированных показателей , где финансовое измерение только одно из 4-х.