ROI для IPS

На позапрошлой неделе в FB с двумя бывшими коллегами из Информзащиты (оба MBA) спорили на тему - можно ли посчитать ROI для ИБ. Люди, прошедшие курсы MBA заявили, что все это фигня. Притянуть можно все угодно, хоть ROI, хоть WACC (хотя я недавно наткнулся и на упоминание использования WACC для ИБ). И даже если кто-нибудь такой расчет "съест", то финансистам это лучше не показывать - засмеют. Другая последовавшая рекомендация - ждать, когда иностранные эксперты придумают что-то внятное по ROI в ИБ. И вот, разгребая очередную порцию исследований по экономике ИБ, наткнулся на исследование известной исследовательской компании Forrester, которая применила свою методику Total Economic Impact (TEI) для проекта по ИБ для одной американской компании. Результаты, которые устроили руководство заказчика, таковы: ROI - 142%Период возврата (payback period) - 5 месяцевЗатраты - 291 тысяча долларов США. Включали в себя стоимость выбора и оценки вендоров IPS и процесса планирования внедрения IPS, стоимость железа, софта и поддержки, а также стоимость управления приобретенным решением.Экономия и полученные преимущества - 871 тысяч долларов США. Экономия была достигнута за счет снижения затрат на звонках в help desk по поводу атак и вредоносных программ, отказа от наема нового сотрудника в help desk, отказа от ручного обновления предыдущей системы защиты и "лечения" атакованных систем, а также за счет экономии на сотруднике, который занимался бы управлением сигнатурами, политиками и сигналами тревоги.NPV (прибыль от инвестиций) - 348 тысяч долларов США.В процессе анализа консультанты Forrester выявили и ряд некалькулируемых преимуществ - от улучшения производительности/доступности системы и очистки канала от всякого мусора до защиты персональных данных и выполнение требований законодательства. Дальше у пытливого читателя может возникнуть вопрос, а почему NPV 335 тысяч, если разница между затратами и выгодами 580 тысяч долларов США. Просто в дело вступил четвертый элемент методики TEI - риски. Они компенсируют первоначальные оценки получаемых преимуществ, что позволяет более точно оценивать итоговые результаты. В данном случае специалисты Forrester оценили значение этого показатели в 15%, что и привело к итоговому значению в 348 тысяч долларов (для облегчения я исключил из демонстрации расчета понятие временной стоимости денег). ЗЫ. К слову сказать, аналогичную методику используем и мы в Cisco. Я о ней уже писал .