Что понимается под оценкой эффективности информационной безопасности?
В прошлую пятницу я проводил семинар по измерению эффективности информационной безопасности, а вечером, так уж получилось, в Facebook была дискуссия о том, что оценка эффективности в ИТ — это профанация и ничего более. Если уж про ИТ говорят, что это не более чем маркетинг, то что уж говорить о безопасности?.. Однако поговорить стоит.
Любой разговор об оценке эффективности чего-то, на мой взгляд, должен начинаться с определения терминов. Что такое измерение? Бытует мнение, что измерение — это некоторая определенная и точная величина. Однако это не так. Задача измерения — снизить неопределенность. При этом снизить, не доведя ее до конечного значения. Достаточно интервала, который позволяет не делать допущений, в которых мы не уверены. Риск нарушения бесперебойного функционирования Интернет-сайта составляет 5% или находится в интервале от 2% до 9%? Бояться интервалов не стоит — с ними тоже можно проводить различные вычисления — складывать, вычитать, умножать... Бертран Рассел, британский математик и философ, говорил: «Как это не парадоксально, но всякая точная наука основывается на приблизительности. Если кто-то говорит вам, что точно знает что-то, можете смело делать вывод: вы разговариваете с человеком, не имеющим понятия о точности». Да и количественная оценка в традиционном понимании этого слова не всегда является целью измерений. Число сигнатур в системе предотвращения вторжений А больше, чем в системе Б. Насколько — не важно. Просто больше. И это тоже измерение.
Теперь обратимся к термину «эффективность». Очень часто, упоминая этот термин, думают или подразумевают финансовую эффективность. А если уж совсем честно, то обычно ставят знак равенства между эффективностью ИТ и ROI (возврат на инвестиции). В безопасности, к счастью, пока не настолько все «испортились» и можно действительно обсуждать, что же такое «эффективность». А это вот что; эффективность — это поддающийся количественному определению (измерению) вклад в достижение конечных целей. А т.к. цели в информационной безопасности у нас могут быть разные, то и достижение эффективности тоже будет демонстрироваться совершенно по-разному. Число вирусных эпидемий стало меньше! Пользователи стали реже заносить вредоносные программы на флэшках! Заказчики стали меньше звонить в Help Desk по поводу недоступности сайта! Руководство не жалуется, что не может «достучаться» до корпоративной ИС из командировки! Сервер AD ни разу не «упал» в этом месяце! Да, тут почти ни слова о деньгах, но это все — эффективность.
Какие могут быть цели в информационной безопасности? Да какие угодно! Получение аттестата ФСТЭК на все информационные системы. Сертификация ключевых процессов на соответствие ISO 27001. Достижение 4 уровня по СТО БР ИББС. Сокращение числа инцидентов ИБ до 3 в месяц. Внедрение защищенного мобильного доступа для руководства. Внедрение защищенного удаленного доступа сотрудников в рамках географической экспансии предприятия. Повышение устойчивости инфраструктуры к DDoS-атакам с целью повышения лояльности клиентов и снижение их текучки. Снижение затрат на ИБ на 15%. Это все цели. Значит ли отсутствие денежной привязки в них то, что они плохи? Конечно, нет. Проект по покупке 20 рулонов туалетной бумаги тоже напрямую не связан с деньгами. И ремонт офиса тоже. И замена аналоговой АТС на цифровую тоже. И внедрение SAP. Ключевое слово — «напрямую». Все эти проекты не позволяют заработать. Они могут помочь сэкономить. Они могут повысить качество. Но не заработать. Значит ли это, что они плохие? Опять нет. Не случайно ведь в
Но допустим, что нам все-таки нужно посчитать экономическую эффективность от ИБ. Профанация это или нет? Если рассматривать именно в такой формулировке, то да. Информационная безопасность — слишком многогранное понятие, чтобы его можно было бы взять и измерить. Надо проводить декомпозицию. Считать эффективность службы, проекта, процесса, продукта... Причем не просто считать, а считать вклад в достижение некоторой, заранее определенной цели. Вот тогда можно уже говорить и о конкретных формулах и методиках расчета. Посчитать стоимость защищаемой информации? Можно. Ущерб от инцидентов ИБ? Можно. Потери от отсутствия системы защиты? Можно. Экономия от внедрения проекта по защите? Можно. Выгоден ли тот или иной проект по ИБ? Можно. Какая из двух систем защиты обойдется дешевле? Можно.
Но, конечно, не все так просто, как я пишу. Универсальной формулы или рецепта измерения экономической (да и просто) эффективности информационной безопасности не существует. Более того, один и тот же проект в разных странах может дать совершенно разный эффект. Да что там, в разных странах. В разных городах и то эффект может быть совершенно различным.
Объяснением этому парадоксу послужит фраза, которую я вычитал в февральском номере журнала «Аэрофлот. Style»: «Правда заключается в том, что никакой объективной стоимости нет в природе. Цена любого предмета, произведенного человеком, складывается из массы других, столь же относительных цен — цены труда в столице, деревне, Франции или Занзибаре, цены сырья, цены транспортировки. Все они — условны: то, что человечество на данном этапе своего существования сочло ценным, совсем не обязательно было таковым раньше».
Почему в России не работают такие методики оценки эффективности ИТ/ИБ-проектов, как TEI от Forrester, REJ от Microsoft, TVO от Gartner, EVA от Stern Stewart & Co, EVS от Cawly & the Meta Group, Applied Information Economics (AIE), Customer Index от Andersen Consulting, Information Economics от The Beta Group и другие? Ведь там, на Западе, они вполне популярны. А все просто. Почти все эти методики активно используют при расчете такое понятие, как «заработная плата». Зарплата ИТ/ИБ-специалиста, участвующего в проекте. Зарплата специалиста, которого должен заменить или высвободить приобретаемый продукт или реализуемый проект. Зарплата специалистов, простаивающих или непродуктивно работающих. А зарплаты в России и на Западе отличаются в разы. И то, что эффективно там, совсем неэффективно тут. Ведь стоимость продуктов у нас почти одинаковая, а зарплата нет. Отсюда и совершенно разные результаты.
Т.е. не методика плоха, а просто у нас она дает не устраивающий многих результат. И это только часть проблемы. У безопасников появляются и другие. Что является основой для большинства методик оценки эффективности? Всякие там расчеты NPV, IRR, PbP, DCF и т.п. Они описаны в любом финансовом учебнике. Но они все требуют для расчета исходных данных, которые обычно отсутствуют у служб информационной безопасности. И причин тому множество:
- Нет, потому что безопасники не знают, где их взять.
- Нет, потому что безопасникам их не дают.
- Нет, потому что безопасники сами не верят в эффективность этих методов.
- Нет, потому что безопасники боятся соваться в финансы.
- Нет, потому что нет гарантии, что безопасникам поверят.
- Нет, потому что безопасники забыли или никогда не изучали математику, финансы и экономику.
- Нет, потому что нет.
И вновь получается, что проблема не в отсутствии методик и даже не в отсутствии исходных данных. Проблема в самих людях, которые не хотят, не могут, не знают как, боятся подступиться к измерению финансовой эффективности ИБ.
В заключение хочу привести простейшую цепочку рассуждений, которая показывает, что можно измерить эффективность чего угодно. Если что-то лучше, то есть признаки улучшения. Значит, это улучшение можно наблюдать. Наблюдаемое улучшение можно посчитать. То, что можно посчитать, можно измерить. То, что можно измерить, можно оценить. А значит и продемонстрировать! И этот принцип применим и к информационной безопасности (она же реализуется, чтобы сделать мир лучше), и к ИТ, и к строительству, и к семейной жизни, и даже к обычному человеческому счастью ;-) Главное — понять это и начать измерять...
