Návratnost investic. Ing. Zdeněk Blažek, CSc. CISM. COMMERZBANK AG Jh. Katedra počítačových systémů Fakulta informačních technologiíí České vysoké učení technické v Praze © Zdeněk Blažek, 2011
Řízení rizik v informatice LS 2010/11, Předn. 10 https://edux.fit.cvut.cz/RRI
Evropský sociální fond Praha & EU: Investujeme do vaší budoucnosti Ing. Zdeněk Blažek, CSc. CISM.
Návratnost investic.
Přednáška 10/13, 2011
Návratnost investic, 10/13
Finance v IT bezpečnosti
• • • • •
Víme jaké jsou náklady. Problém s odůvodnitelností a s přínosem. Jaká je skutečná hodnota IT ve firmě? Řešení: ValIT/COBIT Řízení rizik samostatně – Bezpečnost IT – Bezpečnost dat v čase
Návratnost investic, 10/13
Hodnota IT?
Porovnání Empirické Koncepty analýzy Případové studie
Hodnota IT -rámec Postupy
Vliv kolektivu
Výměna znalostí
Pilíře •Řízení hodnoty •Řízení činností •Řízení investic
Návratnost investic, 10/13
Srovnání ValIT a COBIT
• Val IT se soustřeďuje na investiční rozhodnutí (zda se dělají správné věci?) a na přínosy (dostáváme opravdu to, co jsme očekávali?) • COBIT se soustřeďuje na řízení (děláme to správně?) a výsledek (je to v pořádku?)
Návratnost investic, 10/13
Srovnání ValIT a COBIT ValIT Strategie •Vize •Činnost •Riziko •Náklady
Děláme správné věci?
Architektura •V souladu Děláme je •Konzistence správně? •Vylepšení •V souladu s dalšími aktivitami?
Dostáváme přínosy?
Hodnota •Porozumění přínosům •Umíme je vyčíslit •Metriky? •Umíme získat přínosy?
COBIT Podařilo se?
Dodání •Řízení projektové, změnové, dodavatelské •Dostupné technické a obchodní zdroje pro realizaci
Návratnost investic, 10/13
Finanční situace s projekty? Miliardy dolarů vyhozeny na neúspěšné IT projekty – 35 – 45% projektů špatných/nedokončených. V zásadě otázky: •Kolik projektů je zpožděných •Kolik se vešlo do rozpočtu •Kolik opravdu poskytlo to, co bylo očekáváno? •Kolik projektů v organizaci běží •Proč běží •Jaký díl ukusují z investic •Jsou k dispozici řídící zdroje a schopnosti pro tyto projekty •Jaká je návratnost a přínos •Jak se mění riziko
?
Návratnost investic, 10/13
ValIT principy �IT-povolené investice jsou řízeny jako portfolio investic. �IT-povolené investice zahrnují celé spektrum aktivit, kterých je třeba k dosažení obchodního přínosu. �IT-povolené investice jsou řízeny během svého celého životního cyklu. �Rozdílné kategorie investic jsou vyhodnocovány a řízeny odděleně. �Jsou definovány metriky, které jsou schopny rozpoznat odchylky. �Jsou sledovány schopnosti dotčených jednotek společnosti adaptovat investice a přinést odpovídající prospěch. �Sledování investic bude nepřetržitě monitorováno, vyhodnocováno a ev. zlepšováno.
Návratnost investic, 10/13
Aktivity ValIT Vývoj obchodního případu Obchodní případ se vyvíjí se shora dolů, protože začínáme stanovením očekávaných výsledků Jestliže je investice schválena, pak jde již o dodávku a realizaci
Obchodní výsledky Schopnosti organizace Zdroje Operační schopnosti
Kapacity a požadované výsledky musí být kontrolovány po celý ekonomický cyklus dané investice
Technické schopnosti Kontrola a sledování
Návratnost investic, 10/13
Obchodní případ Struktura obchodního případu Obchodní případ pro schválenou IT investici uvažuje následující vztahy ➤ Zdroje pro vývoj: • ➤ Technologie/IT podpora: • ➤ Operační schopnosti: • ➤ Obchodní/výr. Schopnosti které využívají investici: • ➤ Hodnoty, které lze vyjádřit jako návratnost v oblasti snížených rizik nebo vzrůstu kurzu akciíí
Návratnost investic, 10/13
Náklady na bezpečnost IT vzhledem k IT rozpočtu
Návratnost investic, 10/13
Velikost firem
Velikost firem v EU dle metodiky EU
Návratnost investic, 10/13
Působení na organizaci z hlediska informační bezpečnosti
Koncepty Koncepty Trhy
Úřady Organizace Normy
Hrozby
Dodavatelé
Adrian Mizzi 2005
Návratnost investic, 10/13
Náklady na lidskou práci v IT Počet zaměstnanců Počet IT zaměstnanců Plocha firmy Plocha využitá IT Cena za nájem/odpisy/rok Cena/m2 placená IT/rok Cena za vodu/zam./rok Cena za el./zam./rok Prům. náklady na školení IT/zam./rok Cena za plyn/zam./rok Cena ostrahy/zam./rok (zahrnuje i náklady na alarm. ...) Prům. mzdové náklady/IT zam./rok Odpisy IT prostředků/zam./rok Cena podpory IT ext./zam./rok
N Nit S Sit P Pr H E T G Sec W O X
Návratnost investic, 10/13
Náklady na lidskou práci v IT Voda+elektřina+plyn+ostraha+mzdy+vzdělání+odpisy+ext. Podpora+plocha IT (H + E + G + Sec + W + T + O + X + (P*Sit/S*Nit))/365 = prům. cena IT člověkodne
Návratnost investic, 10/13
Výpočet návratnosti investic do IB 1. 2. 3.
4. 5.
Obranné mechanismy proti vnějšímu útoku jsou samozřejmostí Obrana proti vnitřnímu útoku podceňována-pravděpodobnější IT oddělení implicitně odstraňuje zranitelnosti systému: „F“ definujeme jako roční náklady k odstranění zranitelností systému (licence apod.) „B“ definujeme jako vstupní jednorázovou investici pro implementaci obranných mechanismů „M“ definujeme jako roční náklady na údržbu Pak dostáváme roční náklady na údržbu IB pro první rok jako:
Es = F + B + M V následujících letech lze vyjádřit jako:
Es = F + M
Návratnost investic, 10/13
Výpočet návratnosti investic do IB •
Ztráta příjmů Ve chvíli poškození (CIA) IB je vysoká pravděpodobnost okamžité ztráty příjmů. V zásadě jsou zde dvě komponenty ztrát: a) Ztráta jako funkce času (t), po který byl systém neschopný provozu b) Částka ztracená okamžitě Li (Loss immediatelly) Celková ztráta pak je vyjádřena jako:
Lt = Li + I * t/365, kde I reprezentuje hodnotu podílu IT majetku, dotčeného incidentem
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Obecněji lze vyjádřit: Lt = Li + A(t), kde A(t) vyjadřuje ztrátu dostupnosti V návaznosti na incident je nutno vynaložit čas, který IT personál ztratí při opravě/obnově, což reprezentuje opět náklady. Tyto náklady označme jako R. R je opět funkce času a tak dostáváme: Lt = Li + A(t) + R(t) R(t) reprezentuje roční náklady spojené s opravou/obnovou napadených systémů Nutno znát cenu člověkodne/hodiny!!!! Pozor na SLA-nepřímá úměra k času.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Cílem jakéhokoliv programu řízení informačních rizik a tedy i bezpečnosti, je chránit informační aktiva co možná nejefektivněji, tedy také musíme mít na zřeteli, že bezpečnostní mechanismy nesmějí do systémů zavádět body nestability a způsobovat jeho nedostupnost. Je tedy nastolena otázka životaschopnosti (oprávněnosti) investic do IT.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Životaschopnost/oprávněnost investic do IB Investice i bezpečnostní projekt jsou oprávněné tehdy, jestliže platí: Es < Lt Nebo jinak: (F + B + M) < Lt + A(t) + R(t) Dle praxe se ukazuje, že organizace by měla utratit za IB podstatně méně, než jsou očekávané ztráty – ne více než jednu třetinu
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Náklady na proniknutí Až doposud jsme se zabývali zranitelnostmi systému bez uvažování možnosti útoku. Zranitelnost není hrozba, tedy systém, kde nejsou hrozby, je bezpečný. Nutný katalog hrozeb! První hrozbou je bezpečnostní systém sám! Tedy, nepočítáme-li člověka
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Útok může vést k využití zranitelností ve vlastním obranném mechanismu. • Zavedena proměnná: „CTB“ (Cost To Break), jejíž roční hodnotu lze určit takto: CTB = Cd + Cv, kde „Cd“ jsou roční náklady na proniknutí do obranného systému a „Cv“ jsou roční náklady na využití jeho zranitelností. Tyto hodnoty se obecně velmi těžko určují. Doporučení: buď zaměstnat člověka, který se bude pokoušet systém kompromitovat a na základě jeho činnosti tyto veličiny odhadnout, nebo najmout externí firmu.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Poškození obranného systému Poškození samo o sobě nemusí vést ke ztrátě informací, ale v každém případě musí být opraveno. Náklady na toto jsou určeny takto: D = Dd + Di Kde „Dd“ představuje náklady spojené s poškozením obranného mechanismu a „Di“ představuje náklady spojené s poškozením IT infrastruktury. Opět nemusí jít oz trátu informací. Jde v podstatě o pravděpodobnostní funkce. Takže IT bezpečnostní projekt je životaschopný tehdy, jestliže: (F + B + M) < (L + A(t) +R(t) + D)
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Úspěšnost útoku Platí, že náklady spojené s úspěšným útokem by měly být vyšší, než je cena obranných mechanismů. Tedy by mělo platit CTB > (F + B + M) Po vyšetřování útoků a jejich pachatelů se zjistilo, že útočník je motivován k provedení útoku, jestliže platí CTB < (Li + A(t)), Kde Li je okamžitá ztráta a A(t) je ztráta dostupnosti. Pozor! Vnímání hodnoty např. ukradených informací může být pro útočníka vyšší než pro obránce.
Návratnost investic, 10/13
Znázornění životaschopnosti informační bezpečnosti Náklady na Proniknutí (CTB)
Hrozby
Útok
Zranitelnosti
Obranné mechanismy
Náklady na vybudování (B)
Rozpočet IT bezpečnosti IT Rozpočet
Narušení
Dotčené IT prostředky
Náklady na Odstranění zranitelností (F)
IT prostředky
Okamžité ztráty (L)
Životaschopné? B+F
Náklady na obnovu (R)
Výpočet návratnosti investic do IB Motivace k útoku
Náklady na průnik obrannými Prostředky Cd
Náklady IT Na licence atd. F
Lt Okamžitá Ztráta Li Ztráta Dostupnosti A(t)
Náklady na výstavbu B
Náklady na využití Zranitelností Cv
Náklady na Údržbu M
Úspěšnost útoku
IT rozpočet IT bezpečnost rozpočet Bo
Detailní rozpis ROISI
Náklady na obnovu R(t)
Životaschopnost investice
Poškození Obranných mechanismů Dd Poškození infrastruktury Di
IT Prostředky Dotčené IT prostředky
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Praktický příklad (dle skutečné firmy) 250 zaměstnanců IT oddělení se nechtělo zabývat spamem. Firma plánovala 4 000 MU (Monetary Unit) na vyřešení situace. Použita následně zde uvedená metodika. Byla uplatněna krátce potom, kdy byl vypuštěn Sober.q worm (12-19.5.2005). 168 zaměstnancům byl zaslán dotazník, kde měli odpovědět na to, kolik tráví času odstraňováním spamu. 46% jej vrátilo řádně vyplněný.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Zjištění: 96% respondentů strávilo méně než 10min./d se spamem Průměrný uživatel strávil 31 min. denně čtením e-mailů Průměrná velikost spamu 8KB. Dále se firma zabývala průměrným platem a náklady na paměťový prostor, potřebný pro uložení pošty.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Hodnoty: Li = 600 MU A(t) = 9 750 MU R(t) = 2 000 MU Di = 99 MU Dd = 0 MU Celková ztráta byla určena dle vzorce: Lt = Li + A(t) + R(t) + D, tedy Lt = (600 + 9 750 + 2 000 + 99)MU Lt = 12 449 MU
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Životaschopnost investic v tomto případě byla odůvodněna dle • Es < 12 449 MU Pokud jsme uvažovali rozpočet cca. 4 000 MU, pak tato částka splňuje nerovnost. Profit pro organizaci na základě rozpočtu byl 8 350 MU za rok, tedy ROI = 67%. Nutná verifikace. V roce 2005 se dalo pořídit anti spamové řešení v ceně cca. 1 500MU. Pak se ROI změní na 87%.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB • Úspěšnost útoku • Aby byl útok neúspěšný musí platit CTB > 1 500 MU Organizace obdrží za rok cca. 750 000 vzkazů. To představuje asi 0.002 MU za vzkaz. Dle studií prováděných v roce 2002 utratí spameři asi 0.05 MU (v současné době cena klesla), což vede k nákladům 37 500 MU. Tedy Li + A(t) = 10 350 MU. Motivace k útoku by neměla být. Nicméně zde platí, že spam není cíleným útokem proti nějaké organizaci na rozdíl od DDoS.
Návratnost investic, 10/13
Příklad: Standardní PC: DVD ROM USB WiFi LAN Klávesnice Myš Skříň Grafická karta Monitor
Identifikujte kritická místa z pohledu bezpečnosti a navrhněte zabezpečení a přibližné náklady
Návratnost investic, 10/13
• Dotazy
