Post on 07-Mar-2018
transcript
Návratnost investic.
Ing. Zdeněk Blažek, CSc. CISM.
COMMERZBANK AGJh.
Katedra počítačových systémůFakulta informačních technologiíí
České vysoké učení technické v Praze© Zdeněk Blažek, 2011
Řízení rizik v informaticeLS 2010/11, Předn. 10
https://edux.fit.cvut.cz/RRI
Ing. Zdeněk Blažek, CSc. CISM. Návratnost investic. Přednáška 10/13, 2011
Evropský sociální fondPraha & EU: Investujeme do vaší budoucnosti
Návratnost investic, 10/13
Finance v IT bezpe čnosti
• Víme jaké jsou náklady.• Problém s odůvodnitelností a s přínosem.• Jaká je skutečná hodnota IT ve firmě?• Řešení: ValIT/COBIT• Řízení rizik samostatně
– Bezpečnost IT
– Bezpečnost dat v čase
Návratnost investic, 10/13
Hodnota IT?
Porovnání
KonceptyEmpirickéanalýzy
Postupy
Výměnaznalostí
Vlivkolektivu
Případovéstudie Hodnota IT
-rámec
Pilíře•Řízení hodnoty•Řízení činností•Řízení investic
Návratnost investic, 10/13
Srovn ání ValIT a COBIT
• Val IT se soust řeďuje na investi čnírozhodnutí (zda se d ělají správn é věci?) a na přínosy (dostáváme opravdu to, co jsme o čekávali?)
• COBIT se soust řeďuje na řízení (děláme to správn ě?) a výsledek (je to v pořádku?)
Návratnost investic, 10/13
Srovn ání ValIT a COBIT
Děláme správnévěci?
Děláme je správně?
Podařilo se?
Dostáváme přínosy?
Strategie•Vize•Činnost•Riziko•Náklady
Architektura•V souladu•Konzistence•Vylepšení•V souladu s dalšími aktivitami?
Hodnota•Porozuměnípřínosům•Umíme je vyčíslit•Metriky?•Umíme získat přínosy?
Dodání•Řízení projektové, změnové, dodavatelské•Dostupnétechnické a obchodní zdroje pro realizaci
ValIT
COBIT
Návratnost investic, 10/13
Finanční situace s projekty?
Miliardy dolarů vyhozeny na neúspěšné IT projekty – 35 – 45% projektů špatných/nedokončených. V zásadě otázky: •Kolik projektů je zpožděných•Kolik se vešlo do rozpočtu•Kolik opravdu poskytlo to, co bylo očekáváno?•Kolik projektů v organizaci běží•Proč běží•Jaký díl ukusují z investic•Jsou k dispozici řídící zdroje a schopnosti pro tyto projekty•Jaká je návratnost a přínos•Jak se mění riziko
?
Návratnost investic, 10/13
ValIT principy
�IT-povolené investice jsou řízeny jako portfolio investic.�IT-povolené investice zahrnují celé spektrum aktivit, kterých je třeba k dosažení obchodního přínosu.�IT-povolené investice jsou řízeny během svého celého životního cyklu.�Rozdílné kategorie investic jsou vyhodnocovány a řízeny odděleně.�Jsou definovány metriky, které jsou schopny rozpoznat odchylky.�Jsou sledovány schopnosti dotčených jednotek společnosti adaptovat investice a přinést odpovídající prospěch.�Sledování investic bude nepřetržitě monitorováno, vyhodnocováno a ev. zlepšováno.
Návratnost investic, 10/13
Aktivity ValIT
Zdroje
Obchodnívýsledky
Schopnosti organizace
Operačníschopnosti
Technickéschopnosti
Kontrola a sledování
Vývoj obchodního
případuObchodní p řípad se vyvíjí se shora dol ů, protože za čínáme stanovením očekávaných výsledk ů Jestliže je investice schválena, pak jde již o dodávku a realizaci
Kapacity a požadované výsledky musí být kontrolovány po celý ekonomický cyklus dané investice
Návratnost investic, 10/13
Obchodní případ
Struktura obchodního případuObchodní případ pro schválenou IT investici uvažuje
následující vztahy➤ Zdroje pro vývoj:• ➤ Technologie/IT podpora:• ➤ Operační schopnosti:• ➤ Obchodní/výr. Schopnosti které využívají investici:• ➤ Hodnoty, které lze vyjádřit jako návratnost v
oblasti snížených rizik nebo vzrůstu kurzu akciíí
Návratnost investic, 10/13Působení na organizaci z hlediska informa ční
bezpečnosti
Koncepty
KonceptyTrhy
Normy
DodavateléHrozby
Úřady
Organizace
Adrian Mizzi 2005
Návratnost investic, 10/13
Náklady na lidskou práci v IT
Počet zaměstnanců NPočet IT zaměstnanců NitPlocha firmy SPlocha využitá IT SitCena za nájem/odpisy/rok PCena/m2 placená IT/rok PrCena za vodu/zam./rok HCena za el./zam./rok EPrům. náklady na školení IT/zam./rok TCena za plyn/zam./rok GCena ostrahy/zam./rok Sec (zahrnuje i náklady na alarm. ...)Prům. mzdové náklady/IT zam./rok WOdpisy IT prostředků/zam./rok OCena podpory IT ext./zam./rok X
Návratnost investic, 10/13
Náklady na lidskou práci v IT
Voda+elektřina+plyn+ostraha+mzdy+vzdělání+odpisy+ext. Podpora+plocha IT
(H + E + G + Sec + W + T + O + X + (P*Sit/S*Nit))/365 = prům. cena IT člověkodne
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
1. Obranné mechanismy proti vnějšímu útoku jsou samozřejmostí2. Obrana proti vnitřnímu útoku podceňována-pravděpodobnější3. IT oddělení implicitně odstraňuje zranitelnosti systému:
„F“ definujeme jako roční náklady k odstranění zranitelnostísystému (licence apod.)
4. „B“ definujeme jako vstupní jednorázovou investici pro implementaci obranných mechanismů
5. „M“ definujeme jako roční náklady na údržbu
Pak dostáváme roční náklady na údržbu IB pro první rok jako:
Es = F + B + MV následujících letech lze vyjádřit jako:
Es = F + M
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Ztráta příjmůVe chvíli poškození (CIA) IB je vysokápravděpodobnost okamžité ztráty příjmů. V zásadějsou zde dvě komponenty ztrát:
a) Ztráta jako funkce času (t), po který byl systém neschopný provozu
b) Částka ztracená okamžitě Li (Loss immediatelly)Celková ztráta pak je vyjádřena jako:
Lt = Li + I * t/365 ,
kde I reprezentuje hodnotu podílu IT majetku, dotčeného incidentem
Návratnost investic, 10/13Výpočet návratnosti investic do IB
• Obecněji lze vyjádřit:Lt = Li + A(t),
kde A(t) vyjadřuje ztrátu dostupnostiV návaznosti na incident je nutno vynaložit čas, který IT
personál ztratí při opravě/obnově, což reprezentuje opět náklady. Tyto náklady označme jako R. R je opět funkce času a tak dostáváme:
Lt = Li + A(t) + R(t)R(t) reprezentuje roční náklady spojené s opravou/obnovou
napadených systémůNutno znát cenu člověkodne/hodiny!!!!Pozor na SLA -nepřímá úm ěra k času.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Cílem jakéhokoliv programu řízení informačních rizik a tedy i bezpečnosti, je chránit informačníaktiva co možná nejefektivněji, tedy takémusíme mít na zřeteli, že bezpečnostnímechanismy nesmějí do systémů zavádět body nestability a způsobovat jeho nedostupnost. Je tedy nastolena otázka životaschopnosti (oprávn ěnosti) investic do IT.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Životaschopnost/oprávněnost investic do IB
Investice i bezpečnostní projekt jsou oprávněnétehdy, jestliže platí:
Es < LtNebo jinak:
(F + B + M) < Lt + A(t) + R(t)Dle praxe se ukazuje, že organizace by měla
utratit za IB podstatně méně, než jsou očekávané ztráty – ne více než jednu třetinu
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Náklady na proniknutíAž doposud jsme se zabývali zranitelnostmi
systému bez uvažování možnosti útoku. Zranitelnost není hrozba, tedy systém, kde nejsou hrozby, je bezpečný. Nutný katalog hrozeb!
První hrozbou je bezpečnostní systém sám!Tedy, nepočítáme-li člověka
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Útok může vést k využití zranitelností ve vlastním obranném mechanismu.
• Zavedena proměnná: „CTB“ (Cost To Break), jejíž ročníhodnotu lze určit takto:
CTB = Cd + Cv , kde„Cd“ jsou roční náklady na proniknutí do obranného systému a „Cv“ jsou roční náklady na využití jeho zranitelností.
Tyto hodnoty se obecně velmi těžko určují. Doporu čení:buď zaměstnat člověka, který se bude pokoušet systém kompromitovat a na základě jeho činnosti tyto veličiny odhadnout, nebo najmout externí firmu.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Poškození obranného systémuPoškození samo o sobě nemusí vést ke ztrátě informací, ale v každém případě musí být opraveno. Náklady na toto jsou určeny takto:
D = Dd + DiKde „Dd“ představuje náklady spojené s poškozením obranného mechanismu a „Di“ představuje náklady spojené s poškozením IT infrastruktury. Opět nemusí jít oz trátu informací. Jde v podstatě o pravděpodobnostnífunkce.
Takže IT bezpečnostní projekt je životaschopný tehdy, jestliže:
(F + B + M) < (L + A(t) +R(t) + D)
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Úspěšnost útokuPlatí, že náklady spojené s úspěšným útokem by měly být
vyšší, než je cena obranných mechanismů. Tedy by mělo platit
CTB > (F + B + M)Po vyšetřování útoků a jejich pachatelů se zjistilo, že
útočník je motivován k provedení útoku, jestliže platíCTB < (Li + A(t)),
Kde Li je okamžitá ztráta a A(t) je ztráta dostupnosti. Pozor! Vnímání hodnoty např. ukradených informací
může být pro útočníka vyšší než pro obránce.
Návratnost investic, 10/13Znázornění životaschopnosti informační bezpečnosti
NarušeníDotčené IT prost ředky
IT prost ředkyObranné
mechanismyÚtok
Náklady na Proniknutí(CTB)
Hrozby
RozpočetIT bezpečnosti IT
Rozpočet
Životaschopné?B+F<L+R
Náklady na vybudování(B) Okamžité
ztráty (L)
Náklady na Odstran ěnízranitelností(F)
Zranitelnosti
Náklady na obnovu(R)
Výpočet návratnosti investic do IB
Náklady na průnik obrannými Prost ředkyCd
Náklady na využitíZranitelnostíCv
Náklady ITNa licence atd. F
Náklady na výstavbuB
Náklady na ÚdržbuM
ITProst ředky
Lt
Náklady na obnovu R(t)
IT rozpo čet
PoškozeníObrannýchmechanism ů
Dd
PoškozeníinfrastrukturyDi
IT bezpečnostrozpo četBo
OkamžitáZtrátaLiZtráta DostupnostiA(t)
DotčenéIT prost ředky
Úspěšnost útoku
Životaschopnostinvestice
Motivace k útoku
Detailní rozpis ROISI
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Praktický příklad (dle skutečné firmy)250 zaměstnanců
IT oddělení se nechtělo zabývat spamem. Firma plánovala 4 000 MU (Monetary Unit) na vyřešenísituace. Použita následně zde uvedenámetodika. Byla uplatněna krátce potom, kdy byl vypuštěn Sober.q worm (12-19.5.2005). 168 zaměstnancům byl zaslán dotazník, kde měli odpovědět na to, kolik tráví času odstraňováním spamu. 46% jej vrátilo řádně vyplněný.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Zjištění:96% respondentů strávilo méně než
10min./d se spamemPrůměrný uživatel strávil 31 min. denněčtením e-mailů
Průměrná velikost spamu 8KB.Dále se firma zabývala průměrným platem a
náklady na paměťový prostor, potřebný pro uložení pošty.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Hodnoty:Li = 600 MUA(t) = 9 750 MUR(t) = 2 000 MUDi = 99 MUDd = 0 MUCelková ztráta byla určena dle vzorce:Lt = Li + A(t) + R(t) + D, tedyLt = (600 + 9 750 + 2 000 + 99)MULt = 12 449 MU
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Životaschopnost investic v tomto případě byla odůvodněna dle
• Es < 12 449 MUPokud jsme uvažovali rozpočet cca. 4 000 MU,
pak tato částka splňuje nerovnost.
Profit pro organizaci na základě rozpočtu byl 8 350 MU za rok, tedy ROI = 67%.
Nutná verifikace. V roce 2005 se dalo pořídit antispamové řešení v ceně cca. 1 500MU. Pak se ROI změní na 87%.
Návratnost investic, 10/13
Výpočet návratnosti investic do IB
• Úspěšnost útoku• Aby byl útok neúspěšný musí platit
CTB > 1 500 MUOrganizace obdrží za rok cca. 750 000 vzkazů. To
představuje asi 0.002 MU za vzkaz. Dle studiíprováděných v roce 2002 utratí spameři asi 0.05 MU (v současné době cena klesla), což vede k nákladům 37 500 MU. Tedy Li + A(t) = 10 350 MU. Motivace k útoku by neměla být. Nicménězde platí, že spam není cíleným útokem proti nějaké organizaci na rozdíl od DDoS.
Návratnost investic, 10/13
Příklad:Standardní PC:DVD ROMUSBWiFiLANKlávesniceMyšSkříňGrafická kartaMonitor
Identifikujte kritická místa z pohledu bezpečnosti a navrhněte zabezpečenía přibližné náklady