понедельник, 28 марта 2011 г.

Практика ИБ \ Скрытые затраты на проекты по информационной безопасности

Еще одна полезная заметка из блога Lenny Zeltser'а

Все мы периодически реализуем различные проекты в области информационной безопасности, планируем бюджеты, защищаем их перед руководством... Но даже в случае утверждения бюджета в достаточном объеме не редко возникают ситуации, когда денег все равно на что-то не хватает, когда неожиданно возникает необходимость в существенных дополнительных трудозатратах, которые изначально не планировались и на которые нет ресурсов. Иногда это приводит к невозможности завершения проекта или к сдвигу сроков его реализации. Почему так происходит? Дело в том, что часто при планировании проекта учитываются только явные денежные и трудовые затраты, а неявные, косвенные затраты, либо вообще не учитываются, либо недооцениваются. К тому же люди склонны выдавать желаемое за действительное и обманывать себя при оценке рисков проекта, считая, что проект непременно пройдет гладко. К сожалению, большинство проектов сталкивается с теми или иными проблемами, а неявные затраты порой существенно превышают явные.

Правильно оценить объем финансовых и трудовых затрат проекта поможет методика определения Совокупной стоимости владения (TCO - Total Cost of Ownership). К тому же эта методика поможет сделать правильный выбор решения или поставщика, учитывая при этом не только единовременные затраты, но и затраты на последующее содержание и управление купленным продуктом или сервисом.

Термин «Совокупная стоимость владения» популяризовал Билл Кирвин из Gartner, чтобы подчеркнуть необходимость учета двух категорий расходов, связанных с владением и управлением ИТ-инфраструктурой (это применимо и для информационной безопасности). Одна из категорий расходов – это прямые затраты, которые обычно делятся на оплату труда, капитальные затраты и оплату услуг. Другой категорией являются косвенные затраты, которые значительно сложнее понять и оценить. В результате они часто забываются или недооцениваются.

Казалось бы разумно принять решение о сокращении расходов за счет снижения прямых расходов: договориться с поставщиком о снижении цены договора, сэкономить на закупке оборудования, снизить затраты на техническую поддержку. Однако если результатом таких действий будет предоставление услуг ненадлежащего качества (с нарушением соглашения об уровне обслуживания (SLA)) или использование ненадежного оборудования, которое чаще ломается и дольше простаивает в ожидании специалистов технической поддержки, конечный результат может не только свести к нулю всю, и без того незначительную, экономию, но и привести к дополнительным (косвенным) расходам.

Концепция TCO учит нас искать «скрытые» расходы не только среди закупаемых компонентов (оборудования, программного обеспечения), но также в услугах, за которые потребуется заплатить, и в работах, которые должен будет выполнить персонал компании. Кроме того, очень часто при реализации проектов ИТ или бизнеса забывают про расходы на обеспечение безопасности полученного в результате проекта продукта или услуги.

Ниже приведены расходы в области информационной безопасности, которые часто недооценивают или вообще забывают про них. Эти расходы могут представлять из себя дополнительные прямые финансовые затраты на продукты или услуги, но могут быть и менее прямыми - например, дополнительный объем работы сотрудников, что потребует дополнительных трудовых ресурсов и выплат в виде заработной платы и премий.

Подготовка требований. Чтобы сформулировать требования к безопасности решения, необходимо время и высокая квалификация, в особенности когда это решение состоит из множества компонентов. Потребуется проведение встреч и совещаний с бизнес-пользователями, техническими специалистами аналитиками. Иногда для формулирования требований безопасности к проекту собственных ресурсов компании может оказаться недостаточно и потребуется привлечение внешних консультантов.

Трудозатраты на процесс перехода. В случае принятия решения о замене уже работающего в компании решения или сервиса, часто не учитывается стоимость перехода от имеющегося решения к новому. Однако развертывание новой системы или сервиса может потребовать значительных усилий, зависящих от сложности внедряемого решения. Например, замена одного антивирусного продукта на другой потребует полного удаления со всех компьютеров компании старых антивирусных средств. Эта задача может оказаться достаточно ресурсоемкой и дорогостоящей (и рискованной).

Управление проектом. Часто при планировании проекта недооцениваются трудозатраты на выполнение функций управления самим этим проектом, которые обеспечивают движение проекта в нужном направлении, его реализацию в ожидаемые сроки, и достижение в результате всех необходимых целей проекта. Если проект достаточно сложен, в нем задействовано много участников из различных подразделений компании (или даже внешние консультанты), управление проектом может потребовать выделения отдельного менеджера проекта, который будет заниматься только этой работой (представьте, например, проект по развертыванию в компании системы предотвращения утечек информации (DLP)). Но даже если у проекта нет выделенного менеджера, функции управления проектом будет выполнять кто-то из команды проекта, а это в любом случае дополнительные трудозатраты.

Подтверждение успешного завершения. Нередко при планировании сложных проектов забывают о необходимости проведения проверки для подтверждения достижения всех целей проекта и соблюдения предъявленных к нему требований. Иногда такие проверки могут быть несложными - например, проверка правильности настроек безопасности продукта после его внедрения. Однако в отдельных случаях эта работа может оказаться достаточно трудоемкой и требующей специальных навыков. Например, проверка защищености внешнего периметра сети компании после внесения в него существенных изменений в рамках реализации проекта.

Обучение персонала. Компания может потратить огромные средства на приобретение или создание новой системы обеспечения или контроля безопасности, например, системы предотвращения вторжений (IPS), но не учесть при этом время и трудозатраты на обучение своих сотрудников, необходимое для получения максимальной отдачи от новой системы. Вероятно, потребуется не только обучение по конкретному продукту, например, по развертыванию и эксплуатации Snort, а также обучение базовым навыкам, например, навыкам по анализу сетевых пакетов.

При подготовке проекта по информационной безопасности, либо при обеспечении безопасности в проекте ИТ или бизнеса, убедитесь, что вы учли не только явные, но и все «скрытые» финансовые и трудовые затраты. В этом процессе вам может помочь концепция TCO, которая работает как напоминание, что некоторые расходы совершенно не очевидны.

Комментариев нет: