Metodica evaluării costului total al posesiunii pentru subsistemul SI.


Victor Jitaru; Ana Rusu

Introducere.


În ultimii câţiva ani, piaţa TI autohtonă se dezvoltă dinamic, după evaluarea experţilor creşterea anuală depăşeşte 10 la sută. Cu toate acestea, sectorul SI se dezvoltă în ritm şi mai alert, sporul anual constituie peste 25 la sută. O asemenea creştere este determinată de următorii factori: atenţia sporită a conducerii faţă de asigurarea SI şi nivelul insuficient al sistemelor informaţionale existente.


Este evident că asemenea ritmuri de creştere ale sectorului SI nu se vor menţine mult timp, ele se vor reduce şi problemele evaluării eficienţei cheltuielilor în domeniul SI vor deveni mai acute. Deja în sistemele informaţionale autohtone cu cerinţe sporite faţă de SI, cheltuielile pentru asigurarea regimului SI alcătuiesc până la 30 la sută din suma tuturor cheltuielilor pentru sistemul informaţional. Proprietarii resurselor informaţionale manifestă o atitudine serioasă faţă de aspectele economice ale asigurării SI. Chiar şi în acele sisteme informaţionale, în care nivelul SI este evident insuficient, specialiştii tehnici se confruntă cu problema motivării la nivelul conducerii (proprietarilor resurselor informaţionale) a cheltuielilor în legătură cu sporirea acestui nivel.


Şefii serviciilor automatizării şi securităţii informaţionale, directorii executivi trebuie să dispună de argumente compreansive pentru motivarea investiţiilor in SI, deci, pentru motivarea costului sistemului SI pentru business.

Pentru motivarea cheltuielilor în legătură cu asigurarea SI există două abordări de bază.


Prima abordare, aşa-numita abordare ştiinţifică, presupune însuşirea şi, ulterior, aplicarea în practică a instrumentelor pentru măsurarea nivelului SI. În acest scop, se impune atragerea conducerii companiei la evaluarea costului resurselor informaţionale, determinarea aprecierii daunei în urma dereglărilor în domeniul SI. De rezultatele acestor evaluări va depinde în mare măsură viitoarea activitate a conducerii în sfera SI. Dacă informaţia este lipsită de valoare, activele informaţionale ale companiei nu sunt expuse unui pericol prea mare, impactul potenţial este minim, apoi problema asigurării SI nu merită atenţie deosebită. Însă dacă informaţia este una de valoare, pericolul şi prejudiciul potenţial sunt evidente, atunci este evidentă operarea modificărilor în buget la capitolul cheltuieli pentru subsistemul SI. În acest caz este necesar susţinerea conducerii companiei, urmând ca aceasta să conştientizeze problematica SI şi oportunitatea creării unui sistem corporativ de protecţie a informaţiei.



A doua abordare, definit de noi abordare practică, constă în următoarele: nu este exclusă căutarea unei invariante de cost rezonabil pentru un sistem corporativ de protecţie a informaţiei. Există doar invariante analogice în alte domenii, în care evenimentele importante pentru business poartă un caracter de probabilitate. De exemplu, pe piaţa asigurărilor auto evaluarea costului serviciului respectiv constituie 5-15 la sută din preţul de piaţă al automobilului, în funcţie de condiţiile exploatării locale, stagiul şoferului, intensitatea circulaţiei rutiere, starea drumurilor etc.



Prin analogie, SI în companie poate fi ignorată complet şi nu se exclusă probabilitatea că acest risc conştient va fi justificat. Pe de altă parte, investiţiile pentru crearea sistemului de protecţie corporativă a informaţiei costă bani grei, concomitent nu este exclus să rămână puncte vulnerabile, iar aceasta odată şi odată se va solda cu scurgerea ori furtul informaţiei confidenţiale.

Experţii-practicieni în domeniul SI au găsit o soluţie optimă ce ar asigură o relativă siguranţă - costul sistemului SI trebuie să constituie 10-20 la sută din costul ,,КИС”, în funcţie de exigenţele concrete faţă de regimul SI. Este anume evaluarea în baza experienţei practice („best practice”) ce poate fi aplicată cu uşurinţă, cu excepţia cazurilor când se impun calcule detailate.

Această abordare, evident, nu este lipsită de neajunsuri. De regulă, în asemenea cazuri conducerea preferă să se detaşeze de problemele SI. Rămâne, însă, posibilitatea de a justifica volumul bugetului pentru SI prin referinţă la cerinţele general recunoscute faţă de asigurarea regimului confidenţialităţii, bine ştiute şi de majoritatea proprietarilor de resurse informaţionale „best practice”, formalizate într-o serie de standarde, spre exemplu, ISO 17799.

Realizarea acestor procedee (metode concrete de evaluare a eficienţei sistemului SI) în practică depinde de o serie de factori, dintre care cei de bază sunt gradul de maturitate al organizării şi specificul activităţii sale.


1.Metodica de calculare a valorii cumulative a posesiei pentru susbsistemul SI.

a)posibilităţile metodicii.


Iniţial, metodica de calculare a valorii cumulative a posesiei (CCP) a fost propusă de compania analitică Gartner Group la sfârşitul anilor 80 (1986-1987) cu scopul de a evalua cheltuielile pentru tehnologiile informaţionale. Metodica Gartner Group permite calcularea coloanei de cheltuieli a activelor informaţionale ale companiei, incluzând cheltuielile directe şi indirecte pentru aparatajul tehnic de program, activităţi organizatorice, instruirea şi sporirea calificării colaboratorilor companiei, reorganizarea şi restructurarea businessului etc.

Metodica aceasta poate fi utilizată pentru a demonstra eficienţa economică a sistemelor corporative de protecţie a informaţiei. Ea permite conducerea serviciilor SI să motiveze bugetul pentru SI, la fel, să demonstreze eficienţa angajării colaboratorilor pentru serviciul SI. Deoarece evaluarea sistemului corporativ SI devine „comensurabilă”, apare posibilitatea rezolvării operative a problemelor controlului şi a corectării indicilor eficienţei economice şi, în special, a indicelui CCP. Astfel, indicele CCP poate fi utilizat ca instrument de optimizare a cheltuielilor pentru asigurarea nivelului cerut de protecţie a „КИС” şi motivarea bugetului pentru SI. Cu toate acestea, în companie lucrările respective acestea pot fi îndeplinite independent, cu implicarea integratorilor de sistem în domeniul protecţiei informaţiei ori în comun: de întreprindere şi de integrator. În linii mari, metodica CCP a companiei Gartner Group permite:



Indicele CCP poate fi utilizat efectiv la toate etapele de bază ale ciclului vital al sistemului corporativ de protecţie a informaţiei şi permite “de a face ordine” în actualele şi viitoarele devize de cheltuieli pentru SI. Din acest punct de vedere indicele CCP oferă posibilitatea de a motiva obiectiv şi independent oportunitatea economică a introducerii şi utilizării măsurilor şi mijloacelor organizatorice şi tehnice de protecţie a informaţiei. De asemenea, pentru a găsi o soluţie obiectivă este necesar de a lua în calcul starea mediului intern şi extern al întreprinderii, spre exemplu, indicii dezvoltării tehnologice, financiare şi politicii de personal a întreprinderii, pentru că nu întotdeauna indicele CCP a sistemelor corporative de protecţie a informaţiei poate reprezenta pentru companie varianta optimă.

Compararea indicelui concret CCP cu indicii analogici CCP în domeniu (cu companii analogice) şi cu „cei mai buni din grupă” permite de a motiva obiectiv şi independent cheltuielile companiei pentru SI. Deseori este dificil sau chiar imposibil să evaluezi efectul economic direct în rezultatul investiţiilor în SI. Concomitent, compararea indicilor, realizaţi în cadrul unor unităţi “înrudite”, ne permite să înţelegem, dacă crearea sau reorganizarea sistemului corporativ al securităţii informaţionale a companiei sunt optime în raport cu media pe ramură. Confruntările în cauză trebuie operate, utilizând indicii medii CCP pe ramură, calculaţi de experţii Gartner Group ori de experţii angajaţi ai companiei cu ajutorul metodelor de statistică matematică şi de prelucrare a informaţiei.

Metodica Gartner Group permite de a răspunde la următoarele întrebări:



b) Dispoziţiile de bază ale metodicii.


SI este asigurată printr-o complexitate de măsuri la toate etapele ciclului vital al Sistemului informaţional, costul cumulativ al posesiunii pentru sistemul SI în orice caz este alcătuit din costul:



Sub indicele CCP se înţelege suma cheltuielilor directe şi indirecte pentru organizare sau reorganizare, exploatarea şi însoţirea sistemului corporativ de protecţie a informaţiei în decurs de un an. CCP poate fi examinat ca indice cheie cantitativ al eficienţei organizării SI în companie, deoarece permite nu doar a evalua cheltuielile totale pentru SI, dar şi a dirija cu aceste cheltuieli pentru a atinge nivelul necesar al securităţii corporative.

Cu toate acestea, cheltuielile directe includ atât componentele capitale ale cheltuielilor (asociate cu activele fixe sau “proprietatea”), dar şi cheltuielile de muncă, care sunt trecute la categoria operaţiilor şi conducerea administrativă. Tot aici sunt incluse şi cheltuielile pentru serviciile utilizatorilor îndepărtaţi etc., legate de susţinerea activităţii organizaţiei.

La rândul lor, cheltuielile indirecte reflectă influenţa „КИС” şi subsistemul protecţiei informaţiei SI asupra colaboratorilor companiei prin intermediul unor asemenea indici măsurabili, cum ar fi staţionarea şi “blocarea” sistemului corporativ de protecţie a informaţiei şi „КИС” în ansamblu, cheltuielile pentru operaţiuni şi susţinere (care nu se referă la cheltuieli directe). Foarte des cheltuielile indirecte joacă un rol important, pentru că ele de regulă de la bun început nu sunt reflectate în bugetul pentru SI, ci apar cu claritate ulterior, la analiza cheltuielilor, drept care în definitiv cresc cheltuielile “ascunse” ale companiei pentru securitatea informaţională.

Este esenţial că CCP nu numai că reflectă “costul posesiunii” unor elemente aparte şi legăturile sistemului corporativ de protecţie a informaţiei pe parcursul ciclului lor vital. “Stăpânirea metodicii” CCP ajută serviciul SI să calculeze mai bine, să administreze şi să reducă cheltuielile şi/sau să îmbunătăţească nivelul serviciului de protecţie a informaţiei cu scopul luării unor măsuri adecvate de asigurare a securităţii busenussului companiei.

Abordarea evaluării CCP se bazează pe rezultatele auditului structurii şi comportamentului sistemului corporativ de protecţie a informaţiei şi „КИС” în general, incluzând acţiunile colaboratorilor serviciilor automatizării, securităţii informaţionale şi pur şi simplu utilizatorilor “КИС”. Culegerea şi analizarea statisticii după structura cheltuielilor directe (HW/SW operaţii, dirijarea administrativă) şi indirecte (utilizatorii îndepărtaţi) se efectuează, de regulă, în decurs de 12 luni. Datele primite sunt evaluate după o serie de criterii şi reieşind din rezultatele confruntării cu indicii unor companii analogice din aceeaşi ramură.

Metodica CCP permite evaluarea şi confruntarea gradului de protecţie ”КИС” al companiei cu profilul tipic de protecţie, inclusiv de a scoate în evidenţă lacunele în organizarea protecţiei, la care trebuie atrasă atenţia. Cu alte cuvinte, în baza datelor primite poate fi formată o strategie clară din punct de vedere economic şi tactica de dezvoltare a sistemului corporativ de protecţie a informaţiei, şi anume: „ acum noi cheltuim pe SI o anume sumă de bani, şi dacă vom cheltui sume concrete pe direcţii concrete, apoi vom obţine şi un efect concret”.

În metodica CCP în calitate de bază pentru comparaţii se utilizează datele şi indicii CCP pentru companiile europene. Dar metodica e capabilă să ia în consideraţie specificul companiilor autohtone cu ajutorul aşa-numitor coeficienţi de corectitudine, de exemplu:



În general definirea cheltuielilor companiei pentru SI presupune rezolvarea următoarelor 3 probleme:


  1. Evaluarea nivelului curent CCP al sistemului corporativ de protecţie a informaţiei şi „КИС” în ansamblu.

  2. Auditul SI al companiei în baza comparării nivelului de protecţie al companiei şi nivelului recomandabil al CCP.

  3. Formarea modelului special CCP.



c) Evaluarea nivelului curent CVCP.


În procesul lucrărilor de evaluare a CCP este realizată colectarea informaţiei şi calcularea indicilor CCP al organizaţiei după următoarele direcţii:



d) Auditul SI a companiei.


În funcţie de rezultatele convorbirii cu TOP-managerii companiei şi efectuarea controlului tehnic al nivelului de protecţie a organizaţiei se procedează la analiza următoarelor aspecte de bază:



Pe baza analizei efectuate este ales modelul CCP, comparabil cu semnificaţiile medii şi optime pentru un grup reprezentativ de organizaţii, analogice organizaţiei examinate după volumul businessului. Un astfel de grup este ales din baza de date după eficienţa cheltuielilor pentru SI şi eficienţa profilurilor corespunzătoare de protecţie a companiilor analogice.

e) Formarea modelului integral CCP.


După rezultatele auditului efectuat, este elaborat modelul special (dorit), ce ia în calcul perspectivele dezvoltării businessului şi sistemului corporativ de protecţie a informaţiei (activele, complexitatea, metodele ”best practice”, calificarea colaboratorilor companiei etc.)

În afară de acesta se analizează cheltuielile capitale şi cheltuielile pe muncă, necesare pentru efectuarea modificărilor sferei curente în sfera integrală. În cheltuielile pe muncă pentru implementare se includ cheltuielile pe planificare, instruire şi prelucrare. Tot aici aliniem posibile sporuri la capitolul de cheltuieli pentru dirijare şi susţinere. Pentru motivarea efectului în rezultatul introducerii sistemului corporativ nou de protecţie a informaţiei, pot fi utilizate modele caracteristice ale scăderii nivelului cheltuielilor totale, reflectînd modificările posibile în sistemul corporativ de protecţie a informaţiei.


f) Elaborarea metodicilor de evaluare a cheltuielilor pentru SI


Cum pot fi definite cheltuielile directe (bugetare) şi cele indirecte pentru SI, reieşind din specificul companiilor ruse?


Să presupunem, că conducerea companiei efectuează lucrări în vederea implementării la întreprindere a sistemului de protecţie a informaţiei. Deja sunt cunoscute obiectele şi scopurile protecţiei, pericolele SI şi măsurile de contracarare a acestora, sunt achiziţionate şi instalate mijloacele de protecţie a informaţiei. Pentru ca nivelul cerut de protecţie a resurselor să fie realizat efectiv şi să corespundă exigenţelor conducerii întreprinderii, este necesar de a răspunde la următoarele întrebări de bază, legate de cheltuielile pentru SI:



Să analizăm răspunsurile posibile la întrebările de mai sus.


g) Ce presupun cheltuielile pentru SI?


De regulă, cheltuielile pentru SI se încadrează în următoarele categorii:



Clasificarea cheltuielilor este convenţională, deoarece culegerea, clasificarea şi analiza cheltuielilor pentru SI ţine de activitatea internă a întreprinderii şi prelucrarea detailată a listei depinde de particularităţile organizaţiei concrete.

Cel mai important este ca în procesul stabilirii cheltuielilor pentru sistemul securităţii să fie asigurată înţelegerea reciprocă şi acordul cu articolele devizului de cheltuieli în interiorul întreprinderii.

În afară de acesta, categoriile cheltuielilor trebuie să fie permanente şi să nu se dubleze.



h) Sunt oare inevitabile cheltuielile pentru SI?


Este imposibil de exclus complet cheltuielile pentru securitate, dar ele pot fi aduse la un nivel admisibil. Unele articole de cheltuieli pentru securitate sunt absolute necesare, dar altele pot fi substanţial reduse sau chiar excluse. Ultimele sunt cele care pot fi omise în cazul lipsei încălcărilor politicii securităţii sau pot fi reduse dacă numărul şi efectul încălcărilor se vor micşora.


Când politica securităţii este respectată şi e realizată profilaxia încălcărilor se poate de exclus sau de redus substanţial următoarele cheltuieli:



Cheltuielile necesare sunt cele de care e nevoie chiar şi atunci cînd nivelul ameninţării securităţii e destul de mic. Acestea-s cheltuielile pentru menţinerea nivelului efectiv de securitate al sferei informaţionale a întreprinderii.

Cheltuielile inevitabile pot include:



i) Exemplu de calculare a costului staţionării serverului.


Prezentăm un exemplu de calculare a costului staţionării serverului, rezultatul obţinut fiind utilizat de metodica generală de calculare a valorii cumulative a posesiei.

1. Datele necesare pentru calculare

Numărul lucrătorilor (A1)

Numărul administratorilor (A2)

Săptămâna medie de lucru (ore de lucru pe zi şi zile de lucru pe săptămână) (A3;A4)

Venitul global anual al companiei (A5)

Salarizarea pe oră a administratorului (A6)

Salarizarea pe oră a lucrătorului (A7)

Notă: salarizarea pe oră a colaboratorilor include toate tipurile de achitări (salariul, premiul, opţiunile), în plus, cheltuielile pentru prima de asigurare.

2. Deconectările planice ale serverului (inclusiv deconectările în legătură cu operaţiile de arhivarea-restabilirea serverului şi reconfigurarea)

deconectări pe fiecare lună (A8)

durata medie a deconectărilor (A9)

numărul utilizatorilor deconectaţi pe parcurs (A10)

numărul administratorilor angajaţi în acest scop (A11)

3. Deconectările neplanificate ale serverului (inclusiv deconectările, cauzate de întreruperea alimentării cu energie electrică, defectarea utilajului, de erorile de program şi greşelile omului) deconectări pe fiecare lună (A12)

durata medie a deconectărilor (A13)

numărul utilizatorilor deconectaţi pe parcurs (A14)

numărul administratorilor angajaţi în acest scop (A15)

Acum, după introducerea datelor iniţiale, este necesar de a calcula indicii de escală.

Venitul la fiecare lucrător (USD/oră) (B8) = A5/((A3*A4*50)*A1)

Deconectările planificate (ore) (B9) = A8*12*A9*(A10+A11)

Deconectările neplanificate (ore) (B10) = A12*12*A13*(A14+A15)

Cheltuielile planice pentru deconectarea serverului (B12) = B13+B14

Cheltuielile planice pentru administratori (USD/an) (B13) = A8*12*A9*A11*A6

Cheltuielile planice pentru utilizatorii finali (USD/an) (B14) = A8*12*A9*A10*A7

Cheltuielile neplanice pentru deconectarea serverului (B16) = B17+B18

Cheltuielile neplanice pentru administratori (USD/an) (B17) = A12*12*A13*A15*A6

Cheltuielile neplanice pentru utilizatorii finali (USD/an) (B18) = A12*12*A13*A14*A7

În rezultat, obţinem indicii de bază

Venitul pierdut (ratat) (USD/an) (B7) = B8*(B9+B10)

Cheltuielile generale pentru oprirea serverului (USD/an) (B21)) = B7+B12+B16

Cheltuielile în fiecare oră de deconectare a serverului (B23) = B21/((A8*12*A9)+(A12*12*A13))

În mod analogic sunt calculaţi şi ceilalţi indici, utilizaţi pentru estimarea valorii cumulative a posesiei. În plus, informaţia indicată poate fi prin definiţie interesantă persoanei care doreşte să evalueze eficienţa lucrului propriilor servere şi reţele.



  1. Concluzii.



Consider că este destul de greu sau chiar imposibil să evaluezi efectul economic direct de la cheltuielile pentru SI. Totul depinde de importanţa informaţiei care necesită să fie protejată. Ai posiblitatea să investeşti o sumă considerabilă de bani sau să nu investeşti absolut nimic. Atâta timp cît informaţia ta valorează trebuie sa găseşti o metodă de protecţie optimă. Dacă e vorba de un sistem corporativ SI atunci riscurile sunt mai mari şi respectiv cheltuielile cresc odată cu creşterea importanţei informaţiei care necesită a fi protejată. Pentru a evalua structura componentelor sistemului securităţii avem nevoie de indici interni şi externi care ne vor facilita sarcina.


Structura sistemelor SI poate fi evaluată în baza mai multor factori ca de exemplu

cheltuieli la asigurarea securităţii fizice, instruirea personalului, utilizarea şi susţinerea sistemului (securităţii administrative),auditul SI.

Trebuie de luat în consideraţie şi factorii de risc interni şi externi. Acei externi : viruşii, hackerii etc. Şi factorii interni cum ar fi greşeala unui angajat, deconectarea curentului electric, blocarea computerului.


SI este foarte importantă pentru orice companie şi extrem de importantă pentru corporaţiile mari, deoarece acolo informaţia are o valoare mai mare. Dar e şi foarte greu de a menţine informaţia într-o toatală securitate. De aici rezultă ca trebuie de facut tot posibilul pentru a gasi resurse financiare şi motivaţii concrete pentru a investi o sumă rezonabilă în SI. Caci sunt mulţi factori externi care ar putea distruge sau fura informaţia,dar sunt şi mulţi factori interni care pot afecta activitatea interioară a companiei.


Literarura


1.Кадушин Александр, Михайлова Надежда. Эффект "оКИСления" - http://www.osp.ru/cio/2001/07/033.htm;

2.Козаченко Виталий Евгеньевич
Руководитель проекта АО "Банкомсвязь" - http://www.cs.comizdat.com;

3.Сергей Петренко, Сергей Симонов, Роман Кислов. Информационная безопасность: экономические аспекты - www.citforum.ru;

4. Сергей Петренко. Оценка затрат компании на Информационную безопасность - www.citforum.ru;