В апреле я уже писал про методику TEI от компании Forrester. В ней были объединены классические методики ROI и TCO, которые Forrester расширила рядом нововведений, позволяющих оценивать вклад и отдачу от внедрения ИТ и ИБ. В той же заметке я привел пример использования этой методики для оборудования Cisco. И вот на днях мы запустили онлайн-калькулятор по данной методике.
Какие выводы можно сделать по его применению? Без доступа к финансовым показателям своей организации применение и этого калькулятора и вообще экономической оценки малоэффективны, если вообще возможны. Во-вторых, данный калькулятор базируется на самом "простом" варианте расчета ROI; он исходит из того, что безопасность сама по себе не приносит денег, но дает сэкономить. А это в свою очередь сильно зависит от уровня зарплат. Поэтому калькулятор может показать, что внедрение будет неэффективным с экономической точки зрения. И тут впору вспомнить мой пост "что общего между женскими духами и информационной безопасностью". Он как раз об относительности таких расчетов.
Сейчас меня обвинят в том, что я пиарю Cisco ;-) Есть немного. Все-таки мой работодатель ;-) Но дело не в этом. Говоря об оценке экономической эффективности нельзя говорить абстрактно - нужны конкретные цифры. Об этом я уже говорил на форуме директоров по ИБ в июне этого года. В той презентации приводились конкретные примеры расчета ROI от наших различных продуктов. Мне, по понятным причинам, ближе Cisco. Кому-то ближе другие вендоры. В любом случае от конкретики в таком вопросе не уйти.
Аналогичная ситуация, кстати, и с рисками. О них можно рассуждать абстрактно. Вероятность умножить на размер ущерба... Бла-бла-бла. Но как посчитать вероятность? Методов немало . Но только имея конкретные цифры для конкретной организации можно говорить о реальном значении этого показателя. Тоже и с ущербом и с многими другими показателями. Без конкретики, увы, никуда.
Подсказка: в калькуляторе вы можете выбрать в качестве валюты расчета - российский рубль.
Обращаем внимание, что все материалы в этом блоге представляют личное мнение их авторов. Редакция SecurityLab.ru не несет ответственности за точность, полноту и достоверность опубликованных данных. Вся информация предоставлена «как есть» и может не соответствовать официальной позиции компании.