|
где roi — показатель изменения ROI из-за инвестиций в информационную безопасность; А Доходы —изменение с доходах, обусловленное инвестициями в информационную безопасность; А Расходы — изменение в расходах, обусловленное инвестициями в информационную безопасность; А Инвестиции —инвестиции, сделанные в информационную безопасности. Допустим, что до «несения изменений в систему информационной безопасности ROI в кредитной организации равнялся ROIold, а уже сделанные инвестиции Hold, планируемые инвестиции ЛИ. Тогда ROI компании после внедрения проекта будет определяться: ИоМ ЛИ ROI ROIold ----------------------+r o i ----------------------(Формула№ 7) Hold + ЛИ Hold + ЛИ В зависимости от эффективности информационной безопасности и от отношения размера инвестиций в нее к общим инвестициям в кредитной организации изменяется общая эффективность: R.OI может увеличиться (roi>RO!), уменьшиться (roi Прямого влияния на рост доходов система информационной безопасности не имеет, поэтому, как правило, не следует ожидать увеличения выручки кредитной организации после инвестиций в информационную безопасность. Однако нельзя АДоходы сразу приравнивать к нулю, так как существует ряд стандартных информационных систем, в которых именно грамотно построенная система защиты информации скажется на росте доходов кредитной ортнизации. Например, согласно исследованиям компании Price WaterhouseCoopers именно недостаточная безопасность электронных платежей стала основным барьером для пользователей, то есть реализация системы информационной безопасности в таких системах обусловливает доверие клиентов, а значит, и приток денег. Внедрение системы информационной безопасности, как правило, приводит к более продуктивному использованию рабочего времени сотрудниками. Это связано с ограничением доступа к информации, не 80 |
71 где Доходы доходы компании за отчетный период (год); Расходы расходы компании за отчетный период(год); Инвестиции инвестиции, сделанные в компанию. Однако подсчет RO/, как правило, недоступен подразделению, отвечающему за информационные технологии. Для того, чтобы понять, как скажется на ROI инвестиции в информационную безопасность, надо определить вспомогательное roiy обусловленное изменениями в системе информационной безопасности: ._ ьДоходы а Расходы лИнвестиции 9 где го\показатель изменения ROI из-за инвестиций в ИЁ; аДоходы изменение в доходах, обусловленное инвестициями в ИБ; дРасходы изменение в расходах, обусловленное инвестициями в ИБ; лИнвестицииинвестиции, сделанные в ИБ. Допустим, что до внесения изменений в систему информационной безопасности ROI в компании равнялось ROIold, а уже сделанные инвестиции Hold, планируемые инвестиции лЯ. Тогда ROI компании после внедрения проекта будет определяться: п/-»г у/ Hold а И ROI ROIold — --------+ roi—— -----— ИоШ+а И Mold +дЯ В зависимости от эффективности ИБ и от отношения размера инвестиций в него к общим инвестициям в компанию изменяется общая эффективность компании: ROf может увеличиться (roi>ROI), уменьшиться (roi Прямого влияния на рост доходов система информационной безопасности не имеет, поэтому, как правило, не следует ожидать роста увеличения выручки компании после инвестиций в ИБ. Однако нельзя ^Доходы сразу приравнивать к нулю, так как существует ряд стандартных информационных систем, в которых именно грамотно построенная система защиты информации скажется на росте доходов компании. Например, согласно исследованиям компании PriceWaterhouseCoopers именно недостаточная безопасность электронных платежей стала основным барьером для пользователей, т.е. реализация системы ИБ в таких системах обусловливает доверие клиентов, а значит и приток денег. Внедрение системы информационной безопасности, как правило, приводит к более продуктивному использованию рабочего времени сотрудниками. Это связано с ограничением доступа к информации, не требующейся для работы, например, к развлекательным сайтам, а также с требованием сокращения неслужебной переписки. Без расходов на построение системы ИБ обойтись не удается: операционные затраты присутствуют всегда это и разработка проекта, и обучение персонала и стоимость средств защиты информации. Но есть составляющие, которые могут это компенсировать и даже привести к снижению расходов после реализации проекта. Главная причина уменьшения расходов, т.е. то, ради чего система информационной безопасности строится или модернизируется, увеличение рискозащищенности. Подсчитанные roi необходимо сравнить со следующими "пороговыми величинами": 1. roi < 0, т.е. эффективность проекта отрицательна. Это, естественно, худший вариант, но он не так редок, как может показаться (может быть еще более плохая ситуация, когда roi проекта ИБ столь отрицателен, что отрицательным может стать и ROI всей компании); 2. ROI > roi > 0, т.е. внедрение проекта приведет к уменьшению общего ROI компании; 3. roi > ROIy т.е. внедрение проекта приведет к увеличению общего ROI компании. 72 |