Рассчитайте бизнес-эффект программы повышения осведомленности в ИБ

Калькулятор помогает оценить, как программа повышения осведомленности в ИБ может повлиять на ожидаемые потери от инцидентов. Он сравнивает сценарии «без программы» и «после ее внедрения», а затем показывает снижение потерь, чистый эффект, ROI и срок окупаемости.

Отрасль помогает показать, какие сценарии инцидентов и последствия наиболее характерны для компании. Например, в промышленности основной ущерб может быть связан с простоем производства, а в ИТ и телекоме — с восстановлением инфраструктуры и последствиями утечек. В расчете отрасль влияет на структуру возможного ущерба: какая доля приходится на операционные потери, реагирование и восстановление, юридические расходы и прямой финансовый ущерб. Структура ущерба по отраслям: • Финансы: 30% операционный ущерб, 20% реагирование и ИТ, 30% юридические расходы, 20% прямой финансовый ущерб. • Ритейл: 40% операционный ущерб, 25% реагирование и ИТ, 30% юридические расходы, 5% прямой финансовый ущерб. • Промышленность: 60% операционный ущерб, 25% реагирование и ИТ, 10% юридические расходы, 5% прямой финансовый ущерб. • Логистика: 55% операционный ущерб, 25% реагирование и ИТ, 15% юридические расходы, 5% прямой финансовый ущерб. • ИТ и телеком: 20% операционный ущерб, 40% реагирование и ИТ, 30% юридические расходы, 10% прямой финансовый ущерб. • Общий профиль: 45% операционный ущерб, 30% реагирование и ИТ, 15% юридические расходы, 10% прямой финансовый ущерб.

Калькулятор берет базовую оценку ущерба и корректирует ее с учетом масштаба компании и влияния инцидента на бизнес: Ущерб от серьезного инцидента = базовая оценка ущерба × коэффициент масштаба × коэффициент влияния инцидента Базовая оценка ущерба — исходная сумма в параметрах расчета. Ее можно оставить по умолчанию или заменить на внутреннюю оценку компании. Коэффициент масштаба учитывает численность сотрудников. Чем крупнее компания, тем выше возможные затраты на простой, восстановление, коммуникации и другие последствия инцидента. Мы используем такие значения: до 250 сотрудников — ×0,65 от 250 до 1000 — ×1,0 от 1000 до 3000 — ×1,8 от 3000 до 5000 — ×3,0 от 5000 до 10000 — ×4,5 больше 10000 — ×6,5 Коэффициент влияния инцидента показывает, насколько серьезно инцидент может затронуть процессы, сервисы, производство, клиентов или обязательства компании. Мы используем такие значения: стандартное влияние — ×1,0 повышенное влияние — ×1,25 высокое влияние — ×1,5

После расчета ожидаемых потерь без программы и после ее внедрения калькулятор показывает разницу между этими сценариями. Снижение ожидаемых потерь = ожидаемые потери без программы − ожидаемые потери после программы Это расчетная разница между двумя сценариями. Она показывает, на сколько могут снизиться ожидаемые потери после учета оценочного эффекта программы. Годовая стоимость программы = количество сотрудников × средняя стоимость лицензии В первой версии калькулятора стоимость считается по средней стоимости лицензий. Внедрение, сопровождение и время команды не входят в расчет. Чистый эффект = снижение ожидаемых потерь − годовая стоимость программы Так калькулятор показывает эффект после вычета стоимости программы. ROI = чистый эффект / годовая стоимость программы × 100% ROI показывает соотношение чистого эффекта и стоимости программы. Это не гарантированная прибыль, а расчетный показатель для сравнения сценариев. Срок окупаемости = годовая стоимость программы / снижение ожидаемых потерь × 12 месяцев Так калькулятор показывает, за сколько месяцев расчетное снижение ожидаемых потерь может покрыть стоимость программы.

В модели есть исходное допущение: без программы вероятность серьезного инцидента составляет 10% в год. Это значение используется, чтобы рассчитать ожидаемые потери до внедрения программы: Ожидаемые потери без программы = ущерб от серьезного инцидента × вероятность инцидента без программы Например, если ущерб от серьезного инцидента составляет 337 500 000 ₽, а вероятность инцидента без программы — 10%, то ожидаемые потери без программы составят: 337 500 000 × 10% = 33 750 000 ₽ 10% — исходная вероятность инцидента до внедрения программы. Оценочный эффект показывает, как эта вероятность меняется после запуска программы.

Расчет носит оценочный характер и не заменяет финансовую модель или аудит рисков. В первой версии калькулятор использует допущения: вероятность инцидента, коэффициенты масштаба, влияние инцидента на бизнес и среднюю стоимость лицензий. В расчет не входят внедрение, сопровождение, время ИБ-команды и другие дополнительные расходы. Итоговые значения лучше использовать как основу для обсуждения бюджета и сценариев внедрения, а не как точный прогноз или гарантированный финансовый результат.