«Защиту, которую не видно, сложнее всего продать. ROI в информационной безопасности — это не калькуляция прибыли, а стоимостное обоснование управления рисками. Когда инцидентов нет, вы доказываете ценность не по факту, а через предотвращённый ущерб. Ваша задача — перевести тишину на терминале SOC в финансовые аргументы, которые поймут в финансовом департаменте».
Почему ROI в информационной безопасности отличается от классического
В классическом бизнесе формула возврата на инвестиции прозрачна: вычитаешь затраты из дохода и смотришь на процент. Задача безопасности иная — не генерировать выручку, а предотвращать потери, которые могли бы случиться. Из-за этого возникает парадокс: если система защиты работает идеально и атак нет, её вклад в бизнес становится неочевидным. Вопрос «Зачем мы платим, если ничего не происходит?» — основной вызов. Ответ на него лежит не в бухгалтерии, а в области риск-менеджмента и умения оценить стоимость несостоявшегося события.
Модель для расчёта: от абстрактного к конкретному
Без чёткой модели разговор о ценности защиты превращается в абстрактные споры. Основу составляет оценка ежегодных ожидаемых потерь (ALE — Annual Loss Expectancy). Это не прогноз точной суммы, а вероятностная оценка ущерба, построенная на трёх переменных.
| Параметр | Описание и способ оценки |
|---|---|
| Стоимость актива (AV) | Не цена сервера на складе, а стоимость бизнес-последствий его недоступности или компрометации. Включает упущенную выручку, операционные расходы на восстановление, штрафы регуляторов и репутационный ущерб, который может в разы превышать прямые потери. |
| Коэффициент воздействия (EF) | Процент стоимости актива, который будет потерян при реализации угрозы. Определяется эффективностью контрмер. Например, успешная атака шифровальщиком может привести к потере 70% данных при устаревших бэкапах или всего 10% при отлаженной системе резервного копирования и быстром восстановлении. |
| Частота возникновения (ARO) | Ожидаемое количество инцидентов в год. Наиболее сложная для оценки переменная, особенно при отсутствии истории. Формируется на основе отраслевой статистики, данных киберразведки (Threat Intelligence) или результатов моделирования угроз. |
Формула расчёта ожидаемых потерь: ALE = AV × EF × ARO.
Рассмотрим на примере. Допустим, компрометация CRM-системы с данными клиентов оценивается в 15 млн рублей ущерба (AV). Вероятность целевой фишинговой атаки — 0.4 в год (ARO). Без обучения сотрудников (EF = 60% потерь) ожидаемые годовые потери: ALE = 15 млн × 0.6 × 0.4 = 3.6 млн рублей.
Теперь оценим эффект от программы Security Awareness стоимостью 500 тыс. рублей в год. Обучение снижает коэффициент воздействия до 15%. Новый ALE = 15 млн × 0.15 × 0.4 = 900 тыс. рублей.
Экономический эффект: предотвращённые потери = 3.6 млн – 0.9 млн = 2.7 млн рублей.
ROI = (2.7 млн – 0.5 млн) / 0.5 млн × 100% = 440%.
Инвестиция в обучение не просто окупается — каждый вложенный рубль предотвращает потенциальные убытки в несколько раз больше.
[ИЗОБРАЖЕНИЕ: Сравнительная диаграмма, визуализирующая сценарии «Без контрмер» и «С контрмерами» на основе модели ALE, показывающая снижение ожидаемых потерь]
Как определить параметры без истории инцидентов
Главная сложность — обосновать вероятность события (ARO), если в компании его не фиксировали. Ориентироваться нужно на внешние данные и индустриальные бенчмарки.
- Отраслевая статистика и отчёты. Данные российских CERT, отраслевых ассоциаций и аналитических агентств содержат статистику по атакам. Фраза «в прошлом году каждая третья компания вашего сектора столкнулась с атаками на цепочку поставок» служит основой для оценки ARO.
- Данные средств защиты. Логи межсетевых экранов, систем обнаружения вторжений и антивирусов показывают не успешные атаки, а попытки. Анализ количества и сложности блокируемых инцидентов помогает косвенно оценить активность угроз.
- Сценарный подход. Если внешней статистики недостаточно, стройте расчёты от реалистичного наихудшего сценария. Это создаст запас прочности для аргументов и покажет, от каких максимальных потерь страхуется бизнес.
Определение реальной стоимости актива (AV)
Частая ошибка — подмена бизнес-стоимости балансовой. Чтобы оценить AV корректно, нужны консультации с другими департаментами.
- Финансовый отдел поможет оценить потери от простоя критического сервиса в рублях за час или день.
- Юридическая служба проконсультирует по размерам штрафов за нарушения 152-ФЗ, отраслевых стандартов или договорных обязательств.
- Отдел маркетинга и продаж может дать оценку стоимости привлечения клиента и потенциального оттока, что помогает измерить репутационный ущерб от утечки данных.
ROI для «неочевидных» проектов безопасности
Не каждый проект напрямую предотвращает взлом. Ценность таких инициатив считается через их влияние на модель рисков или через сравнение с альтернативными затратами.
- Внедрение практик безопасной разработки (DevSecOps). Его ROI считается через экономию. Стоимость исправления уязвимости на этапе проектирования или написания кода в десятки раз ниже, чем затраты на экстренный патчинг в production, расследование инцидента и возможные штрафы. ROI = (Альтернативные затраты на реагирование – Затраты на внедрение) / Затраты на внедрение.
- Автоматизация процессов SOC. Инвестиции в SOAR-платформу можно обосновать через снижение времени реагирования (MTTR). Более быстрое устранение инцидента уменьшает коэффициент воздействия (EF) в формуле ALE, так как злоумышленник имеет меньше времени для действий внутри сети. Эффект выражается в снижении потенциального ущерба.
Что считать, кроме денег: нематериальные выгоды
Финансовый ROI — сильный, но не единственный аргумент. Для бизнеса критичны и другие показатели.
- Соответствие требованиям регуляторов (152-ФЗ, ФСТЭК, СБКР ФСБ). Помимо избегания штрафов, это возможность участвовать в тендерах, работать с госсектором и крупными корпорациями, для которых compliance — обязательное условие контракта. Это прямой доступ к рынкам сбыта.
- Ускорение бизнес-процессов. Надёжная и доверенная ИБ-инфраструктура позволяет быстрее запускать новые продукты или выходить на новые рынки, не тратя месяцы на длительные согласования по безопасности. Это конкурентное преимущество.
- Снижение операционной нагрузки. Качественные системы с низким уровнем ложных срабатываний разгружают аналитиков SOC, позволяя им фокусироваться на реальных угрозах и проактивном поиске уязвимостей, а не на рутинном разборе шума.
[ИЗОБРАЖЕНИЕ: Инфографика, связывающая различные контрмеры ИБ (слева) с видами нематериальных выгод (справа), такими как доступ к рынкам, скорость вывода продукта, эффективность операций]
Как презентовать расчёт руководству
Технические расчёты на базе ALE нужно адаптировать для неспециалистов. Говорите на языке бизнес-рисков и возможностей.
- Свяжите угрозы с конкретными бизнес-целями. Вместо «риск DDoS» говорите «риск срыва онлайн-трансляции продукта-лидера, от которой зависит значительная часть квартального плана по выручке».
- Используйте сравнение сценариев «как есть» и «как будет». Наглядно покажите два финансовых исхода: с вашим проектом и без него. Используйте простые сравнительные таблицы или диаграммы.
- Будьте готовы к вопросу о вероятностях. Имейте под рукой ссылки на авторитетные отраслевые отчёты или внутреннюю статистику попыток атак, которые послужили основой для оценок ARO.
- Показывайте динамику. Если ведёте метрики (количество обнаруженных уязвимостей, среднее время на реагирование), продемонстрируйте график, как инвестиции в безопасность улучшают эти показатели. Тренд убедительнее разовой цифры.
Распространённые ошибки при расчёте ROI
- Использовать стоимость «железа» вместо стоимости бизнес-последствий. Это радикально занижает расчётный ущерб и обесценивает предлагаемые меры защиты.
- Игнорировать операционные расходы (TCO). ROI считается от общей стоимости владения: лицензии, поддержка, обучение, зарплата специалистов, амортизация. Разовая цена «коробки» даёт искажённую картину.
- Забывать про стоимость ложных срабатываний. Система, которая генерирует тысячи некорректных алёртов, отвлекает ресурсы и создает операционные издержки. Эти потери необходимо учитывать при оценке эффективности.
- Брать вероятности «с потолка». Необоснованно завышенные оценки ARO быстро разрушают доверие. Используйте проверяемые данные и консервативные допущения.
Заключение
Расчёт ROI в условиях отсутствия инцидентов — это не поиск мифической прибыли, а дисциплинированный процесс оценки и демонстрации управления рисками. Отсутствие взломов не означает отсутствие угроз, а часто свидетельствует об эффективности существующих контролей. Задача специалиста по безопасности — сделать эту эффективность измеримой и понятной. Ключевой итог такой работы — не просто одобренный бюджет, а формирование у руководства понимания, что информационная безопасность является не центром затрат, а страховым полисом и фундаментом для устойчивого развития бизнеса в цифровой среде.