Архив метки: экономическая безопасность

Вопросы совокупной стоимости владения и эксплуатации комплексных систем безопасности

Авторская версия.

В современной корпоративной и государственной жизни невозможно избежать встречи с автоматизированными системами. Каждый из нас является пользователем как минимум 2-3 из них. Кроме того, некоторые в той или иной мере выступают владельцами существующих или проектируемых систем в части определения целей, задач и методов их выполнения. Владельцем системы может быть и руководитель крупного департамента, и начальник отдела, и ведущий инженер или администратор.

Каждый владелец рано или поздно сталкивается с потребностью в дополнительном финансировании для поддержания деятельности системы, либо для создания новой. При поиске источников финансирования владельцы должны быть готовы ответить на ряд вопросов, главный из которых, без сомнения, – «Сколько система будет стоить?». Говоря другими словами, необходимо оценить совокупную стоимость владения. Также инвесторы не оставят без внимания окупаемость системы и вклад в финансовые показатели организации.

И если с ИТ-системами уже предпринимаются робкие попытки расчета таких оценок, то в системах безопасности, как говорится, еще и конь не валялся. Поэтому предлагаю вашему вниманию методологию расчета совокупной стоимости владения, которую я и мои коллеги используем для расчета экономического эффекта автоматизированных систем (АС).

Определения

Самая частая проблема, возникающая у безопасников в коммуникации с финансовыми подразделениями и владельцами бизнеса, – отсутствие единой цели. Мы мыслим совершенно непохожими категориями, т.к. имеем отличные друг от друга устремления. Следовательно, и словарем пользуемся разным.

Поэтому начнем с самого начала – с уточнения понятий.

Разговаривать мы будем о совокупной стоимости владения (для автоматизированных систем вообще) или стоимости жизненного цикла (больше применимо для ИТ и ИБ систем). В общем случае эти термины эквивалентны.

Совокупная стоимость владения (от англ. total cost of ownership, TCO) – общая величина целевых затрат, которые вынужден нести владелец с момента начала реализации вступления в состояние владения до момента выхода из состояния владения и исполнения владельцем полного объёма обязательств, связанных с владением.

Из определения TCO, согласно западной методологии, вытекают два фундаментальных понятия о затратах:

  • CAPEX (от англ. CAPital EXpenditure) – капитальные расходы компаний на приобретение или модернизацию физических активов;
  • OPEX (англ. сокращение от operating expense, operating expenditure, operational expense, operational expenditure) – операционные расходы, повседневные затраты компании на ведение бизнеса, производство товаров и услуг.

В нашей же методологии мы пользуемся следующими понятиями:

  • прямые затраты;
  • косвенные затраты.

Почему? Во-первых, данные понятия есть в Налоговом кодексе РФ и ПБУ (Положении о бухгалтерском учете). Во-вторых, это упрощает отнесение затрат по статьям расходов.

Далее мы не будем пользоваться понятиями CAPEX и OPEX. Те из вас, от кого требуют расчеты с четким разделением на CAPEX и OPEX, смогут самостоятельно разнести затраты из методологии. Основной (упрощенный) принцип такой – если затрата единоразовая, то это CAPEX, все остальное –OPEX.

Прямые затраты

Если вы поищете в интернете определение прямых затрат, то найдете следующее определение:

«Прямые затраты» — это то, что потрачено на производство конкретных товаров или услуг. Такие расходы можно включить в себестоимость: например, стоимость сырья и зарплаты сотрудников, которые работали над продуктом.

Точное определение представлено в статье 318 Налогового кодекса РФ и содержит перечисление того, что входит в данный вид затрат.

Применимо к теме нашего разговора для расчета совокупной стоимости владения автоматизированной системой под прямыми затратами мы будем понимать:

«Прямые затраты на АС» – то, что непосредственно потрачено на создание, эксплуатацию, масштабирование и развитие автоматизированной системы.

Косвенные затраты

Общее определение косвенных затрат звучит так:

«Косвенные затраты» — это расходы, связанные с производством, которые нельзя напрямую включить в себестоимость конкретного вида изделия.       

Точное определение представлено все в той же статье 318 Налогового кодекса РФ.

Для расчета TCO для автоматизированных систем мы будем использовать следующее определение косвенных затрат:

«Косвенные затраты на АС» – другие (сопутствующие) затраты, необходимые для создания, эксплуатации, масштабирование и развитие автоматизированной системы, не входящие в перечень прямых затрат.

Если немного запутались, что относить к прямым затратам, а что к косвенным – не отчаивайтесь.

Данные виды затрат отличает один признак: в зависимости от организации и проекта при создании АС без косвенных затрат можно обойтись, а без прямых – нет.

Пример необходимости расчета TCO

Одно очень крупное российское промышленное предприятие решило внедрить у себя комплексную систему защиты. В рамках внедрения была запланирована система двухфакторной аутентификации с помощью токена (защищенной USB-флешки). Токены (несколько тысяч штук) и необходимое ПО были закуплены подрядчиком, все было готово к внедрению. Итогом стал провал внедрения подсистемы, токены так и остались лежать в коробках.

Основные причины провала.

  1. Противодействие со стороны ИТ-службы в рамках внедрения подсистемы. Процедура требовала организации, учета, замены и вывода из обращения старых флешек, а также организации обучения пользователей новым правилам. ИТ-служба должна была понести значительные финансовые и временные затраты, что, к сожалению, не было учтено при проектировании.
  2. По внутренним регламентам предполагалось, что сотрудники будут использовать токены только во время работы, получая их у своего руководителя под роспись. После окончания работы токены необходимо было сдавать и хранить, например, в сейфе. Расходы на эти и другие процедуры также не были учтены.

Таким образом, ключевой проблемой стал учет только прямых расходов на систему.

Методика расчета совокупной стоимости владения

Не существует самой общей и полной методики расчета TCO, т.к. большинство затрат по статьям и размерам зависит от специфики конкретной организации. Подход, о котором я хотел бы рассказать, – часть большой методики оценки эффективности внедрения и эксплуатации автоматизированных систем, которую ЛАНИТ использует в проектах. Описываемый метод применим в первую очередь для бюджетной оценки внедрения АС, которая, как правило, применяется на стадии формулирования потребности и решения. Бюджетная оценка обладает значимой погрешностью (до 18%), устранение которой требует проведения дополнительных работ по оценке и анализу бизнес-процессов заказчика.

Полная оценка внедрения, планирование инвестиций в среднесрочном периоде (3-5 лет), а тем более оценка влияния на финансовые показатели, лежат вне рамок небольшой журнальной статьи. Если вам требуется взвешенная и обоснованная оценка – обратитесь к специалистам.

Итак, методика расчета совокупной стоимости, в сущности, сводится к суммированию перечня планируемых затрат. Данный метод позволяет производить оценку в среднесрочном периоде, влияние на производственные и непроизводственные процессы, учитывать разные источники финансирования, валюты закупок, способы оплаты и расчета с поставщиками.

Планируемые затраты:

  1. прямые затраты на внедрение АС;
  2. прямые затраты на сопровождение АС;
  3. косвенные затраты на внедрение АС;
  4. косвенные затраты на сопровождение АС.

Прямые затраты на внедрение АС

Самый простой и очевидный перечень затрат. Прямые затраты на внедрение включают следующие пункты. Это:

  1. Закупка аппаратных компонентов АС. Затраты на аппаратные компоненты АС – это могут быть блоки управления, считыватели, камеры и т.д., все те компоненты АС, которые закупаются с НДС. К данной статье затрат не относится серверное оборудование.
  2. Закупка программного обеспечения АС. Затраты на программные компоненты АС, в подавляющем количестве случаев – это будут лицензии или неисключительные права использования на программное обеспечение, т.е. компоненты, покупаемые без НДС.
  3. Закупка серверного оборудования. Затраты на закупку серверов и систем хранения данных. Данная статья расходов выделена, т.к. серверное хозяйство может быть представлено физическими или виртуальными серверами или быть размещено в облачной инфраструктуре. В общем случае это компьютеры, на которых будут установлены программные компоненты АС.
  4. Закупка автоматизированных рабочих мест. Затраты на покупку рабочих мест пользователей и администраторов. В рамках проекта могут использоваться: существующие компьютеры, модернизация существующих компьютеров, закупка новых.
  5. Закупка программного обеспечения (общесистемного). Затраты на программное обеспечение серверов и рабочих станций. В 90% случае это затраты на закупку дополнительных лицензий операционной системы, офисного пакета и другого ежедневно используемого ПО.
  6. Закупка программного обеспечения (инфраструктурного). Затраты на ПО, обеспечивающее беспрерывную работу оборудования АС. Наиболее часто встречается расширение лицензий СУБД, систем администрирования и резервного копирования.
  7. Закупка программного обеспечения (специализированного). Закупка программного обеспечения, не входящего в другие категории. Например, докупка лицензий на дополнительные камеры видеонаблюдения, считыватели СКУД и т.п.
  8. Закупка инфраструктурного оборудования. Затраты на инфраструктурное оборудование, которое будет обеспечивать беспрерывную работу АС. Сюда включаются дополнительные маршрутизаторы для нового сегмента сети, дополнительные диски для архивирования, увеличение оперативной памяти и пропускной способности серверов и маршрутизаторов.
  9. Затраты на средства информационной безопасности. Затраты на средства информационной безопасности АС, включают в себя: антивирусы, средства защиты от НСД, межсетевые экраны, VPN и т. д.
  10.  Затраты на средства физической безопасности. Затраты на средства физической защиты: решетки, сейфы, видеокамеры, размещение дополнительных постов охраны, организацию пропускного режима и т.п.
  11.  Закупка монтажных комплектов и соединений. Все закупленное оборудование необходимо установить, смонтировать и подключить. В подавляющем большинстве случаев крепеж серверов, а также кабели подключения не идут в комплекте поставки. Данный раздел не учитывают чаще всего. К нему относятся: серверные стойки, ИБП, монтажные комплекты серверов, трансиверы, оптоволоконные кабели и кабели питания.
  12.  Работы по проектированию. Работы по созданию необходимого комплекта проектной и организационно-распорядительной документации.
  13.  Работы по монтажу, настройке и пусконаладке АС.
  14.  Обучение администраторов. Курсы повышения квалификации для администраторов по обучению работы с новой системой.

Прямые затраты на сопровождение АС

Прямые затраты на сопровождение – это затраты на поддержание работы системы в течение определенного периода времени (обычно 1 год). Затраты на сопровождение включают следующие позиции:

  1. Закупку вендорского технического сопровождения и обновления ПО. Затраты на техническую поддержку закупленного ПО (всех видов), обычно закупается на срок 12 или 36 месяцев.
  2. Закупку продления гарантии на аппаратные компоненты АС.
  3. Зарплату администраторов АС. В большинстве случае зарплата ИТ-персонала коррелирует с количеством и сложностью систем, находящихся в их ведении. Чем больше систем, тем выше зарплата и/или больше администраторов требуется.
  4. Затраты на наем персонала. Затраты на поиск, наем и оформление новых сотрудников необходимой квалификации. Обычно данные затраты ложатся на отдел кадров.
  5. Затраты на техническое сопровождение АС. Затраты, связанные с эксплуатацией и масштабированием АС. Изменения организационных процессов, выпуск новых регламентов по работе и приему заявок от пользователей, организация ремонта и замены элементов АС, привлечение субподрядной организации для технического сопровождения. Таким образом, в данную статью включается, все то, что вовлеченные подразделения должны организовать для штатного функционирования системы.

Косвенные затраты на внедрение АС

Косвенные затраты на внедрение – затраты на внедрение, которые обычно не включаются в стоимость контракта с Исполнителем и обеспечиваются заказчиком.

  1. Организационные работы по внедрению. Любое внедрение системы требует большой подготовительной работы со стороны заказчика, организация внедрения, разработка соответствующих приказов и распоряжений, завоз и вывоз оборудования подрядчиков и многое другое. Чаще всего это сопровождается вовлечением большого количества структурных подразделений, чьих сотрудников отвлекают от текущих задач. Все это является затраты для заказчика.
  2. Затраты на помещения. Для размещения новых рабочих мест и оборудования может потребоваться новое помещение, которое необходимо привести в порядок, сделать ремонт или построить.
  3. Затраты на мебель. В случае организации новых рабочих мест могут потребоваться новые столы, стулья, шкафы и т.п.
  4. Затраты на электричество и охлаждение. Затраты чаще всего возникающие при размещении оборудования в ЦОДах, где может не быть дополнительных электрических и охлаждающих мощностей под новое оборудование. Что потребует проведение новой электрической ветки или установки нового кондиционера.
  5. Затраты на обучение пользователей.  Затраты на обучение существующих пользователей.

Косвенные затраты на сопровождение АС

Косвенные затраты на сопровождение – все дополнительные затраты в течение срока сопровождения АС.

  1. Затраты на помещения. Аналогичны косвенным затратам на внедрение АС. Дополнительно пересчитываются в случае масштабирования или переезда АС.
  2. Затраты на электричество и охлаждение. Аналогичны косвенным затратам на внедрение АС. Дополнительно пересчитываются в случае масштабирования или переезда АС.
  3. Затраты на обучение новых пользователей и сотрудников.

Получив оценку по каждой статье расходов, вы оцените совокупную стоимость внедрения вашей системы. Этот метод позволит руководителям безопасности и ИТ подразделений  точнее оценить потребность в финансировании  и перевести общение на язык цифр и денег.

Дудко Дмитрий для журнала «Системы безопасности» (№1, 2021).

Печатная версия

По следам черного лебедя: о чем говорили ИБ-эксперты на конференции «Умные решения – умная страна»

Онлайн-конференция «Умные решения – умная страна: инновационные технологии для новой реальности», организатором которой выступила компания ЛАНИТ, была наполнена полезным и разнообразным контентом. Продолжаем делиться самым интересным (о выступлении всемирно известного футуролога Кьелла Нордстрема можно почитать здесь). 

Во второй день форума Technology Day прошла секция «Информационная безопасность», на которой руководители компаний и эксперты в области ИБ делились своим видением трендов, уже оказывающих или лишь начинающих оказывать свое влияние как на современный бизнес, так и на общественную жизнь в России. (Я тоже, кстати, рассказывал про оценку рисков информационной безопасности.) В этой статье я сделаю обзор выступлений на нашей секции. Важно отметить, что никакая статистика и анализ не уберегут от наступления событий, описанных Нассимом Талебом в его книге «Черный лебедь». Непредсказуемые события непрогнозируемых масштабов случаются, и 2020-й год стал наилучшим тому подтверждением.

Онлайн-платформа конференции. Приветственное слово модератора секции «Информационная безопасность» Андрея Голова

Уроки 2020 года


«Крайне нетипичным» дипломатично назвал в своем докладе 2020 год Андрей Голов, генеральный директор компании «Код Безопасности». Шаг за шагом он проследил цепочку изменений, вызванных к жизни пандемией коронавируса. «Удаленка» разрушила привычный периметр безопасности корпоративной инфраструктуры, породив новые модели потребления ИТ-сервисов и, как следствие, значительно изменив ландшафт киберугроз. К вышеперечисленному добавился макроэкономический идеальный шторм, каскад государственных локдаунов и разрыв цепочек поставок.

Андрей отметил взрывной рост спроса на решения сетевой безопасности и обслуживающий их персонал, логично перейдя к неизбежному ускорению цифровизации социальных сервисов, которое уже началось.

Все эти вызовы требуют работы, которую можно провести только на государственном уровне. К ней, в частности, относится интеграция всего технологического стека ИТ в рамках процесса импортозамещения. Диалог руководства страны, экспертного сообщества и бизнеса в данном направлении идет, и его результаты Андрей оценил как положительные.

Отдельно докладчик остановился на вопросах обеспечения «цифрового суверенитета». Сейчас этим вопросом занимаются во всем мире, и России крайне важно не отстать от глобальных процессов. Ведь в скором будущем ИТ-системы будут управлять буквально всей жизнью в стране. Руководство страны это понимает и продолжает повышать требования к защите критической инфраструктуры.

Семь тенденций кибербезопасности, которые будут влиять на вашу организацию в 2021 году


Самым, пожалуй, «богатым на новые тренды» стал доклад Алексея Лукацкого, бизнес-консультанта по вопросам безопасности Cisco. Алексей выделил семь основных тенденций, касающихся кибербезопасности как непосредственно, так и в преломлении бизнеса.

  • Усиливается регуляторная нагрузка на эксплуатантов информационных систем и ужесточение ответственности за нарушения.
  • Самой важной метрикой в информационной безопасности становится время обнаружения атаки, а отчеты службы ИБ включают все больше метрик, связанных с бизнес-целями предприятия.
  • Невозможность обеспечить абсолютную защиту от угроз смещает фокус внимания служб ИБ с предотвращения атак на своевременное обнаружение и реагирование на них.
  • Самым слабым звеном любой системы безопасности остается человек. Число атак, связанных с социальным инжинирингом, будет только расти.
  • Количество событий безопасности в сложной системе ИБ превысило физические возможности специалистов по реагированию на них.
  • Злоумышленники все чаще атакуют не своих жертв напрямую, а их поставщиков ПО и оборудования.
  • Растет важность «безопасной разработки», предъявляющей новые требования к создателям программного кода на всех этапах его производства.

Кибербезопасность в эпоху цифровой трансформации


Мир погружается в «цифру», а неопределенность растет. Растет и число кибератак, несущих угрозу новой реальности. Николай Фокин, руководитель отдела информационной безопасности компании «ЛАНИТ-Интеграция», напомнил о том, что кибератаки входят в ТОП-5 глобальных угроз наряду с изменением климата, эпидемиями и природными катастрофами. К 2022 году, по оценке ВЭФ, ущерб мировой экономики от киберпреступлений может достичь $8 трлн.

С приходом пандемии коронавируса ландшафт киберугроз сильно изменился. В недавнем отчете Интерпола говорилось, что с приходом COVID-19 все больше хакерских группировок, стремясь увеличить свой доход, стали переносить фокус внимания с частных лиц и малого бизнеса на крупные корпорации. «Модным» трендом стали нападения на промышленные предприятия с использованием программ-шифровальщиков. Вызванные этими атаками длительные простои производств влекут за собой огромные убытки, и даже выплата выкупа отнюдь не гарантирует пострадавшей стороне возвращение доступа к собственной инфраструктуре.

«Один из самых распространенных векторов атаки шифровальщиков — RDP. На теневом рынке стоимость покупки учетных данных организации составляет всего $20. При этом большинство компаний не применяют необходимые средства защиты от этой угрозы». Николай Фокин

Вывод Николая не внушает оптимизма: 90% компаний по-прежнему могут быть взломаны за несколько дней, а 77% бизнесов не имеет четкого плана реагирования на киберинциденты. Помочь в этой ситуации может только тотальный пересмотр всех политик ИБ, ужесточение контроля за средствами удаленного доступа, внедрение технологий многофакторной авторизации и программ обучения персонала правилам «цифровой гигиены».

Проект «Безопасность детей ХМАО-Югры в сети Интернет»


Цифровая трансформация общества оказала большое влияние на формирование детской психики, которое сейчас происходит в окружении всевозможных гаджетов. Вопросам защиты уже второго по счету поколения «цифровых аборигенов» посвятил свой доклад Константин Игнатьев, эксперт «Лаборатории Касперского» по детской безопасности в сети.

Более половины родителей признаются, что используют гаджеты, чтобы занять ребенка. Девять из десяти родителей прибегают к электронным устройствам в процессе обучения своих детей в возрасте 3-6 лет. Сделать эти процессы максимально безопасными призван проект-финалист премии IT Stars имени Георгия Генса «Безопасность детей ХМАО-Югры в сети Интернет».

Ханты-Мансийский автономный округ стал площадкой для эксперимента не случайно. Многие родители здесь работают вахтовым методом и зачастую не в состоянии контролировать время, проведенное ребенком в интернете, или характер потребляемого им контента. Помочь им в этом был призван специальный продукт Kaspersky Safe Kids.

За год его использования детский интернет-трафик претерпел серьезные изменения. Интересным стало падение популярности компьютерных игр с 32% до 16%. Связано это по всей видимости с тем, что родители сочли эту категорию наименее желательной. Зато значительно вырос трафик новостных ресурсов, интернет-магазинов и банков. Проект уже отмечен многочисленными благодарностями родителей, учителей и представителей администрации округа.

Защита от несанкционированного доступа к инфраструктуре бизнеса


С распространением цифровизации бизнеса среди всех инструментов анализа информационной защищенности корпоративной инфраструктуры пентест выходит на первый план. Мурад Мустафаев, руководитель службы информационной безопасности компании «Онланта», и Дмитрий Донской, директор по развитию группы компаний «Эшелон», рассказали о том, как инсценировка преднамеренного взлома помогает объективно определить уровень защищенности компании, и привели живой пример.


Главным выводом эксперимента стало четкое понимание необходимости мониторинга всех ИБ-событий в реальном времени. Наилучшим способом добиться этого на сегодняшний день является использование SIEM-систем. Неудивительно, что подобным инструментам  уделено большое внимание в федеральном законе N 187-ФЗ, посвященном требованиям к защите критической информационной инфраструктуры.

Безопасность виртуальной облачной сети предприятия


Доклад Дмитрия Жечкова, менеджера по развитию бизнеса сетевой виртуализации и безопасности VMware в РФ и СНГ, был посвящен новым подходам к обеспечению информационной безопасности в условиях «новой нормальности». Параллельно с трендом цифровизации бизнеса и массовым переходом на удаленную работу сформировалось три основных потенциально уязвимых области в ИТ-инфраструктуре любого предприятия:

  • пользователи на дистанционной работе;
  • пользовательские устройства;
  • приложения, не контролируемые службой безопасности компании.

Традиционный подход к защите, основанный на применении большого количества специализированных продуктов (программных и аппаратных), ведет к переусложнению инфраструктуры и ее насыщению десятками разрозненных ИБ-решений, которые сами могут стать мишенью для атаки. По мнению специалистов VMware, будущее за универсальными платформами цифровизации, уже оснащенными нативными и эластично масштабируемыми средствами обеспечения ИБ, работающими на трех важнейших уровнях: на любых устройствах, во всех приложениях, во всех облаках (частных и публичных).


VMware уже пошла по этому пути, предлагая создавать безопасные цифровые экосистемы предприятий, основанные на решениях Workspace ONE, Carbon Black, NSX и CloudHealth.

Экономическая оценка рисков информационной безопасности


А теперь немного о моем выступлении. Я работаю руководителем отдела департамента информационной безопасности ЛАНИТ. Более восьми лет наша компания занимается консалтингом в сфере оценки рисков как информационной безопасности, так и более широких, связанных с функционированием бизнеса в целом. Созданная за это время карта рисков включает в себя 152 показателя, сведенные в девять групп:

  • производственные;
  • инфраструктурные;
  • управленческие;
  • организационные;
  • антропогенные;
  • законодательные;
  • санкционные;
  • нарушения;
  • репутационные.

Анализ более 3 тыс. инцидентов позволил нашей команде вывести общие закономерности, помогающие понять, какой экономический ущерб могут нанести те или иные нежелательные события. Так, к примеру, опыт ЛАНИТ показывает, что ущерб от инцидентов, связанных с нарушением или блокировкой деятельности бизнеса в результате хакерской атаки для компаний среднего размера, как правило, находится в диапазоне 0,5-10% годового оборота. Ущерб от кражи конфиденциальной информации может достигать 100% годового оборота. Причем чем меньше компания, тем уровень ущерба выше.


Информационная безопасность остается одной из ключевых сфер ИТ. Тональность докладов, прозвучавших на конференции «Умные решения — умная страна», говорит о том, что проблема ее обеспечения не просто не решена, —  она с каждым годом становится все более актуальной. А значит, мы продолжим обсуждать ее и в следующем году. В том числе —  и на Хабре.  

Видеозаписи докладов, а также презентации спикеров конференции «Умные решения — умная страна: Инновационные технологии для новой реальности», организованной компанией ЛАНИТ, доступны до 1 февраля 2021 года на платформе мероприятия. Вам понадобится заполнить простую форму для регистрации и в разделе «Библиотека IT-знаний» выбрать интересующий материал.

P.S. Оригинал записи

Сколько стоит репутация

Как вы знаете, я цифровой гик. Меня хлебом не корми, дай что-нибудь посчитать. Разумеется, я больше всего люблю считать деньги. Особенно чужие. Когда совсем невмоготу, считаю факториалы. Но на прошлой неделе у меня было, что посчитать.

Счетовод

Как вы знаете, в ИБ считается, что репутация ничего не стоит. Что всегда приводило меня в крайнее смятение. И я решил разобраться. Разумеется, начал с себя, а вернее с того, что меня окружает, и очень быстро подвернулся интересный пример. И подвернулся он… в страховании.

Надо сказать, что страховые компании стоят на две ступени выше безопасников в области понимания рисков, и на галактические годы в их расчете. Но не будем бить себя ушами по щекам, у них была некоторая фора.

Но давайте остановимся на понятии репутации. Репутация в общем смысле – создавшееся общее мнение о достоинствах и недостатках кого-нибудь или чего-нибудь. Это могут быть люди, товары, компании, направления. Например, с точки зрения заработка на хлеб насущный отрасль стоматологии имеет лучшую репутацию по сравнению с частным извозом.

В экономике репутацию переводят в деньги с помощью понятия гудвил (goodwill). Оно не совсем нам подходит, т.к. применяется в основном при покупке/продаже компаний, и является надбавкой за «хорошесть». Но давайте не плодить лишние сущности и считать гудвил при покупке товаров и услуг. Продажа же происходит? Значит, в цене хороших товаров заложена наценка на гудвил/репутацию.

Необходима ремарка. Не будем сейчас разделять гудвил на репутацию бренда, маркетинга и пиара. Например, продукция компании Apple будет просто иметь большой гудвил.

Так вот, о чем собственно хотел рассказать. А рассказать я хотел о группе «Альфа Банка». Я просто обожаю Альфу. У меня там открыты все карточки и карточки моей семьи. Я использую там депозиты, у меня там ДМС, я купил там КАСКО и ОСАГО, страхование жизни и имущества, даже когда-то использовал их кредитки.

Неожиданно оказалось, что 4 апреля у меня должна была закончиться страховка КАСКО. Разумеется, я хотел продлить ее в Альфе. Мне даже СМСка пришла, и я стал звонить в Альфа-Страхование. Чуть раньше меня начали атаковать другие страховые агенты, предлагая свои условия. Казалось бы, при чем тут защита персональных данных, гадость несусветная. Некоторые страховые агенты были совсем не подготовлены и расспрашивали меня о машине и обо мне. Такие были сразу сброшены на телефоне, т.к. если уж вы хотите переманить клиента, делайте это хотя бы удобно для клиента. Рассказывать каждому встречному-поперечному, какой у меня стаж вождения, немного утомляет.

Но среди уводителей были и подготовленные. Одна тетя сделала мне предложение в 33 т.р. за КАСКО без франшизы. Т.к. время подходило, я решил позвонить уже и в Альфу. Тут уже зародилась небольшая обида: если уводители начали звонить за 2 недели, то первый личный звонок от Альфы я получил за 3 дня до окончания страховки. Да и фиг с ним, я не гордый.

Дозвонившись куда надо, я получил предложение от Альфы в 49 т.р. без франшизы, но т.к. у меня были какие-то бонусы, предложение могло упасть до 46 т.р. Тут я уже расстроился окончательно. Как бы я не любил Альфу, но переплачивать 40% за ее репутацию и мое к ней хорошее отношение я не готов.

Да, все мы имеем какие-то предпочтения. Вы можете покупать Чудо-йогурт за 30 рублей, а не Данон за 26. Все мы готовы чуть переплатить, если получаем лучшее качество. Чисто интуитивно это варьируется где-то в районе 10-20%.

Я стал думать и анализировать свои потребности, и сошелся на том, что я бы все равно купил КАСКО у Альфы, если бы она стоила 39 т.р. Психологически комфортная цифра, чтобы остаться клиентом компании. Потом уже посыпались звонки от Альфы, сумма упала до 45 без бонусов, а в конце до 39 т.р. Казалось бы – желаемый успех. Но поезд ушел, к моменту получения заветной цифры 4 апреля, я уже неделю как оформил КАСКО за 33 т.р.

Особенно неприятно удивила аргументация страховой, мол, у них были старые тарифы, а теперь все чудесным образом пересчиталось. Но на примере использования «зеленой карты» для поездок за границу, я точно знаю, что есть тарифы минимум на 2-3 месяца вперед. т.е. Альфа Страхованию было вообще все равно, они просто хотели срубить денег, за что обижаться на них глупо.

Итого промежуточный результат:

  • (46-33)/33*100% = 39% — не вписывается в интуитивную оценку стоимости репутации
  • (39-33)/33*100% = 18% — в пределах интуитивной оценки стоимости репутации

Т.к. считать я стал позже, чем уже все свершилось, получается, что расчетные данные сошлись с эмпирическими.

Теперь рассмотрим предложение, которое я выбрал. Оно было от Тинькофф Страхование. Надо сказать, что я почти ничего не знаю об этой группе компаний. Общий фон был скорее слегка отрицательный, какие-то там разборки с блогерами, навязчивый маркетинг, но ничего критичного. Как говорят в опросах, скорее бы не выбрал, чем выбрал. Но окупила все цена. Если брать в процентах:

  • 33/46*100% = 28,1% — катастрофическая разница для Альфы, которая побудила искать альтернативные предложения
  • 33/39*100%= 15,3% — приемлемая разница для менее «репутационного» игрока.

Что же, настало время сделать промежуточные выводы:

  1. За хорошее и привычное мы готовы переплачивать до 20% стоимости.
  2. Видимо, существуют какие-то особые случаи, когда производитель закладывает 40% на свой гудвил. Видимо, надо быть Apple, чтобы у тебя такое покупали.
  3. Мы скорее выберем небрендированный товар или с худшей репутацией, если он дешевле на 15% и более процентов.

Разумеется, это лишь вступление в тему. Надо, как говорится, еще перейти из b2c в b2b сегмент. Но, думаю, общие контуры экстраполируются и туда. Но это уже в другой раз.

Любите обзоры из серии «3 года спустя»?..

…Как люблю их я? Вообще, в литературных жанрах и публицистике у меня не много фаворитов. Например, я крайне редко читаю обзоры, особенно после премьеры/релиза. Там два варианта: либо все херня, либо понравилось так, что второй куплю. При том, что и те, и другие могут быть проплачены для пиару.

infosek_2В журналистике мне очень нравятся материалы из серии «N лет спустя», особенно, когда автор рассказывает о своих ожиданиях и их реализации. Именно поэтому всякие модные штуки должны пройти проверку временем. Вот был BYOD, и где он сейчас? Можно с чистой совестью сказать, что проверка временем не пройдена.

А тут и мне представился шанс поучаствовать в таком формате. 21 сентября, в среду, с 15-05 в зале K1 на Infosec буду делиться своими горестями и радостями по экономической оценке. Три года назад, на круглом столе, я представлял нашу методику, которая добралась до релиза.

Три года мы были в свободном плавании. За это время улучшилась концепция и методика, реализованы проекты, вскрылись концептуальные проблемы. Понятно, за 20 минут не сделаешь даже введения в проблематику, а о чем-то и не буду рассказывать, ибо коммерческая тайна. :) А то три года назад наши гуру раскритиковали все и вся, т.к. не было показано главной формулы. :)

Так что приглашаю всех желающих окунуться в мир цифр рисков информационной безопасности.

P.S. А в конце недели, 23 сентября, буду на BISS-саммите. Туда я все-таки пролез как участник кибербаталий. Буду заниматься дегустацией еды :)

biss

Темы битвы: почему не растут угрозы?

Эх, давно не писал. Сильно скучал я по этому делу. Как вы знаете, меня рекрутировали за корзину печенья и банку варенья участвовать в Кибербитве. Неожиданно, но я даже победил. Говорят, все любят андердогов и сравнивали меня с Исландией :)

before

На мероприятии было довольно интересно, но были и свои минусы:

  1. Крайне мало времени на вопрос, что является следствием большого количества вопросов, достаточно 3-4.
  2. Олег, не стоит менять тему за день до битвы. Уж не знаю, откуда там взялись роботы.
  3. Общее голосование вместо раундового.
  4. Крайне неудобно смотреть, нет чатика, не работает капча (!!) в форме вопросов.

Т.к. времени было немного, а позиция моя по многим вопросам была крайне неортодоксальной, я решил полнее раскрыть тему. И сегодня про угрозы.

Кстати, кто пропустил — полная версия:

Тема 1. Какой будет динамика роста внутренних угроз в ближайшее время?

Динамика будет нулевая. За всю новейшую историю информационной безопасности мы создали огромный и страшный маркетинговый пузырь угроз. Чем страшнее, тем проще нам было выбивать бюджеты (внутренние и внешние) и вообще обосновывать свою нужность (хотя с этим у нас до сих пор серьезные проблемы). Но уже пару лет это не работает.

По сути, роста внутренних угроз не происходит. Если взять классическую формулу риска, то в ней вообще нет угроз (и тем более уязвимостей), которыми мы так привыкли пугать директоров в СМИ и на конференциях. Классическая формула из ISO:

Величина риска = вероятность события * размер ущерба

где

Вероятность события = вероятность угрозы * величина уязвимости

сделав подстановку, получаем

Величина риска = вероятность угрозы *величина уязвимости* размер ущерба

Классическая схема рисков ИБ

Классическая схема рисков ИБ

Как видим, угрозы и уязвимости — это переменные второго порядка. Это такие переменные, которые могут быть неважны, если известна величина первого порядка. Например, вероятность попасть в авиакатастрофу составляет 0.00001% (вероятность события). И уже не важно, вследствие каких угроз или уязвимостей это произошло – теракты, ошибки и т.п. Все отрасли работают с вероятностью события, мы же зарываемся все глубже и глубже. Например, страховщики уже давно все посчитали и создали даже свой раздел математики (актуарная математика).

При этом под «вероятностью угрозы» здесь понимается likelihood (а не классическое probability), что тоже переводится как вероятность, но характеризуется частотой реализации угрозы за определенный период времени. Крайне не надежная величина.

Величина уязвимости – вероятность того, что угроза будет реализована с помощью данной конкретной уязвимости. Т.е. вполне может быть, что супер-пупер критичная уязвимость может никогда не реализоваться.

Неутешительный краткий вывод можно сделать следующий. Мы сами сильно преувеличиваем значение уязвимостей (как причину реализации конкретных угроз). На этом преувеличении мы пытаемся породить множество страхов в своих умах, и умах бюджетопридержащих. И это подвело нас к пропасти, к которой мы делаем гигантские шаги вперед.

Говоря «нас», я говорю о группе под самоназванием «поИБэ». Это вендоры, интеграторы, заказчики, множество специалистов разных направлений, к коей я тоже себя отношу. Осознать и открыто выразить свою принадлежность к некоей группе, неизбежно отрекаясь при этом от принадлежности ко многим другим группам, — не шутка. Мы (современные люди) принимаем такие решения ежеминутно.

Например, можно заметить, что в основе этих решений часто лежат не логические умозаключения, а эмоции. «Мы животные» звучит обидно. Многие готовы долго и яростно доказывать, что это не так, что люди не животные. «Мы обезьяны» — совсем уж вызывающее заявление, от которого попахивает нигилизмом и общественным вызовом. При этом фразы «мы млекопитающие», «мы позвоночные», «мы многоклеточные» воспринимаются спокойно.

Между тем с биологической точки зрения все эти утверждения одинаково верны. Вот несколько разных «мы», узаконенных современной биологической наукой. Мы многоклеточные. Мы эукариоты. Мы жгутиковые. Мы животные. Мы вторичноротые. Мы хордовые. Мы позвоночные. Мы челюстноротые. Мы четвероногие. Мы амниоты. Мы синапсиды. Мы млекопитающие. Мы плацентарные. Мы приматы. Мы обезьяны (или, что то же самое, антропоиды). Мы узконосые обезьяны. Мы человекообразные обезьяны, или гоминоиды (по-английски apes). Мы большие человекообразные обезьяны (great apes). Мы большие африканские человекообразные обезьяны (african great apes). Наконец, мы люди.

В наследство от наших предков и родичей нам досталось три основные доминанты поведения (мотивов) (в порядке убывания):

  • еда
  • размножение
  • доминантность

(кстати, если вы адепт Пирамиды Маслоу – вам надо пересмотреть свои взгляды).

И именно это мы упустили, когда кинулись надувать наш пузырь страха. А теперь не понимаем, почему нас задвигают подальше. Посмотрим, как в связи с этим меняется наша картина ИБ рисков на реальные риски.

Классическая схема риска

Классическая схема риска

Упс. Оказалось, что субъект, воздействуя через свои доминанты на объект (защищаемую информацию, активы, любую ценность), уже имеет полное множество (или пространство) причин, которое может реализовать огромным числом способов. И наши уязвимости поИБэ — всего лишь капля в море (переменная второго порядка). У нас ведь как? Придумают новую технологию — и давай в ней уязвимости новые перечислять. По сути, этот взбалтывание крайне незначительных (бесконечномалых) факторов в глобальной сфере рисков (помните про авиакатастрофы?).

Через данные доминанты можно выразить любое поведение человека от альтруизма до похуизма. И это мы еще не затронули наш великий разум (большие лобные доли), который еще меньше оставляет места для наших угроз.

Например, на данной битве было два мотивированных человека: Олег с точки зрения доминирования и Дима с мотивом еды (победителя покормят на BISA Summit). Понятно, что при прочих равных Олег не будет тыкать Диме ручкой в глаз. В то время как Диме отступать некуда.

Например, в нашей отрасли сейчас кризис. Увольнения, задержки зарплаты и т.п. Из наших вендоров и интеграторов уже вынесли все более или менее ценное. От клиентов до листов рассылки для спама. Голодный человек обойдет наши CPB и глазом не моргнет. Тогда зачем мы?

В поИБэ мы ставим способ реализации во главу угла. Все наши ЧМУ пестрят действиями (например, Кража носителей информации или Установка ПО, не связанного с исполнением служебных обязанностей), а субъектам уделяем 3 абзаца в модели нарушителей. Мы ставим DLP и не знаем, что ответить на вопрос заказчика – а от фотографирования экрана защищает?

Не даром ни одно внедрение СЗИ не может обойтись без оргмер. Зачем ломать сложный пароль, если можно подсмотреть?

Вывод напрашивается неутешительный. В маркетинговой погоне за страхом (не только со стороны вендоров, но и внутри заказчиков), мы так давили на эти страхи, что нас раскусили и больше не боятся (читай — дают все меньше денег, т.к. не удается доказать бизнесу значимость этих бесконечномалых величин. Надо отпрыгивать от пропасти.

P.S. Уже стал известен мой оппонент по полуфиналу — Эльман Бейбутов из Solar. Мой прогноз: мне надерут задницу. Ведь в Solar работает больше 100 человек. Но я буду биться.

Хотите это видеть? Поставьте напоминалку.

Искусство задавать вопросы, или ключ к экономической оценке

БухгалтерВы спросите: «Дима, что ты втираешь нам какую-то дичь про Чингисхана и бани? Давай ближе к делу!». «Не все сразу», отвечу я. Вообще, удивительно, как люди относятся к финансовой оценке чего-либо, не говоря уже об оценке информационной безопасности. Будто это что-то сакральное.

Помнится, в 2013 году, на круглом столе у Алексея Лукацкого, когда я представлял метод оценки эффективности проектов по информационной безопасности, все вокруг говорили, что оценивать ИБ в деньгах — это очень сложно. Это просто неподъемная задача, и т.д. и т.п. Вообще, вся та выставка (а был это Infosec) была просто помешана на экономических показателях. К сожалению, дальше ROI (возврат инвестиций, который вообще к безопасности не применим) никто не ушел. На стенде у StoneSoft на слайде увидел NPV (чистая приведенная стоимость). До сих пор популярно мнение, что все пусть оценивают, что хотят, а нашу родную безопасность будем оценивать качественно и только так. Да и закончим с лирическим вступлением.

Как вы поняли по вступлениям (это которые про монголов и бани, а не про Лукацкого), ключевым понятием в оценке является корректность постановки вопроса. Помните, как в институте говорили? Вопрос — это половина ответа. Так и у нас.

Разберем пример. Пример будет на общую тематику. Как и в любом пособии, сначала надо понимать общую концепцию (оценка), а потом уже переходить к специализации (оценка безопасности).

Аккурат 30 ноября обратился ко мне хороший человек. Этот человек был инвестором, и хотел он вложиться в один старт-ап. У него были деньги, но он не мог определить, стоящее ли дело или нет? Обсудив условия работы и цену (как всегда надо быстро и просто), мы договорились об экспресс-анализе, и я стал общаться с разработчиком. Тема не шибко мне близкая – ресторанный бизнес, поэтому я мог сделать лишь негативный расчет.

В оценке чего угодно есть три варианта:

  • оптимистичный (или позитивный) – это когда нам прет не по-детски и все складывается самым удачным образом. Это наш потолок. Все, чего хотелось желать. Такого практически никогда не бывает. Если вы развиваетесь по оптимистичному варианту, значит вы упустили перспективные возможности развития.
  • пессимистический (или негативный) – это когда мы прикупаем два туза на мизере. Это наше дно. Катастрофа, мы просчитались, где могли, и балансируем на грани пропасти. Такое тоже редко бывает.
  • реалистичный — какая-то середина между позитивом и негативом. 95% всех оценок попадают сюда. Для простоты будем считать реалистичный вариант арифметическим средним между крайними вариантами (лишняя математика нам сейчас ни к чему).

Отдельно я выделяю понятие форс-мажора — это когда все не задалось настолько, что уже проще закрыться, чем мучиться. Некоторые смешивают это понятие с пессимистичным сценарием.

Поговорив с разработчиком и посидев 3 часа, выдал результат (обезличил, убрал расчеты и всякое конфиденциальное):

Экспресс_анализ_бизнес-плана

Как видите, все вопросы стандартные – посчитать инвестиции, TOS, точку безубыточности, пара шаманств — и готово. «Что за дичь?», – спросите вы – «Где конкретика?». Дьявол, в деталях. Конкретно здесь было сложно учесть специфику ресторанного бизнеса (а, говоря по-нашему, риски. Забегая вперед, скажу, что вся оценка информационной безопасности — это и есть специфика конкретного бизнеса):

  • расположение и проходимость;
  • средний чек;
  • меню и логистику.

Но все это просто делается даже просто в гугле, а если уж есть доступ к спецданным, то вообще легко. Главное что? Правильно, грамотно ставить вопросы. Расскажу только об одном, иначе это затянется.

Меню. Все накладные расходы (аренда, люди, коммуналка и т.п.) – это простые (линейные) параметры. Бери и умножай. А вот меню зависит от кучи параметров, которые мало того, что надо купить, так еще и привезти. Меню — вещь довольно сложная, там блюдо может состоять на 90% из овощей стоимостью 10 рублей, и 10% мяса стоимостью 900 рублей. Тут уже без разработчика (или говоря обще – владельца ресурса или информации) не обойтись. Получив от него данные, задача из нелинейной превратилась в линейную (бери и умножай).

Счетовод

И в заключении. Вы всегда сможете посчитать негативный вариант, и именно в этом ваша цель. Берите самые высокие расценки, самые плохие условия, годы вместо дней. Если вы будете понимать дно, то легче найдете потолок.

И тогда вы сможете уже переходить к сложным вопросам. Например, есть средство защиты от DDOS, годовая стоимость обслуживания 30 миллионов долларов. Надо ли оно нам? :)

Вот такая работка была у меня в начале месяца. Всего вам доброго.

Введение в экономику безопасности (пример)

В прошлый раз я рассказывал о вопросах, волнующих меня по поводу татаро-монгольского Ига. А сегодня поговорим о другом вопросе.

Счетовод

Поехали

Собственно, вопрос я поставил так — Как часто мылись в банях русские крестьяне?

Причиной этому послужил огромный спектр свидетельств и мнений — от того, что крестьяне вообще не мылись, до того, что русские были чистоплотней всех просвещенных европейцев вмести взятых.

Будем считать, что в банях моются лишь в холодный период времени. Летом можно и в речке помыться или под дождичком поскрестись. С поправкой на суровость климата в средней полосе России в то время примем холодный период, равный шести месяцам. Т.е. 6 месяцев мылись в банях, а в остальное время как-то по-другому.

Что такое баня? Традиционные русские бани (деревенские) делятся на:

  •  Бани, отапливаемые «по-чёрному», имеют открытый очаг, который прогревает не только камни, но и стены бани. Дым от очага выходит через дверь или отдушину в потолке. Обычно в ней есть каменка из валунов-окатышей и котёл для горячей воды. Протапливается дровами, предпочтительно лиственных пород (например, берёзовыми). При неправильной топке баня «горчит». Древесина внутри бани сильно коптится, в результате стены бани — тёмного цвета, но это также служит целям дезинфекции помещения бани.
  • Бани, отапливаемые «по-белому», бывают различных конструкций. В такой бане обязательно имеется каменная, кирпичная или металлическая печь с баком для нагревания воды. Такая баня требует для натапливания больше дров, однако намного проще и приятнее в эксплуатации. Такую конструкцию имеют и современные индивидуальные бани.
  • Баня внутри русской печи. Печь протапливается, в чугунах нагревается вода. После топки с пода печи убирается зола и насыпается солома. Жар сгребается в угол печи. После этого можно мыться, забравшись в печь и даже осторожно париться веником, чтобы не натаскать на себя сажи. Вероятно, отсюда происходит украинское название бани — «ла́зня»

Усредним эти данные, и будем представлять баню как помещение с источником тепла (печкой), нагретое до 80-100 градусов для пара (и до 40 градусов для воды), и где, кроме всего прочего, греют воду.

Сколько же потребуется дров, чтобы попариться в бане? Так, как это представляется в обществе — с троекратным заходом в парилку, с купанием в снегу (или обливанием холодной водой)?

На даче у меня есть печка-буржуйка. Чтобы в течение 4 часов там поддерживать приемлемую температуру (от 28 до 18 градусов), ее необходимо растопить приблизительно 10 паленьями (2 кг дров), и затратить на это около двух часов. Т.е. мы получаем 6 часов тепла.

Чтобы на моей буржуйке добиться искомых 80-100 градусов, потребуется в 3 раза больше времени и дров (будем считать зависимость линейной). Итого 6 часов и 6 кг дров, чтобы подготовить баню. Собственно, время не расходится с нашими представлениями. Нам известно, что баню надо предварительно протопить, это занимает определенное время. Скорректируем для простоты счета — уменьшим время до реального (2 часа), а количество дров увеличим до 10 кг. Расход современных печек подтверждает наш расчет (аналитический расчет сошелся с фактическим).

В итоге, чтобы вся деревня в 100 человек могла помыться в бане хотя бы раз в месяц (по 5 человек в бане), в год потребуется:

20партий*6месяцев*10 кг= 1200 кг дров

Могли ли крестьяне позволить себе потратить 1200 кг дров суровой русской зимой на помывку? Это с учетом, что надо еще и свои избы отапливать? Могла ли помывка в банях носить повсеместный характер? На мой взгляд, не могла. Помывка в банях носила скорее характер лоскутный.

P.S.: Есть мнение, что тонна дров — это приемлемая величина для заготовки на зиму на помывку. Если так рассматривать (люди ведь разные, силы у всех разные), то да – могли мыться и раз в неделю (тогда число дров увеличивается всего до нескольких тонн – 4-5).

P.S.S.: Если исходить из моих расчетов, то в деревнях могли мыться и каждую неделю. Заковырка оказалась в интерпретации результатов. Благодарность всем, кто топит бани, заготавливает дрова и поделился со мной знаниями по этому поводу.

Введение в экономику безопасности

Тяга к знаниямОт природы я человек любопытный. Любопытство мое неактивное, носит созерцательный характер. Не, я тоже любил разбирать все и смотреть, как оно устроено. Но не более, пальцы в розетку не совал. Один раз только попробовал запитать тетрис, намотав проволоку на контакты и сунув в розетку :)

Мой метод исследования — это «оказаться в нужном месте в нужное время». Посмотреть, как оно работает, увидеть какое-то редкое явление, завалить вопросами по предмету. Т.е. для меня первичен объект. Как разберемся с внешним объектом, так можно уже лезть внутрь — разбираться. А кто-то действует по-другому, например, разнообразные вивисекторы (это которые режут по живому, а потом исследуют как оно там).

Основой в моем любопытстве является простое соображение — вокруг полно информации. Если ее уметь обрабатывать, можно приблизиться к пониманию и уже делать какие-то выводы. На этом, кстати, и строится измерение безопасности.

Если учесть, что каждый объект обладает всей информацией о самом себе, информационный поток походит на шквал — утонешь и не всплывешь. С какого краю браться? Чего искать? Потому и ценится так искусство исследователя.

В чем залог успеха хорошего исследования? В умении правильно задавать вопросы. В основном себе, и уже на это рыть информацию.

Когда-то давно я ознакомился со знатной книжкой «Фрикономика. Мнение экономиста-диссидента о неожиданных связях между событиями и явлениями» (вторая часть не очень), за авторством Стивена Д. Левитта и Стивена Дж. Дабнера. Авторы доступным языком показывают необходимость вопроса при исследовании и обработке больших объемов данных на простейших бытовых примерах. Учат смотреть на вопросы с экономической точки зрения. Например, почему торговцы наркотиками продолжают жить со своими родителями? Всем рекомендую.

И вот я задался двумя новыми вопросами. Оба связаны с историей нашего народа.

Первый вопрос

Первый вопрос у меня связан с татаро-монгольским игом. Как много татаро-монгол могло прийти на Русь?

ЧингизханОбычный воин Орды — это всадник, с пикой и луком. Одна лошадь должна съедать в день до 14 кг корма (для легкой нагрузки зимой), уменьшим это количество до 10 кг для простоты счета (и скинем на мелкокостность монгольских лошадей).

Поэтому я не думаю, что монголы смогли бы собрать миллион воинов (или сколько там в учебниках пишут?). Что более вероятно? Чингизхан мог собрать под свои знамена примерно до 95 тыс. воинов. С поправками будем считать, что для похода на Русь и Европу (которую мы героически защитили от этой угрозы) монголы собрали 200 тыс. человек (150 тыс. всадников + 50 тыс. пеших с обозом и обслуживающим персоналом).

150 тыс. всадников — это минимум 150 тыс. лошадей, не считая запасных, которых надо минимум еще по одной. Таким образом, имеем 300 тысяч лошадей (это по минимуму), которые должны съедать до 3 миллионов кг корма в день или 300 тонн в день.

Здесь бы хорошо прикинуть, сколько корма произрастает на одном гектаре. Но тут у нас хуже всего, поэтому будем оценивать по траве Кинельская 100: урожай зеленой массы 30 т/га, семян 1,5 т/га. Уменьшим до 10 т/га исходя из следующих соображений: 1) это культивируемая трава, и в реальности растет не так бурно; 2) трава в степях немного не такая, как в полях, а в лесах ее совсем нет. Так что примем это как нашу экспертную оценку.

Т.е. весь этот огромный табун должен был пастись на 30 гектарах каждый день – не так плохо. Если монгол было миллион — то это 150 га в день. Много это или мало? Сложно сказать, для одного дня не особо много (100 га равно 1 квадратному километру). А если считать все стоянки? Обоз опять же не самый мобильный юнит – не однозначно все как-то. А еще зима в Сибири бывает, тогда уж травы не особо много.

Кто подскажет, сколько официально в летописях пишут численность Орды? Могли ли монголы дойти до Европы? А доходили ли они до Руси? Ведь война – это прежде всего обеспечение, фураж и походы, в иных войнах до прямых боев может и не доходить.

Во такой вопрос у меня возник :)  А про второй вопрос расскажу как-нибудь в другой раз.

Пролез: Оценка эффективности проектов по информационной безопасности в компании.

Пролез: Открытая безопасностьВ этой программе мы поговорим с Дмитрием Дудко на тему Оценки эффективности проводимых проектов ИБ в компании.

Зачем нужна оценка эффективности реализуемых проектов ИБ в компании?

Как посчитать эффективность работы отдела ИБ в компании?

Как сформировать правильные KPI?

Почему не рассчитывают в деньгах эффект от внедрения СЗИ?

Примеры необходимости количественной оценки.

Как лучше проводить оценку? Своими силами или внешними аудиторами?

Какие отрасли могут опираться на риски при планировании своих векторов развития в ИБ?

0-day запись

Приветствую.

Меня зовут Дудко Дмитрий, и я занимаюсь безопасностью. А, если быть точнее, то информационной безопасностью. Делаю я это давно и в ближайшее время не собираюсь останавливаться. А уж в последнее время, как стал оценивать риски и факторы безопасности с точки зрения эффективности и денег, то «туши свет, кидай гранату» — с этого мне уже не свернуть. :)

Как что бывает у специалистов, со временем накапливается объем знаний, требующий систематизации. И уже на базе данных знаний необходимо производить синтез нового. Именно для этого и будет данный сайт. Думаю, это поможет молодым людям, которые решили выбрать информационную безопасность своей специальностью.

Здесь вы не найдете самых последних новостей. Здесь не об этом, новости выходят каждый день, и есть специальные люди, которым платят за их ретрансляцию.

Этот сайт обо мне, информационной безопасности и персональных данных, экономической оценки и операционных рисках.

Надеюсь, мы станем добрыми друзьями.