Wie beurteilen Sie die Rentabilität der Implementierung eines teuren Systems und begründen Sie das Budget gegenüber dem Management?

Published on January 14, 2019

Wie beurteilen Sie die Rentabilität der Implementierung eines teuren Systems und begründen Sie das Budget gegenüber dem Management?

    - Wir sollten eine Kuh kaufen ...
    - Wir sollten, aber wo können wir das Geld bekommen?
    „Drei aus Prostokvashino“


    Bild

    Damit Ihr Gespräch mit der Geschäftsführung über die Notwendigkeit des Umsetzungsprojekts nicht auf diesen kurzen Dialog aus der Karikatur hinausläuft , müssen Sie im Voraus ein Argument vorbereiten. Seit vielen Jahren beschäftigen wir uns mit der Implementierung von Zugangskontrollsystemen (Zutrittskontrollsystemen, Zutrittskontrollsystemen, IdM). Während dieser Zeit haben wir in der Kommunikation mit Kunden verschiedene Methoden zur Rechtfertigung von Budgets kennengelernt. Heute haben wir diese Hacks in einem Artikel zusammengefasst. Under the cat - eine schrittweise Anleitung und Beispiele für Formeln zur Berechnung der Amortisationszeit, zur Verbesserung der Betriebseffizienz und der Gesamtbetriebskosten. All dies wird am Beispiel der IdM-Implementierung betrachtet, aber die allgemeinen Prinzipien gelten für fast jedes IT-System.

    Jede Begründung sollte den erwarteten Nutzen der Umsetzung in Form konkreter Zahlen enthalten. Im Fall von IdM können ein oder mehrere Kriterien aus der folgenden Liste herangezogen werden:

    1. verbesserte Leistung;
    2. Verringerung des Risikos von Vorfällen im Zusammenhang mit der Informationssicherheit;
    3. Einhaltung behördlicher / industrieller Standards;
    4. Unterstützung der aktuellen Organisationsstrategie.

    Wenn der Prozess der Budgetbegründung in einem Unternehmen nicht sehr streng formalisiert ist, können allgemeine Überlegungen zur Koordinierung ausreichen. In der Regel muss das Management jedoch noch alles in ein Bargeldäquivalent umwandeln und die Zeit für die Rückzahlung angeben.

    Sehen wir uns genauer an, auf welche Vorteile Sie sich verlassen können, um das IdM-Implementierungsprojekt zu rechtfertigen, und wann bzw. wie Sie sie verwenden.

    Leistungsindikatoren

    verbessern Die Implementierung von IdM kann in der Tat viele Leistungsindikatoren verbessern. Reduzieren Sie beispielsweise den Fluss von Anwendungen für die manuelle Bereitstellung des Zugriffs auf Mitarbeiter und beschleunigen Sie deren Ausführung. Reduzieren Sie den Zeit- und Arbeitsaufwand für die Vorbereitung von Daten für Prüfer oder Informationssicherheitsdienste. Minimieren Sie die Anzahl der Anfragen für technischen Support bezüglich des Status von Zugriffsanfragen.

    Zur Beurteilung der Steigerung der Betriebseffizienz werden üblicherweise folgende Indikatoren verwendet:

    1. Ausfallzeiten der Mitarbeiter für die Einstellung von Mitarbeitern, deren Zugang zu Informationssystemen noch aussteht.
    2. Die Anzahl der Vorgänge für die Verwaltung von Benutzerkonten, die mit der Einstellung, Entlassung, Übertragung von Positionen und anderen Anfragen von Mitarbeitern verbunden sind.
    3. Die Anzahl der Supportanrufe, die sich auf den Status der Anforderungen für den Zugriff oder die Änderung von Kennwörtern in Informationssystemen beziehen.
    4. Die Zeit, die zum Sammeln von Daten zu Mitarbeiterzugriffsrechten erforderlich ist, z. B. während eines Audits oder auf Anforderung eines Sicherheitsdienstes. Manchmal kann eine einfache Sammlung von Informationen darüber, wo ein Mitarbeiter Zugriff hat, mehrere Tage dauern.
    5. Die Zeit, die IT- und Informationssicherheitspersonal benötigt, um die Zugriffsrechte ihrer Mitarbeiter zu überprüfen. Diese Maßnahme wird durch eine Reihe von Standards bereitgestellt, um die Redundanz der Zugriffsrechte zu verringern, in Wirklichkeit wird sie jedoch aufgrund der sehr hohen Arbeitsintensität fast nicht durchgeführt. In einer Organisation mit 10.000 Mitarbeitern dauert es beispielsweise ungefähr 1 Tag pro Mitarbeiter.

    Bei der Rechtfertigung der Verbesserung von Leistungsindikatoren ist es wichtig, dass diese Indikatoren aussagekräftig sind, damit sie sich eindeutig auf die Geschäftsprozesse auswirken. Bei einer großen Fluktuation ist es beispielsweise wichtig, die Frist für die Ausstellung von Berechtigungsnachweisen zu verkürzen und die Ausfallzeiten eines neuen Mitarbeiters zu verkürzen.

    Der einfachste Weg, Finanzkennzahlen in Leistungskennzahlen zu übersetzen, ist die Nachimplementierung. Dementsprechend muss berechnet werden, wie viel „es kostet“, den Zugang vor der Einführung von IdM bereitzustellen, und wie viel - danach.

    Berechnung der Kosten für die Zugriffskontrolle vor der Implementierung von IdM

    Wir werden die Berechnungsprinzipien anhand eines theoretischen Beispiels betrachten. Wenn Sie jedoch das Budget begründen, sollten Sie Indikatoren verwenden, die die Realitäten einer bestimmten Organisation beschreiben. Angenommen, ein Unternehmen beschäftigt 10.000 Mitarbeiter. Um die Kosten der Zugangskontrolle abzuschätzen, verwenden wir zwei Indikatoren:

    1. Ausfallverluste von Mitarbeitern, denen nicht rechtzeitig Zugriffsrechte gewährt wurden;
    2. die Kosten für die Ausführung von Anträgen auf Zugang.

    Hier können Sie auch die „Kosten“ für die Prüfung und Überarbeitung der Zugriffsrechte von Mitarbeitern auf Informationssysteme berücksichtigen. Dies sind jedoch spezifischere Anforderungen, die nicht jedes Unternehmen hat. Der Einfachheit halber werden wir sie hinter den Kulissen belassen.

    Ausfallzeitenverluste

    von Mitarbeitern Um Ausfallzeitenverluste von Mitarbeitern abzuschätzen, verwenden wir einen Fluktuationsindikator, der den durchschnittlichen Prozentsatz der Mitarbeiter angibt, die das Unternehmen im Laufe des Jahres verlassen und durch neue Mitarbeiter ersetzt werden müssen. Dies gibt uns die durchschnittliche Anzahl neuer Mitarbeiter pro Jahr, die Zugriff auf Informationsressourcen benötigen, damit sie ihre Arbeit vollständig ausführen können.

    Abhängig von der Branche des Unternehmens und der Art der Tätigkeit bestimmter Spezialisten kann das Umsatzniveau erheblich variieren.

    Bild
    Statistik Rekrutierungsunternehmen Antal Russland

    Nehmen wir an, unser Unternehmen arbeitet im Bereich Logistik und die Fluktuation beträgt 25%. Daher müssen wir 2500 neuen Mitarbeitern pro Jahr Zugriffsrechte gewähren.

    Im nächsten Schritt müssen wir die durchschnittliche Zeit berechnen, in der neuen Mitarbeitern der Zugang zum IS gewährt wird. Abhängig von der Größe der Organisation und der Verfügbarkeit eines regionalen Netzwerks kann diese Zahl zwischen 1 Tag und 2 Wochen variieren. Nach unserer Erfahrung liegt der Durchschnitt für den Markt bei 3 Arbeitstagen, daher werden wir ihn verwenden.

    Als nächstes müssen wir die Höhe der Unternehmensverluste aufgrund der Ausfallzeiten eines Mitarbeiters schätzen. Hier ist wie gesagt alles sehr individuell. Das Schadensvolumen kann in hohem Maße vom Umfang des Unternehmens, von der Region der Präsenz, von der Größe des Unternehmens und sogar von der Position des Arbeitnehmers abhängen. Beispielsweise ist der fehlende Zugang zu Informationssystemen für einen Mitarbeiter des technischen Supports mit hundertprozentigen Ausfallzeiten behaftet. Und die Effektivität der Arbeit des ACS-Managers, der die lebenswichtigen Aktivitäten des Unternehmens in vielerlei Hinsicht ohne den Einsatz von IP sicherstellen kann, wird den fehlenden Zugang natürlich nicht so dramatisch beeinträchtigen. Damit wir nicht der Exzesse vor Ort beschuldigt werden, gehen wir von durchschnittlich 50% aus.

    Um die Verluste von inaktiven Mitarbeitern beim Warten auf die erforderlichen Rechte zu berechnen, müssen auch die durchschnittlichen „Mitarbeiterkosten“ für die Organisation ohne Berücksichtigung von Prämien und Gemeinkosten ermittelt werden. In unserem Beispiel sind dies 69570,64 Rubel. In einem Monat, einem Durchschnitt von 20-21 Arbeitstagen, das heißt, die Kosten für die Arbeitnehmerentlohnung betragen durchschnittlich etwa 3.313 Rubel pro Tag.

    Also überlegen wir. Oben haben wir angegeben, dass die Gewährung von Zugriffsrechten 3 Arbeitstage dauert, in denen der Mitarbeiter mit 50% Effizienz arbeitet. Das heißt, 3,747 * 3 * 0,5 = 4969,5 Rubel. Das Unternehmen verliert aufgrund der Ausfallzeit eines neuen Mitarbeiters. Es gibt 2500 von ihnen in einem Jahr, das sind insgesamt 12423 750 Rubel.

    Kosten für die Ausführung von Zugriffsanträgen

    Um die Kosten für die Ausführung von Zugriffsanträgen abzuschätzen, verwenden wir die folgenden Indikatoren:

    1. Die Anzahl der Fachleute, die Anwendungen für den Zugriff ausführen. In unserem Beispiel sind es 50 Personen.
    2. Der Prozentsatz der Arbeitszeit, die sie dieser Aufgabe widmen, beträgt beispielsweise 25%.

    Basierend auf dem nationalen Durchschnittsgehalt des Bruttos eines solchen Spezialisten (79.718,39 Rubel) stellen wir fest, dass das Unternehmen 79.718,39 * 12 * 50 * 0,25 = 11.957.758,5 Rubel pro Jahr für die Ausführung von Anträgen ausgibt.

    Alternativ können die durchschnittliche Anzahl von Anforderungen (häufig können diese Informationen vom Service Desk-System abgerufen werden), die durchschnittliche Ausführungszeit einer Anwendung und die geschätzte tatsächliche Ausführungszeit als Grundlage für Berechnungen verwendet werden. In diesem Fall sollten die Berechnungen für jeden Systemtyp separat durchgeführt werden, da sie stark variieren können. Das Bereitstellen des Zugriffs auf Active Directory dauert beispielsweise 5 bis 10 Minuten. Diese Art des Zugriffs ist jedoch für alle Mitarbeiter des Unternehmens erforderlich. Der Zugriff auf die SAP-Landschaft kann 20 bis 30 Minuten dauern, aber nicht jeder benötigt einen solchen Zugriff.

    Als Ergebnis erhalten wir eine Schätzung dieser Kosten. Nach unserer Berechnung waren es etwas mehr als 26 Millionen Rubel (siehe Tabelle 1).

    Bild

    Berechnung der Kosten für die Zugangskontrolle nach der Implementierung von IdM Um

    die Amortisationszeit des Projekts abzuschätzen, muss der erhaltene Betrag mit der Bewertung ähnlicher Kosten nach der Implementierung von IdM sowie den Kosten für die direkte Implementierung und Wartung des Systems verglichen werden.

    Die Kosten für die Implementierung von IdM für ein bestimmtes Unternehmen werden von Ihnen als Anbieter oder Integrator berücksichtigt. Nach unseren Schätzungen wird die Einführung des IdM-Systems in einem Unternehmen mit durchschnittlich 10.000 Mitarbeitern das Unternehmen 25 Millionen Rubel kosten. ohne jährliche technische Unterstützung.

    Lassen Sie uns nun abschätzen, wie sich unsere Kosten nach der Einführung von IdM ändern werden.

    Zunächst berechnen wir den Prozentsatz der Zugriffsrechte, die das IdM-System den Mitarbeitern gewährt. Wenn eine Organisation über eine grundlegende Berechtigung verfügt, die den Mitarbeitern bei der Einstellung zugewiesen wird, stellt IdM diese in der Regel automatisch zur Verfügung. Nehmen wir aber einmal an, dass IdM nicht die gesamte Grundausstattung bereitstellt, sondern nur 80%. Wenn ein Jahr verlor das Unternehmen 12.423.750 Rubel. Aufgrund von Ausfallzeiten von Mitarbeitern, die auf Zugriffsrechte warten, reduziert sich dieser Betrag um 80% und beläuft sich auf 2.484.750 Rubel.

    Lassen Sie uns nun abschätzen, wie viel Prozent der Anwendungen das IdM-System ohne menschliches Eingreifen automatisch ausführen kann. Erfahrungsgemäß können Sie alle Anwendungen für den Zugriff auf das System zu 100% automatisieren, wenn es über einen Connector mit dem IdM verbunden ist. Dies erfordert jedoch viel Arbeit, um einen Katalog der Funktionsfähigkeiten für jede Vollzeitrolle zu erstellen, sodass der durchschnittliche Prozentsatz der automatisch ausgeführten Anwendungen in der Realität geringer ist - ebenfalls bei etwa 80%. Nehmen wir eine Änderung vor, wonach nicht alle Informationssysteme über Konnektoren mit IdM verbunden werden und wir diese Zahl auf 50% senken. Dementsprechend sinken die Kosten für die Bereitstellung des Zugangs von 11.957.758,5 Rubel. bis zu 5.978.879,25 Rubel.

    Nach der Einführung von IdM werden die gleichen Prozesse im Zusammenhang mit der Zugangskontrolle das Unternehmen 15.917.879,25 Rubel pro Jahr billiger kosten. und wird sich auf 8.463.629,25 Rubel belaufen. Gleichzeitig erhöhen sie jedoch die Kosten für den technischen Support. Angenommen, ein Unternehmen weist einen einzelnen Mitarbeiter für diese Aufgabe zu. Die Kosten für die Arbeit des Spezialisten sind Tabelle 1 zu entnehmen (Berechnung der Kosten für die Zugangskontrolle), d.h. 79 718,39 reiben. Es stellt sich heraus, dass ein Jahr etwa 956.620,68 Rubel benötigt, um IdM zu unterstützen. und die Gesamtkosten werden 9 420 249,93 Rubel betragen.

    Wenn sich die Kosten für die Implementierung des Systems auf 25 Millionen Rubel belaufen, belaufen sich die Zuweisung eines Spezialisten zur Unterstützung des Systems, 80% der automatisierten Vergabe von Einstellungsrechten und 50% der Anträge auf Zugang für das gesamte Unternehmen auf die Amortisationszeit ab Inbetriebnahme des Systems wird etwas mehr als eineinhalb Jahre dauern (siehe Tabelle 2).

    Bild

    Manchmal werden für diese Art der Begründung Analyseberichte verwendet, die hauptsächlich von ausländischen Analysten stammen. Sie liefern einige Zahlen zur Wirksamkeit der Systemimplementierung. So versprechen Berichte, dass die Zeitersparnis der IT-Mitarbeiter mit IdM 14%, die Anzahl der Supportanrufe im Zusammenhang mit dem Zugriff 52% und die Anzahl der nicht benötigten Konten 10% betragen wird. Leider spiegeln diese Zahlen nicht immer die russische Realität wider.

    Reduzierung des Vorfallsrisikos

    Mit der Einführung von IdM können Sie eine Reihe von Informationssicherheitsrisiken reduzieren oder die rechtzeitige Erkennung relevanter Vorfälle sicherstellen:

    1. Risiken eines inkonsistenten Zugangs zu Informationssystemen,
    2. Risiken des Zugangs von entlassenen Mitarbeitern aufgrund der Tatsache, dass ihre Konten nicht gesperrt wurden,
    3. das Risiko des unbefugten Zugriffs auf Auftragnehmer, deren Rechte nicht rechtzeitig widerrufen wurden,
    4. Risiken übermäßiger Befugnisse der Arbeitnehmer.

    Wenn die Implementierung eines Systems durch Informationssicherheitsrisiken gerechtfertigt wird, muss das Management häufig feststellen, ob ähnliche Vorfälle früher aufgetreten sind. (Und wenn nicht, warum dann gegen diese Risiken verteidigen?) Nun, wie ein angesehener Leiter der Informationssicherheit gerne sagt, kann solchen Personen geraten werden, das Schloss nicht an der Tür anzubringen - da sie vorher nicht ausgeraubt wurden!

    Die Praxis zeigt jedoch, dass solche Vorfälle von Zeit zu Zeit vorkommen und ihre Auswirkungen durchaus spürbar sind. In unserer Praxis gab es einen Fall, in dem eine Bankfiliale mehrere Tage lang inaktiv war, weil ein Mitarbeiter einen Virus "abgefangen" hatte, der für sein Konto wichtige Daten verschlüsselt hat, auf die ein Mitarbeiter überhaupt keinen Zugriff haben sollte. In diesem Fall wird der Schaden relativ einfach in Rubel umgerechnet. Dies ist jedoch nicht bei allen Sicherheitsvorfällen im Zusammenhang mit Zugriffsrechtsverletzungen der Fall.

    Welche Risiken der Informationssicherheit können das IdM-System reduzieren? Beispiele sind:

    1. Aktive Konten entlassener Mitarbeiter.
    2. Inkonsistente Zugriffsrechte oder Zugriff, der nicht hätte sein dürfen.
    3. Übermäßige Zugriffsrechte (können sich aufgrund von Mitarbeiterwechseln innerhalb der Organisation „vermehren“, ohne dass zusätzliche Befugnisse entzogen werden, indem einem Mitarbeiter Rechte nach dem Grundsatz „wie einem anderen Mitarbeiter in einer ähnlichen Position“ eingeräumt werden.)
    4. Zugriff, der für eine bestimmte Zeit vereinbart und gewährt wurde, aber nicht rechtzeitig widerrufen wurde.
    5. Zu diesem Zeitpunkt aus technischen Gründen erstellte Konten, die später jedoch nicht gelöscht wurden.
    6. Verwendung von unpersönlichen (Gruppen-) Konten.

    Generell ist bei der Begründung durch IS die Einstellung der Wirtschaft zur Informationssicherheit von grundlegender Bedeutung. Irgendwo wird es als formale Funktion behandelt, irgendwo - als geschäftskritisch. Wenn Informationssicherheit für Unternehmen nicht unbedingt erforderlich ist, ist es besser, die Einführung durch andere Artikel zu rechtfertigen.

    Erfüllung der Anforderungen von Regulierungsbehörden / Standards

    Dieser Block von Begründungen ist relevant für Organisationen, die den Anforderungen externer Regulierungsbehörden unterliegen - zum Beispiel der Zentralbank der Russischen Föderation oder intern - zum Beispiel der Mutterorganisation, die die Aktivitätsstandards festlegt. Die erste umfasst Organisationen, die an der Börse gehandelt werden.

    Mit der Implementierung von IdM können Sie die Anforderungen für die Zugangskontrolle gemäß Standards wie STO BR, PCI DSS, SoX, ISO 27001 und anderen erfüllen. Oft werden diese Anforderungen durch organisatorische Maßnahmen geschlossen, aber häufig werden große Organisationen, die sich externen Audits unterziehen, hinsichtlich der Verwendung von IdM-Klassensystemen beraten, um die Ordnung wiederherzustellen und die Risiken der Zugangskontrolle zu verringern.

    Wenn eine Empfehlung von externen Prüfern vorliegt, läuft die Rechtfertigung für die Implementierung von IdM durch die Standards recht reibungslos.

    Unterstützen Sie die aktuelle Organisationsstrategie

    Dieser Ansatz zur Rechtfertigung der Entscheidung ist teilweise eine Zusammenstellung der vorherigen, konzentriert sich jedoch in der Tat auf den anderen, wobei die obigen Optionen als Argumentationssatz verwendet werden. Die Idee dieses Ansatzes ist die Unterstützung der aktuellen Mission, Strategie oder Programme der Organisation, die durch die Implementierung des Systems implementiert werden. Wenn ein Unternehmen beispielsweise einen Kurs zur Steigerung der Effizienz von Prozessen eingeschlagen hat, passt IdM perfekt zur Implementierung dieses Programms und hilft, die Kosten für Zugriffskontrollprozesse zu senken, die mit Ausfallzeiten und manueller Arbeit verbunden sind. Wenn ein Unternehmen einen Börsengang plant, kann IdM eine Möglichkeit sein, die Kapitalisierung des Unternehmens zu erhöhen. Solche Fälle waren in unserer Praxis mehr als einmal.

    Wenn sich das Projekt in den Rahmen der vom Management vorgenommenen Änderungen einfügt, ist es viel einfacher, mit der entsprechenden Sprache zu kommunizieren. Frühere Ansätze in diesem Fall können als substantielleres Argument verwendet werden, um den erwarteten Effekt zu verstärken.

    Zusammenfassung

    Oben finden Sie eine Reihe allgemeiner Ansätze zur Rechtfertigung von IdM-Implementierungsprojekten, mit denen wir uns in der Praxis persönlich getroffen haben. Unser Ziel war es, aufzuzeigen, wie wir dieses Problem angehen können, und Richtlinien zu geben, in welchen Situationen es besser ist, die eine oder andere Rechtfertigungsmethode anzuwenden. Dennoch ist dieser Prozess in jedem Unternehmen sehr kreativ: Er hat seine eigenen Besonderheiten, Abläufe, Präsentationsformate und sogar seine eigene „Sprache“ und hat immer einen individuellen Charakter. Wir wünschen Ihnen weiterhin viel kreativen Erfolg bei dieser schwierigen Aufgabe und hoffen, dass unser Rat Ihnen dabei helfen wird, die Rechtfertigung für die Implementierung einer von Ihnen als notwendig erachteten Lösung vor der Führung zu rechtfertigen.

    Autor: Dmitry Bondar, Leiter der Abteilung für Entwicklung und Promotion von Solar inRights